Security Command Center Premium para o serviço de backup e DR

O Security Command Center (SCC) é uma plataforma centralizada para visibilidade, monitoramento e alertas no Google Cloud. O SCC oferece detecção e alertas em tempo real analisando registros e eventos de todo o Google Cloud para identificar riscos de segurança.

Com o Detector de backup e DR, agora disponível para todos os clientes do Security Command Center Premium, os administradores de segurança podem receber alertas pré-configurados sobre atividades anormais de backup. Quando os backups são alvo de ransomware ou ameaças internas, essa integração entre o Backup e o DR e o SCC identifica imediatamente eventos de alto risco para permitir a investigação e a correção de possíveis ameaças.

Os alertas aos clientes são apresentados na forma de descobertas geradas no SCC, que fornecem informações detalhadas sobre o evento de risco, a gravidade desse evento, os recursos de backup afetados e os fluxos de trabalho de investigação e correção.

Antes de começar

Para ativar os alertas de segurança, ative o Security Command Center Premium, se ele ainda não estiver ativado.

  1. Acesse o Security Command Center no console do Google Cloud.
  2. Selecione o nível Premium. Isso é necessário para ativar a Detecção de ameaças a eventos.
  3. Selecione Serviços. A opção "BackupDR" é pré-selecionada por padrão.
  4. Conceder papéis.

É recomendável consultar Como usar o Event Threat Detection e as regras do Event Threat Detection em Informações gerais de detecção de ameaças a eventos.

Gerar uma descoberta

As ações de alto risco realizadas por um usuário no serviço de backup e DR podem gerar uma descoberta. Essas ações incluem:

  • Expirar uma imagem de backup
  • Expirar todas as imagens
  • Remover um plano de backup
  • Excluir um modelo de backup
  • Excluir uma política de backup
  • Excluir um perfil
  • Remover um dispositivo de backup/recuperação
  • Exclusão de um host
  • Excluir um pool de armazenamento
  • Expiração do backup reduzida
  • Frequência de backup reduzida

Há uma lista completa de descobertas para todos os produtos na documentação do Security Command Center.

Um usuário que realiza uma das ações no serviço de backup e DR aciona a detecção de ameaças a eventos para analisar o evento e determinar se ele representa um risco de segurança.

Como entender as descobertas

Quando uma ação é considerada um risco de segurança pelo Security Command Center, uma descoberta é gerada. Um administrador de segurança pode analisar os recursos afetados e seguir as próximas etapas recomendadas. Para descobertas de alta gravidade, pode ser necessário fazer mais investigações e correções. As encontradas incluem detalhes sobre os recursos afetados, quando o ocorrência de segurança ocorreu e quais ações devem ser tomadas para corrigir uma ameaça.

Saiba mais sobre os resultados da consulta de descobertas.

Recursos de backup

As descobertas incluem informações sobre os recursos de backup afetados.

  • Nome do modelo: um modelo consiste em políticas de backup.
  • Nome da política: uma política define quando um backup é executado, a frequência e a retenção.
  • Nome do aplicativo: um aplicativo é uma VM, um banco de dados ou um sistema de arquivos conhecido pelo console de gerenciamento do serviço de backup e DR.
  • Nome do host: uma VM que hospeda um banco de dados ou sistema de arquivos a ser protegido.
  • Nome do pool de armazenamento: um pool de armazenamento é um bucket do Cloud Storage em que um backup do OnVault é armazenado.
  • Nome da opção de política: as opções de política são outras configurações que os usuários podem aplicar a uma determinada política.
  • Nome do perfil: um perfil define onde um backup será armazenado.
  • Tipo de backup: os backups são de três tipos: snapshots, snapshots remotos e OnVault.
  • Data e hora do backup: mostram a data e a hora em que o backup afetado foi feito.

Investigação e correção

Quando você receber uma descoberta, consulte Como investigar e responder a ameaças. Confira um exemplo de JSON em Como usar o Event Threat Detection.

O Security Command Center oferece outras ferramentas de investigação integradas para os clientes. A vinculação ao Cloud Logging, ao indicador MITRE e aos recursos afetados permite uma correção rápida.

  • A integração do Cloud Logging permite que você clique em uma consulta detalhada do Cloud Logging.

  • A integração com o Cloud Monitoring permite a criação de alertas adicionais em eventos semelhantes.

  • As classificações do MITRE indicam o tipo de ataque indicado por uma descoberta (exemplo).