Security Command Center Premium für Sicherungs- und Notfallwiederherstellungsdienst

Security Command Center (SCC) ist eine zentrale Plattform für Transparenz, Monitoring und Benachrichtigungen in Google Cloud. SCC bietet Echtzeiterkennung und Benachrichtigungen, indem Protokolle und Ereignisse aus Google Cloud aufgenommen werden, um Sicherheitsrisiken zu identifizieren.

Mit dem Backup- und Notfallwiederherstellungs-Detektor, der jetzt für alle Security Command Center Premium-Kunden verfügbar ist, können Sicherheitsadministratoren vorkonfigurierte Benachrichtigungen zu ungewöhnlichen Sicherungsaktivitäten erhalten. Wenn Back-ups ein Ziel für Ransomware oder Insiderbedrohungen sind, werden durch diese Integration von Back-up und Notfallwiederherstellung mit SCC sofort Hochrisikoereignisse erkannt, um potenzielle Bedrohungen zu untersuchen und zu beheben.

Benachrichtigungen an Kunden werden in Form von Ergebnissen gesendet, die in SCC generiert werden. Sie enthalten detaillierte Informationen zum Risikoereignis, zur Schwere dieses Ereignisses, zu den betroffenen Sicherungsressourcen und zu Workflows für die Untersuchung und Behebung.

Vorbereitung

Wenn Sie Sicherheitswarnungen aktivieren möchten, aktivieren Sie Security Command Center Premium, falls dies noch nicht geschehen ist.

  1. Rufen Sie in der Google Cloud Console das Security Command Center auf.
  2. Wählen Sie die Stufe Premium aus. Dies ist erforderlich, um die Ereignis-Bedrohungserkennung zu aktivieren.
  3. Wählen Sie Dienste aus. „BackupDR“ ist standardmäßig ausgewählt.
  4. Weisen Sie Rollen zu.

Sehen Sie sich den Artikel Event Threat Detection verwenden und die Event Threat Detection-Regeln unter Übersicht über Event Threat Detection an.

Ergebnis generieren

Hochrisikoaktionen, die von einem Nutzer im Sicherungs- und Notfallwiederherstellungsdienst ausgeführt werden, können zu einer entsprechenden Meldung führen. Zu diesen Aktionen gehören:

  • Ablaufdatum für ein Sicherungs-Image festlegen
  • Alle Images ablaufen lassen
  • Sicherungsplan entfernen
  • Sicherungsvorlage löschen
  • Sicherungsrichtlinie löschen
  • Profil löschen
  • Sicherungs-/Wiederherstellungs-Appliance entfernen
  • Host gelöscht
  • Speicherpool löschen
  • Verkürzter Ablauf von Sicherungen
  • Verringerte Sicherungshäufigkeit

Eine vollständige Liste der Ergebnisse für alle Produkte finden Sie in der Security Command Center-Dokumentation.

Wenn ein Nutzer eine der Aktionen im Sicherungs- und Notfallwiederherstellungsdienst ausführt, wird die Funktion „Ereignisbedrohung erkennen“ ausgelöst, um das Ereignis zu analysieren und festzustellen, ob es ein Sicherheitsrisiko darstellt.

Ergebnisse auswerten

Wenn eine Aktion von Security Command Center als Sicherheitsrisiko eingestuft wird, wird ein Ergebnis generiert. Ein Sicherheitsadministrator kann sich dann die betroffenen Ressourcen genauer ansehen und die empfohlenen nächsten Schritte ausführen. Bei Ergebnissen mit hoher Schwere sind möglicherweise weitere Untersuchungen und Maßnahmen erforderlich. Die Ergebnisse enthalten Details zu den betroffenen Ressourcen, zum Zeitpunkt des Sicherheitsereignisses und zu den Maßnahmen, die zur Behebung einer Bedrohung ergriffen werden müssen.

Weitere Informationen zu den Ergebnissen von Ergebnisabfragen

Sicherungsressourcen

Die Ergebnisse enthalten Informationen zu den betroffenen Sicherungsressourcen.

  • Vorlagenname: Eine Vorlage besteht aus Sicherungsrichtlinien.
  • Richtlinienname: Eine Richtlinie definiert, wann eine Sicherung ausgeführt wird, wie oft und wie lange sie aufbewahrt wird.
  • Anwendungsname: Eine Anwendung ist eine VM, Datenbank oder ein Dateisystem, das der Verwaltungskonsole des Sicherungs- und Notfallwiederherstellungsdienstes bekannt ist.
  • Hostname: Ein Host ist eine VM, auf der eine Datenbank oder ein Dateisystem gehostet wird, das geschützt werden soll.
  • Name des Speicherpools: Ein Speicherpool ist ein Cloud Storage-Bucket, in dem ein OnVault-Back-up gespeichert wird.
  • Name der Richtlinienoption: Richtlinienoptionen sind zusätzliche Konfigurationen, die Nutzer auf eine bestimmte Richtlinie anwenden können.
  • Profilname: Ein Profil definiert, wo eine Sicherung gespeichert werden soll.
  • Sicherungstyp: Es gibt drei Arten von Sicherungen: Snapshots, Remote-Snapshots und OnVault.
  • Datum und Uhrzeit der Sicherung: Hier sehen Sie das Datum und die Uhrzeit, zu dem die betroffene Sicherung erstellt wurde.

Prüfung und Behebung

Wenn Sie eine Meldung erhalten, lesen Sie den Hilfeartikel Bedrohungen untersuchen und darauf reagieren. Ein JSON-Beispiel finden Sie unter Event Threat Detection verwenden.

Security Command Center bietet Kunden zusätzliche integrierte Tools zur Untersuchung. Durch die Verknüpfung mit Cloud Logging, der MITRE-Kennzeichnung und den betroffenen Ressourcen können Probleme schnell behoben werden.

  • Über die Cloud Logging-Integration können Sie zu einer detaillierten Cloud Logging-Abfrage wechseln.

  • Durch die Einbindung in Cloud Monitoring können Sie zusätzliche Benachrichtigungen zu ähnlichen Ereignissen erstellen.

  • MITRE-Klassifizierungen geben den Angriffstyp an, der durch ein Ergebnis angegeben wird (Beispiel).