Security Command Center (SCC) est une plate-forme centralisée de visibilité, de surveillance et d'alerte sur Google Cloud. SCC fournit une détection et des alertes en temps réel en insérant des journaux et des événements provenant de Google Cloud pour identifier les risques de sécurité.
Le détecteur de sauvegarde et de reprise après sinistre, désormais disponible pour tous les clients Security Command Center Premium, permet aux administrateurs de sécurité de recevoir des alertes préconfigurées sur les activités de sauvegarde anormales. Lorsque les sauvegardes sont la cible de rançongiciels ou de menaces internes, cette intégration entre Backup and DR et SCC fait immédiatement remonter les événements à haut risque pour permettre l'investigation et la résolution des menaces potentielles.
Les alertes envoyées aux clients prennent la forme de résultats générés dans SCC, qui fournissent des informations détaillées sur l'événement à risque, sa gravité, les ressources de sauvegarde concernées et les workflows d'investigation et de résolution.
Avant de commencer
Pour activer les alertes de sécurité, activez Security Command Center Premium si ce n'est pas déjà fait.
- Accédez à Security Command Center dans la console Google Cloud.
- Sélectionnez le niveau Premium. Cette étape est nécessaire pour activer Event Threat Detection.
- Sélectionnez Services. BackupDR est présélectionné par défaut.
- Attribuez des rôles.
Nous vous recommandons de consulter Utiliser Event Threat Detection et les règles d'Event Threat Detection dans la section Présentation d'Event Threat Detection.
Générer un résultat
Les actions à haut risque effectuées par un utilisateur dans le service Backup and DR peuvent générer une anomalie. Voici quelques-unes de ces actions:
- Expiration d'une image de sauvegarde
- Expiration de toutes les images
- Supprimer un plan de sauvegarde
- Supprimer un modèle de sauvegarde
- Supprimer une stratégie de sauvegarde
- Supprimer un profil
- Supprimer un appareil de sauvegarde/restauration
- Suppression d'un hôte
- Supprimer un pool de stockage
- Réduction du délai d'expiration des sauvegardes
- Réduction de la fréquence des sauvegardes
Vous trouverez une liste complète des résultats pour tous les produits dans la documentation Security Command Center.
Un utilisateur qui effectue l'une des actions du service de sauvegarde et de reprise après sinistre déclenche Event Threat Detection pour analyser l'événement et déterminer s'il représente un risque de sécurité.
Interpréter les résultats
Lorsqu'une action est considérée comme un risque de sécurité par Security Command Center, un résultat est généré. Un administrateur de sécurité peut ensuite examiner de plus près les ressources concernées et suivre les étapes recommandées. Pour les résultats de gravité élevée, une investigation et une correction supplémentaires peuvent être nécessaires. Les résultats incluent des informations sur les ressources concernées, le moment où l'événement de sécurité s'est produit et les mesures à prendre pour remédier à une menace.
En savoir plus sur les résultats de requête de résultats
Ressources de sauvegarde
Les résultats incluent des informations sur les ressources de sauvegarde concernées.
- Nom du modèle: un modèle se compose de stratégies de sauvegarde.
- Nom de la règle: une règle définit quand une sauvegarde est exécutée, sa fréquence et sa durée de conservation.
- Nom de l'application: une application est une VM, une base de données ou un système de fichiers connu de la console de gestion du service Backup and DR.
- Nom d'hôte: un hôte est une VM qui héberge une base de données ou un système de fichiers à protéger.
- Nom du pool de stockage: un pool de stockage est un bucket Cloud Storage dans lequel une sauvegarde OnVault est stockée.
- Nom de l'option de stratégie: les options de stratégie sont des configurations supplémentaires que les utilisateurs peuvent appliquer à une stratégie donnée.
- Profile Name (Nom du profil) : un profil définit l'emplacement de stockage d'une sauvegarde.
- Type de sauvegarde: les sauvegardes sont de trois types: instantanés, instantanés à distance et OnVault.
- Date et heure de la sauvegarde: ces champs indiquent la date et l'heure auxquelles la sauvegarde concernée a été effectuée.
Enquête et correction
Lorsque vous recevez un résultat, consultez Examiner et contrer les menaces. Vous trouverez un exemple de code JSON dans la section Utiliser Event Threat Detection.
Security Command Center propose aux clients des outils d'investigation intégrés supplémentaires. L'association à la journalisation Cloud, à l'indicateur MITRE et aux ressources concernées permet une résolution rapide.
L'intégration de Cloud Logging vous permet de cliquer sur une requête Cloud Logging détaillée.
L'intégration à Cloud Monitoring permet de créer des alertes supplémentaires pour des événements similaires.
Les classifications MITRE indiquent le type d'attaque indiqué par un résultat (exemple).