Security Command Center (SCC) 是一个集中式平台,可跨 Google Cloud实现可见性、监控和提醒。SCC 会提取 Google Cloud 中的日志和事件,以便实时检测和提醒安全风险。
备份和灾难恢复检测器现已面向所有 Security Command Center 高级版客户推出,安全管理员可以接收有关异常备份活动的预配置提醒。如果备份是勒索软件或内部人员威胁的目标,备份和灾难恢复与 SCC 之间的此集成会立即显示高风险事件,以便调查和修复潜在威胁。
向客户发送的提醒以 SCC 中生成的“发现”的形式提供,其中包含有关风险事件、事件严重程度、受影响的备份资源以及调查和补救工作流的详细信息。
准备工作
如需启用安全提醒,请先激活 Security Command Center 专业版(如果尚未激活)。
- 前往 Google Cloud 控制台中的 Security Command Center。
- 选择高级层级。这是启用 Event Threat Detection 所必需的。
- 选择服务。默认情况下,系统会预先选择 BackupDR。
- 授予角色。
建议您查看使用 Event Threat Detection 以及 Event Threat Detection 概览中的 Event Threat Detection 规则
生成发现结果
用户在备份和灾难恢复服务中执行的高风险操作可能会生成相应发现。 这些操作包括:
- 使备用图片过期
- 使所有图片失效
- 移除备份方案
- 删除备份模板
- 删除备份政策
- 删除个人资料
- 移除备份/恢复设备
- 删除了主机
- 删除存储池
- 缩短备份过期时间
- 降低备份频率
如需查看所有产品的完整列表,请参阅 Security Command Center 文档。
当用户在备份和灾难恢复服务中执行某项操作时,系统会触发 Event Threat Detection 来分析该事件,以确定其是否存在安全风险。
如何解读发现结果
如果 Security Command Center 认为某项操作存在安全风险,就会生成相应发现结果。然后,安全管理员可以仔细查看受影响的资源,并采取建议的后续步骤。对于严重程度较高的发现结果,可能需要进一步调查和补救。发现结果包含受影响的资源的详细信息、安全事件的发生时间,以及应采取哪些措施来修复威胁。
详细了解发现结果查询结果。
备用资源
发现结果包含受影响的备份资源的相关信息。
- 模板名称:模板由备份政策组成。
- 政策名称:政策用于定义备份运行时间、频率和保留期限。
- 应用名称:应用是指备份和灾难恢复服务管理控制台已知的虚拟机、数据库或文件系统。
- 主机名:主机是托管要保护的数据库或文件系统的虚拟机。
- 存储池名称:存储池是存储 OnVault 备份的 Cloud Storage 存储桶。
- 政策选项名称:政策选项是用户可以应用于给定政策的其他配置。
- 配置文件名称:配置文件用于定义备份的存储位置。
- 备份类型:备份有三种类型:快照、远程快照和 OnVault。
- 备份时间和日期:显示受影响的备份的创建时间和日期。
调查和补救措施
收到发现后,请参阅调查和应对威胁。 您可以在使用 Event Threat Detection 中查看 JSON 示例。
Security Command Center 为客户提供了其他内置调查工具。关联到 Cloud Logging、MITRE 指标和受影响的资源,可快速进行补救。
借助 Cloud Logging 集成,您可以点击查看详细的 Cloud Logging 查询。
借助 Cloud Monitoring 集成,您可以针对类似事件创建其他提醒。
MITRE 分类表示发现结果所指示的攻击类型(示例)。