Event Threat Detection – Konzeptübersicht

>

Was ist Event Threat Detection?

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.

Funktionsweise von Event Threat Detection

Event Threat Detection überwacht den Cloud Logging-Stream Ihrer Organisation und nutzt Logs für ein oder mehrere Projekte, sobald diese verfügbar werden. Logeinträge enthalten Status- und Ereignisinformationen, mit denen Event Threat Detection Bedrohungen schnell erkennt. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen auf die detaillierten Informationen in Logs an. Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center und in ein Cloud Logging-Projekt.

Mit Cloud Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Functions verarbeiten.

Regeln

Regeln definieren den Typ Bedrohungen, die Event Threat Detection erkennt. Derzeit enthält Event Threat Detection folgende Standardregeln:

Anzeigename API-Name Logquelltypen Beschreibung
Exfiltration in externe Tabelle org_exfiltration Cloud-Audit-Logs Erkennung von Ressourcen, die der geschützten Organisation gehören und außerhalb der Organisation gespeichert sind, einschließlich Kopier- oder Übertragungsvorgängen.
Verstoß gegen VPC-Perimeter vpc_perimeter_violation Cloud-Audit-Logs Erkennung von Versuchen, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind
Malware: Schädliche Domain malware_bad_domain Virtual Private Cloud-Ablauflogs (VPC)
Cloud DNS-Log
Erkennung von Malware auf der Grundlage einer Verbindung zu einer bekannten schädlichen Domäne oder einer Suche in dieser Domain.
Malware: Schädliche IP-Adresse malware_bad_ip VPC-Flusslog
Log zu Firewallregeln
Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse.
Kryptomining: Pool-Domain cryptomining_pool_domain VPC-Ablauflogs
Cloud DNS-Log
Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain.
Kryptomining: Pool-IP-Adresse cryptomining_pool_ip VPC-Flusslog
Log zu Firewallregeln
Kryptomining-Erkennung anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Brute-Force-SSH brute_force_ssh syslog Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Ausgehender DoS outgoing_dos VPC-Ablauflogs Erkennung von ausgehendem Denial of Service-Traffic.
IAM Anomalie-Grants iam_anomalous_grant Cloud-Audit-Logs Erkennung von Berechtigungen, die Nutzern und Dienstkonten der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) gewährt wurden, die nicht Mitglieder der Organisation sind. Hinweis: Derzeit wird dieses Ergebnis nur für Security Command Center-Nutzer mit einer gmail.com-E-Mail-Adresse ausgelöst.

Zum Erstellen benutzerdefinierter Erkennungsregeln können Sie Ihre Logdaten in BigQuery speichern und anschließend einmalige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.

Logtypen

Derzeit nutzt die Even Threat Detection Logs aus den folgenden Google Cloud-Quellen.

Virtual Private Cloud-Ablauflogs aktivieren

Event Threat Detection analysiert VPC-Ablauflogs (Virtual Private Cloud) auf Malware, Phishing, Kryptomining, ausgehende DDoS-Angriffe und ausgehende Portscan-Erkennung. Event Threat Detection funktioniert am besten, wenn das VPC-Ablauf-Logging aktiviert ist. Weitere Informationen zu VPC-Ablauflogs.

Event Threat Detection funktioniert optimal mit häufigen Proben und kurzen Aggregationsintervallen. Legen Sie eine niedrigere Probenfrequenz oder längere Aggregationsintervalle fest, kann es zu einer Verzögerung zwischen dem Vorkommen und der Erkennung eines Ereignisses kommen. Dies kann das Prüfen möglicher Malware-, Kryptomining- oder Phishing-Traffic-Angriffe erschweren.

Cloud DNS-Logs aktivieren

Event Threat Detection analysiert DNS-Logs zur Erkennung von Malware, Phishing und Kryptomining. Event Threat Detection funktioniert optimal, wenn das Cloud DNS-Logging aktiv ist. Weitere Informationen zu Cloud DNS-Logs

Nächste Schritte