Vue d'ensemble des concepts et des fonctionnalités d'Event Threat Detection.
Fonctionnement d'Event Threat Detection
Event Threat Detection surveille le flux Cloud Logging de votre organisation et utilise des journaux pour un ou plusieurs projets dès qu'ils sont disponibles. Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center et dans un projet Cloud Logging. Depuis Cloud Logging, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Functions.
Règles
Les règles définissent le type de menaces détectées par Event Threat Detection. Actuellement, Event Threat Detection inclut les règles par défaut suivantes :
| Nom à afficher | Nom de l'API | Types de sources de journal | Description |
|---|---|---|---|
| Logiciel malveillant : domaine incorrect | malware_bad_domain |
Journal de flux VPC (Virtual Private Cloud) Journal Cloud DNS |
Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu |
| Logiciel malveillant : adresse IP incorrecte | malware_bad_ip |
Journal de flux VPC Journal des règles de pare-feu |
Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue |
| Minage de cryptomonnaie : domaine de pool | cryptomining_pool_domain |
Journal de flux VPC Journal Cloud DNS |
Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu |
| Minage de cryptomonnaie : IP de pool | cryptomining_pool_ip |
Journal de flux VPC Journal des règles de pare-feu |
Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue |
| Attaque par force brute SSH | brute_force_ssh |
syslog | Détection d'une attaque par force brute SSH réussie sur un hôte |
| DoS sortant | outgoing_dos |
Journal de flux VPC | Détection du trafic de déni de service sortant |
| IAM : octroi anormal | iam_anomalous_grant |
Journaux d'audit Cloud | Détection des privilèges accordés aux utilisateurs et aux comptes de service Identity and Access Management (IAM) qui ne sont pas membres de l'organisation. Remarque : actuellement, ce résultat ne se déclenche que pour les utilisateurs de Security Command Center disposant d'une adresse e-mail gmail.com. |
Pour créer des règles de détection personnalisées, vous pouvez stocker vos données de journal dans BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.
Types de journaux
Actuellement, Event Threat Detection consomme les journaux des sources Google Cloud suivantes.
- Journaux SSH/syslog
- Journaux de flux VPC
- Cloud Audit Logging
- Journaux Cloud DNS
- Journaux de règles de pare-feu
Activer les journaux de flux de cloud privé virtuel
Event Threat Detection analyse les journaux de flux de cloud privé virtuel (VPC) pour détecter les logiciels malveillants, le hameçonnage, le minage de cryptomonnaie, les attaques DDoS sortantes et les détections d'analyse de ports sortants. Event Threat Detection fonctionne au mieux lorsque la journalisation de flux VPC est active. En savoir plus sur les journaux de flux VPC.
Event Threat Detection fonctionne mieux avec un échantillonnage fréquent et de brefs intervalles d'agrégation. Si vous définissez des taux d'échantillonnage inférieurs ou des intervalles d'agrégation plus longs, il peut y avoir un délai entre la survenue d'un événement et sa détection. Cela peut compliquer l'analyse des risques d'augmentation du trafic dû à des logiciels malveillants, au minage de cryptomonnaie ou à l'hameçonnage.
Activer les journaux Cloud DNS
Event Threat Detection analyse les journaux DNS afin de détecter les logiciels malveillants, l'hameçonnage et le minage de cryptomonnaie. Event Threat Detection fonctionne mieux lorsque la journalisation Cloud DNS est active. Apprenez-en plus sur les journaux Cloud DNS.
Étape suivante
- Découvrez comment utiliser Event Threat Detection.