Qu'est-ce qu'Event Threat Detection ?
Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.
Fonctionnement d'Event Threat Detection
Event Threat Detection surveille le flux Cloud Logging de votre organisation et consomme des journaux pour un ou plusieurs projets dès qu'ils sont disponibles. Les entrées de journal contiennent des informations sur l'état et les événements qui permettent à Event Threat Detection de détecter rapidement les menaces. Event Threat Detection applique une logique de détection et une renseignements de menaces propriétaire aux informations détaillées contenues dans les journaux.
Event Threat Detection utilise diverses techniques d'analyse, telles que la correspondance des indicateurs tripwire, le profilage fenêtré, le profilage avancé, le machine learning et la détection d'anomalies pour identifier les menaces quasiment en temps réel.
Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center et dans un projet Cloud Logging. À partir de Cloud Logging, vous pouvez exporter les résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Functions.
Règles
Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux à activer pour que le détecteur fonctionne. Les journaux d'audit pour les activités d'administration sont toujours écrits. vous ne pouvez pas les configurer ni les désactiver.
Actuellement, Event Threat Detection inclut les règles par défaut suivantes:
| Nom à afficher | Nom de l'API | Types de sources de journal | Description |
|---|---|---|---|
| Exfiltration vers une table externe | org_exfiltration |
Cloud Audit Logging :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations: DATA_READ
|
Détection des ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert. |
| Non-respect du périmètre VPC | vpc_perimeter_violation |
Cloud Audit Logging :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations: DATA_READ
|
Détection des tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls. |
| Logiciel malveillant : domaine incorrect | malware_bad_domain |
Journaux Cloud DNS: Journal pour les activités d'administration |
Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu |
| Logiciel malveillant : adresse IP incorrecte | malware_bad_ip |
Journaux de flux VPC Journaux des règles de pare-feu Journaux Cloud NAT |
Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue |
| Minage de cryptomonnaie : domaine de pool | cryptomining_pool_domain |
Journaux Cloud DNS: Journaux des activités d'administration |
Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu |
| Minage de cryptomonnaie : IP de pool | cryptomining_pool_ip |
Journaux de flux VPC Journaux des règles de pare-feu Journaux Cloud NAT |
Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue |
| Attaques par force brute SSH | brute_force_ssh |
syslog | Détection d'une attaque par force brute SSH réussie sur un hôte |
| DoS sortant | outgoing_dos |
Journaux de flux VPC | Détection du trafic de déni de service sortant |
| Persistence: IAM analogues | iam_anomalous_grant |
Cloud Audit Logging: Journaux des activités d'administration |
Détection des privilèges accordés aux utilisateurs et aux comptes de service Identity and Access Management (IAM) qui ne sont pas membres de l'organisation. Remarque : actuellement, ce résultat ne se déclenche que pour les utilisateurs de Security Command Center disposant d'une adresse e-mail gmail.com. |
| Persistence: nouvelle zone géographique Aperçu |
iam_anomalous_behavior_ip_geolocation |
Cloud Audit Logging: Journaux des activités d'administration |
Détection des utilisateurs de la gestion de l'authentification et des accès (IAM) qui accèdent à Google Cloud à partir d'un emplacement anormale, en fonction de la géolocalisation de l'adresse IP demandée |
| Persistence: nouvel agent utilisateur Aperçu |
iam_anomalous_behavior_user_agent |
Cloud Audit Logging: Journaux des activités d'administration |
Détection des utilisateurs de la gestion de l'authentification et des accès (IAM) accédant à Google Cloud à partir d'un user-agent anormal. |
| Découverte: enquête automatique des comptes de service Aperçu |
service_account_self_investigation |
Journaux d'audit Cloud: Journaux d'accès aux données Resource Manager Autorisations: DATA_READ
|
Détecte lorsqu'un identifiant de compte de service est utilisé pour examiner les rôles et les autorisations associés à ce même compte de service. |
Pour créer des règles de détection personnalisées, vous pouvez stocker vos données de journal dans BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.
Types de journaux
Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Par défaut, les journaux sont désactivés, ce qui vous permet de choisir les journaux à générer et les produits pouvant y accéder. Toutefois, pour utiliser Event Threat Detection, vous devez activer les journaux de votre organisation, de vos dossiers et de vos projets sur lesquels vous souhaitez qu'Event Threat Detection bénéficie d'une visibilité complète.
Actuellement, Event Threat Detection consomme les journaux des sources Google Cloud suivantes. Suivez les instructions des liens ci-dessous pour activer les journaux pour chaque source.
- Journaux SSH/syslog
- Journaux de flux VPC
- Journaux d'audit Cloud
- Les journaux des activités d'administration sont toujours écrits. vous ne pouvez pas les configurer ni les désactiver
- Journaux des accès aux données
- Journaux Cloud DNS
- Journaux de règles de pare-feu
- Journaux Cloud NAT
Activer les journaux de flux de cloud privé virtuel
Le service Event Threat Detection analyse les journaux de flux de cloud privé virtuel (VPC, Virtual Private Cloud) pour détecter les logiciels malveillants, l'hameçonnage, le minage de cryptomonnaie et les menaces DDoS sortantes. Event Threat Detection fonctionne au mieux lorsque la journalisation de flux VPC est active. En savoir plus sur les journaux de flux VPC.
Event Threat Detection fonctionne mieux avec un échantillonnage fréquent et de brefs intervalles d'agrégation. Si vous définissez des taux d'échantillonnage inférieurs ou des intervalles d'agrégation plus longs, il peut y avoir un délai entre la survenue d'un événement et sa détection. Ce délai peut compliquer l'évaluation des éventuelles tentatives de trafic malveillant, de chiffrement ou d'hameçonnage.
Activer les journaux Cloud DNS
Event Threat Detection analyse les journaux DNS afin de détecter les logiciels malveillants, l'hameçonnage et le minage de cryptomonnaie. Event Threat Detection fonctionne mieux lorsque la journalisation Cloud DNS est active. Apprenez-en plus sur les journaux Cloud DNS.
Étape suivante
Découvrez comment utiliser Event Threat Detection.
Découvrez comment examiner et développer des plans de réponse pour les menaces.