Présentation conceptuelle d'Event Threat Detection

>

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging de votre organisation et utilise des journaux pour un ou plusieurs projets dès qu'ils sont disponibles. Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique une logique de détection et un renseignement sur les menaces aux informations précises contenues dans les journaux. Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center et dans un projet Cloud Logging.

Depuis Cloud Logging, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Functions.

Règles

Les règles définissent le type de menaces détectées par Event Threat Detection. Actuellement, Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher Nom de l'API Types de sources de journal Description
Exfiltration vers une table externe org_exfiltration Journaux d'audit Cloud Détection des ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert.
Non-respect du périmètre VPC vpc_perimeter_violation Journaux d'audit Cloud Détection des tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls.
Logiciel malveillant : domaine incorrect malware_bad_domain Journal de flux VPC (Virtual Private Cloud)
Journal Cloud DNS
Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu
Logiciel malveillant : adresse IP incorrecte malware_bad_ip Journal de flux VPC
Journal des règles de pare-feu
Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Minage de cryptomonnaie : domaine de pool cryptomining_pool_domain Journal de flux VPC
Journal Cloud DNS
Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu
Minage de cryptomonnaie : IP de pool cryptomining_pool_ip Journal de flux VPC
Journal des règles de pare-feu
Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue
Attaque par force brute SSH brute_force_ssh syslog Détection d'une attaque par force brute SSH réussie sur un hôte
DoS sortant outgoing_dos Journal de flux VPC Détection du trafic de déni de service sortant
IAM : octroi anormal iam_anomalous_grant Journaux d'audit Cloud Détection des privilèges accordés aux utilisateurs et aux comptes de service Identity and Access Management (IAM) qui ne sont pas membres de l'organisation. Remarque : actuellement, ce résultat ne se déclenche que pour les utilisateurs de Security Command Center disposant d'une adresse e-mail gmail.com.
IAM: géolocalisation IP anormale
Aperçu
iam_anomalous_ip_geolocation Cloud Audit Logging Détection des utilisateurs IAM qui accèdent à Google Cloud à partir d'un emplacement inhabituel, en fonction de la géolocalisation de l'adresse IP à l'origine de la requête.
IAM: user-agent anormale
Aperçu
iam_anomalous_user_agent Cloud Audit Logging Détection des utilisateurs de la gestion de l'authentification et des accès (IAM) qui accèdent à Google Cloud à partir d'un user-agent anormal.

Pour créer des règles de détection personnalisées, vous pouvez stocker vos données de journal dans BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.

Types de journaux

Event Threat Detection s'appuie sur les journaux générés par Google Cloud. Par défaut, les journaux sont désactivés, ce qui vous permet de choisir les journaux à générer et les produits pouvant y accéder. Toutefois, pour utiliser Event Threat Detection, vous devez activer les journaux de votre organisation, de vos dossiers et de vos projets sur lesquels vous souhaitez qu'Event Threat Detection bénéficie d'une visibilité complète.

Actuellement, Event Threat Detection consomme les journaux des sources Google Cloud suivantes. Suivez les instructions des liens ci-dessous pour activer les journaux pour chaque source.

Activer les journaux de flux de cloud privé virtuel

Event Threat Detection analyse les journaux de flux de cloud privé virtuel (VPC) pour détecter les logiciels malveillants, le hameçonnage, le minage de cryptomonnaie, les attaques DDoS sortantes et les détections d'analyse de ports sortants. Event Threat Detection fonctionne au mieux lorsque la journalisation de flux VPC est active. En savoir plus sur les journaux de flux VPC.

Event Threat Detection fonctionne mieux avec un échantillonnage fréquent et de brefs intervalles d'agrégation. Si vous définissez des taux d'échantillonnage inférieurs ou des intervalles d'agrégation plus longs, il peut y avoir un délai entre la survenue d'un événement et sa détection. Ce délai peut compliquer l'analyse des risques d'augmentation du trafic dû à des logiciels malveillants, au minage de cryptomonnaie ou à l'hameçonnage.

Activer les journaux Cloud DNS

Event Threat Detection analyse les journaux DNS afin de détecter les logiciels malveillants, l'hameçonnage et le minage de cryptomonnaie. Event Threat Detection fonctionne mieux lorsque la journalisation Cloud DNS est active. Apprenez-en plus sur les journaux Cloud DNS.

Étape suivante