Event Threat Detection とは
Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスで、組織を継続的にモニタリングし、システム内の脅威をほぼリアルタイムで特定します。Event Threat Detection は、新たな脅威をクラウド規模で特定するために、新しい検出項目で定期的に更新されます。
Event Threat Detection の仕組み
Event Threat Detection は、組織の Cloud Logging ストリームをモニタリングし、使用可能になったときに 1 つ以上のプロジェクトのログを使用します。ログエントリには、Event Threat Detection で脅威を迅速に検出するために使用されるステータスとイベント情報が含まれています。Event Threat Detection は、検出ロジックと独自の脅威インテリジェンスを、ログに含まれる詳細な情報に適用します。Event Threat Detection は脅威を検出すると、その検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。
Cloud Logging から、Pub/Sub で検出結果を他のシステムにエクスポートし、Cloud Functions で処理できます。
ルール
ルールでは、Event Threat Detection で検出される脅威の種類を定義します。現在、Event Threat Detection には以下のデフォルト ルールが含まれています。
| 表示名 | API 名 | ログソースのタイプ | 説明 |
|---|---|---|---|
| 外部テーブルへの漏洩 | org_exfiltration |
Cloud 監査ログ | コピー オペレーションやオペレーションを含む、組織外に保存された保護された組織が所有するリソースの検出。 |
| VPC 境界違反 | vpc_perimeter_violation |
Cloud 監査ログ | VPC Service Controls で保護されている BigQuery リソースへのアクセスの試行の検出。 |
| マルウェア: 不正ドメイン | malware_bad_domain |
Virtual Private Cloud(VPC)フローログ Cloud DNS ログ |
既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出 |
| マルウェア: 不正 IP | malware_bad_ip |
VPC フローログ ファイアウォール ルールのログ |
既知の不正な IP アドレスへの接続に基づくマルウェアの検出 |
| クリプトマイニング: プールのドメイン | cryptomining_pool_domain |
VPC フローログ Cloud DNS ログ |
既知のマイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出 |
| クリプトマイニング: プールの IP | cryptomining_pool_ip |
VPC フローログ ファイアウォール ルールのログ |
既知のマイニング IP アドレスへの接続に基づくクリプトマイニングの検出 |
| ブルート フォース SSH | brute_force_ssh |
syslog | ホスト上の SSH の成功したブルート フォースの検出 |
| 送信 DoS | outgoing_dos |
VPC フローログ | 送信サービス拒否攻撃トラフィックの検出 |
| IAM: 異常付与検出 | iam_anomalous_grant |
Cloud 監査ログ | 組織のメンバーではない Identity and Access Management(IAM)ユーザーとサービス アカウントに付与された権限の検出注: 現在のところ、この検出は gmail.com のメールアドレスを持つ Security Command Center ユーザーに対してのみトリガーされます。 |
カスタム検出ルールを作成するには、ログデータを BigQuery に保存してから、脅威モデルを収集する一意の SQL クエリ、または繰り返しの SQL クエリを実行できます。
ログタイプ
Event Threat Detection は、Google Cloud によって生成されたログを利用します。ログはデフォルトでは無効になっており、生成するログとログにアクセスできるプロダクトをご自身で決定できます。ただし、Event Threat Detection を使用するには、Event Threat Detection で完全に可視化しようとする組織、フォルダ、プロジェクトのログを有効にする必要があります。
現時点では、Event Threat Detection は、次の Google Cloud ソースからのログを使用します。各ソースのログを有効にするには、以下のリンクの手順に沿って操作してください。
Virtual Private Cloud のフローログを有効にする
Event Threat Detection は、マルウェア、フィッシング、クリプトマイニング、送信 DDoS、送信ポートスキャンの検出のために Virtual Private Cloud(VPC)フローログを分析します。Event Threat Detection は、VPC フローロギングが有効な場合に最も効果的に機能します。詳しくは VPC フローログをご覧ください。
Event Threat Detection は、頻繁なサンプリングと短い集計間隔で最も効果的に機能します。サンプリング レートを下げるか、集計間隔を長く設定すると、イベントの発生から検出までの間で遅延が生じることがあります。この遅延により、マルウェア、クリプトマイニング、フィッシング トラフィックの増加の可能性への評価が難しくなることがあります。
Cloud DNS ログを有効にする
Event Threat Detection は、マルウェア、フィッシング、クリプトマイニングの検出のために DNS ログを分析します。Event Threat Detection は、Cloud DNS ロギングが有効な場合に最も効果的に機能します。詳しくは Cloud DNS ログをご覧ください。