Event Threat Detection のコンセプトの概要

>

Event Threat Detection のコンセプトと機能の概要。

Event Threat Detection の仕組み

Event Threat Detection は、組織の Cloud Logging ストリームをモニタリングし、使用可能になったときに 1 つ以上のプロジェクトのログを使用します。Event Threat Detection は脅威を検出すると、その検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。Cloud Logging から、Pub/Sub で検出結果を他のシステムにエクスポートし、Cloud Functions で処理できます。

ルール

ルールは、Event Threat Detection で検出される脅威の種類を定義します。現在、Event Threat Detection には以下のデフォルト ルールが含まれています。

表示名 API 名 ログソースのタイプ 説明
マルウェア: 不正ドメイン malware_bad_domain Virtual Private Cloud(VPC)フローログ
Cloud DNS ログ		 既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出
マルウェア: 不正 IP malware_bad_ip VPC フローログ
ファイアウォール ルールのログ		 既知の不正な IP アドレスへの接続に基づくマルウェアの検出
クリプトマイニング: プールのドメイン cryptomining_pool_domain VPC フローログ
Cloud DNS ログ		 既知のマイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出
クリプトマイニング: プールの IP cryptomining_pool_ip VPC フローログ
ファイアウォール ルールのログ		 既知のマイニング IP アドレスへの接続に基づくクリプトマイニングの検出
ブルート フォース SSH brute_force_ssh syslog ホスト上の SSH の成功したブルート フォースの検出
送信 DoS outgoing_dos VPC フローログ 送信サービス拒否攻撃トラフィックの検出
IAM: 異常付与検出 iam_anomalous_grant Cloud 監査ログ 組織のメンバーではない Identity and Access Management(IAM)ユーザーとサービス アカウントに付与された権限の検出注: 現在のところ、この検出は gmail.com のメールアドレスを持つ Security Command Center ユーザーに対してのみトリガーされます。

カスタム検出ルールを作成するには、ログデータを BigQuery に保存してから、脅威モデルを収集する一意の SQL クエリ、または繰り返しの SQL クエリを実行できます。

ログタイプ

Event Threat Detection は、現時点で次の Google Cloud ソースからのログを使用します。

Virtual Private Cloud のフローログを有効にする

Event Threat Detection は、マルウェア、フィッシング、クリプトマイニング、送信 DDoS、送信ポートスキャンの検出のために Virtual Private Cloud(VPC)フローログを分析します。Event Threat Detection は、VPC フローロギングが有効な場合に最も効果的に機能します。詳しくは VPC フローログをご覧ください。

Event Threat Detection は、頻繁なサンプリングと短い集計間隔で最も効果的に機能します。サンプリング レートを下げるか、集計間隔を長く設定すると、イベントの発生から検出までの間で遅延が生じることがあります。これにより、マルウェア、クリプトマイニング、フィッシング トラフィックの増加の可能性への評価が難しくなることがあります。

Cloud DNS ログを有効にする

Event Threat Detection は、マルウェア、フィッシング、クリプトマイニングの検出のために DNS ログを分析します。Event Threat Detection は、Cloud DNS ロギングが有効な場合に最も効果的に機能します。詳しくは Cloud DNS ログをご覧ください。

次のステップ