Event Threat Detection のコンセプトの概要

>

Event Threat Detection とは

Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスで、組織を継続的にモニタリングし、システム内の脅威をほぼリアルタイムで特定します。Event Threat Detection は、新たな脅威をクラウド規模で特定するために、新しい検出項目で定期的に更新されます。

Event Threat Detection の仕組み

Event Threat Detection は、組織の Cloud Logging ストリームをモニタリングし、使用可能になったときに 1 つ以上のプロジェクトのログを使用します。ログエントリには、Event Threat Detection で脅威を迅速に検出するために使用されるステータスとイベント情報が含まれています。Event Threat Detection は、検出ロジックと独自の脅威インテリジェンスを、ログに含まれる詳細な情報に適用します。Event Threat Detection は脅威を検出すると、その検出結果を Security Command Center と Cloud Logging プロジェクトに書き込みます。

Cloud Logging から、Pub/Sub で検出結果を他のシステムにエクスポートし、Cloud Functions で処理できます。

ルール

ルールでは、Event Threat Detection で検出される脅威の種類を定義します。現在、Event Threat Detection には以下のデフォルト ルールが含まれています。

表示名 API 名 ログソースのタイプ 説明
外部テーブルへの漏洩 org_exfiltration Cloud 監査ログ コピー オペレーションやオペレーションを含む、組織外に保存された保護された組織が所有するリソースの検出。
VPC 境界違反 vpc_perimeter_violation Cloud 監査ログ VPC Service Controls で保護されている BigQuery リソースへのアクセスの試行の検出。
マルウェア: 不正ドメイン malware_bad_domain Virtual Private Cloud(VPC)フローログ
Cloud DNS ログ
既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出
マルウェア: 不正 IP malware_bad_ip VPC フローログ
ファイアウォール ルールのログ
既知の不正な IP アドレスへの接続に基づくマルウェアの検出
クリプトマイニング: プールのドメイン cryptomining_pool_domain VPC フローログ
Cloud DNS ログ
既知のマイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出
クリプトマイニング: プールの IP cryptomining_pool_ip VPC フローログ
ファイアウォール ルールのログ
既知のマイニング IP アドレスへの接続に基づくクリプトマイニングの検出
ブルート フォース SSH brute_force_ssh syslog ホスト上の SSH の成功したブルート フォースの検出
送信 DoS outgoing_dos VPC フローログ 送信サービス拒否攻撃トラフィックの検出
IAM: 異常付与検出 iam_anomalous_grant Cloud 監査ログ 組織のメンバーではない Identity and Access Management(IAM)ユーザーとサービス アカウントに付与された権限の検出注: 現在のところ、この検出は gmail.com のメールアドレスを持つ Security Command Center ユーザーに対してのみトリガーされます。

カスタム検出ルールを作成するには、ログデータを BigQuery に保存してから、脅威モデルを収集する一意の SQL クエリ、または繰り返しの SQL クエリを実行できます。

ログタイプ

Event Threat Detection は、Google Cloud によって生成されたログを利用します。ログはデフォルトでは無効になっており、生成するログとログにアクセスできるプロダクトをご自身で決定できます。ただし、Event Threat Detection を使用するには、Event Threat Detection で完全に可視化しようとする組織、フォルダ、プロジェクトのログを有効にする必要があります。

現時点では、Event Threat Detection は、次の Google Cloud ソースからのログを使用します。各ソースのログを有効にするには、以下のリンクの手順に沿って操作してください。

Virtual Private Cloud のフローログを有効にする

Event Threat Detection は、マルウェア、フィッシング、クリプトマイニング、送信 DDoS、送信ポートスキャンの検出のために Virtual Private Cloud(VPC)フローログを分析します。Event Threat Detection は、VPC フローロギングが有効な場合に最も効果的に機能します。詳しくは VPC フローログをご覧ください。

Event Threat Detection は、頻繁なサンプリングと短い集計間隔で最も効果的に機能します。サンプリング レートを下げるか、集計間隔を長く設定すると、イベントの発生から検出までの間で遅延が生じることがあります。この遅延により、マルウェア、クリプトマイニング、フィッシング トラフィックの増加の可能性への評価が難しくなることがあります。

Cloud DNS ログを有効にする

Event Threat Detection は、マルウェア、フィッシング、クリプトマイニングの検出のために DNS ログを分析します。Event Threat Detection は、Cloud DNS ロギングが有効な場合に最も効果的に機能します。詳しくは Cloud DNS ログをご覧ください。

次のステップ