Visão geral conceitual da detecção de ameaças do evento

>

O que é o Event Threat Detection?

O Event Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente sua organização e identifica ameaças nos sistemas quase que em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.

Como o Event Threat Detection funciona

O Event Threat Detection monitora o fluxo do Cloud Logging da sua organização e consome registros de um ou mais projetos à medida que eles ficam disponíveis. As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica lógica de detecção e inteligência proprietária de ameaças às informações granulares contidas nos registros. Quando o Event Threat Detection detecta uma ameaça, ele grava o que encontra no Security Command Center e em um projeto do Cloud Logging.

No Cloud Logging, é possível exportar descobertas para outros sistemas com Pub/Sub e processá-las com o Cloud Functions.

Regras

As regras definem o tipo de ameaças que o Event Threat Detection detecta. Atualmente, o Event Threat Detection inclui as seguintes regras padrão:

Nome de exibição Nome da API Tipos de origem do registro Descrição
Exfiltração para tabela externa org_exfiltration Registros de auditoria do Cloud Detecção de recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência
Violação do perímetro de VPC vpc_perimeter_violation Registros de auditoria do Cloud Detecção de tentativas de acesso aos recursos do BigQuery protegidos pelo VPC Service Controls
Malware: domínio inválido malware_bad_domain Registro de fluxo de nuvem privada virtual (VPC)
Registro do Cloud DNS
Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido
Malware: IP inválido malware_bad_ip Registro de fluxo de VPC
Registro de regras de firewall
Detecção de malware baseado em uma conexão com um endereço IP inválido conhecido
Criptomineração: domínio de pool cryptomining_pool_domain Registro de fluxo de VPC
Registro do Cloud DNS
Detecção de criptomineração baseada em uma conexão ou uma pesquisa de um domínio de mineração conhecido
Criptomineração:IP de pool cryptomining_pool_ip Registro de fluxo de VPC
Registro de regras de firewall
Detecção de criptomineração com base em uma conexão com um endereço IP de mineração conhecido
SSH por força bruta brute_force_ssh syslog Detecção da força bruta do SSH em um host
DoS de saída outgoing_dos Registro de fluxo de VPC Detecção de tráfego de negação de serviço de saída
IAM: concessão anômala iam_anomalous_grant Registros de auditoria do Cloud Detecção de privilégios concedidos a usuários e contas de serviço do gerenciamento de identidade e acesso (IAM) que não são membros da organização Observação: no momento, essa descoberta só é acionada para usuários do Security Command Center com um endereço de e-mail gmail.com.

Para criar regras de detecção personalizadas, armazene os dados de registro no BigQuery e execute consultas SQL únicas ou recorrentes que capturam os modelos de ameaça.

Tipos de registro

O Event Threat Detection depende de registros gerados pelo Google Cloud. Os registros estão desativados por padrão, o que permite que você decida quais registros devem ser gerados e quais produtos podem acessá-los. No entanto, para usar o Event Threat Detection, você precisa ativar os registros para sua organização, pastas e projetos onde quer que o Event Threat Detection tenha visibilidade total.

Atualmente, o Event Threat Detection consome registros das fontes a seguir do Google Cloud. Siga as instruções nos links abaixo para ativar os registros de cada origem.

Como ativar os registros de fluxo da nuvem privada virtual

O Event Threat Detection analisa os registros de fluxo da nuvem privada virtual (VPC, na sigla em inglês) em busca de malware, phishing, criptografia, DDoS de saída e detecção de portas de saída. O Event Threat Detection funciona melhor quando a geração de registros de fluxo de VPC está ativa. Saiba mais sobre o PVC Flow Logs.

O Event Threat Detection funciona melhor com amostragem frequente e intervalos breves de agregação. Se você definir taxas de amostragem menores ou intervalos de agregação mais longos, poderá haver um atraso entre a ocorrência e a detecção de um evento. Esse atraso pode dificultar a avaliação de possíveis malwares, criptominerações ou aumento de tráfego de phishing.

Como ativar registros do Cloud DNS

O Event Threat Detection analisa registros DNS para detectar malware, phishing e criptomineração. O Event Threat Detection funciona melhor quando a geração de registros do Cloud DNS está ativa. Saiba mais sobre os registros do Cloud DNS.

A seguir