Visão geral conceitual da detecção de ameaças do evento

>

O que é o Event Threat Detection?

O Event Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente sua organização e identifica ameaças nos sistemas quase que em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.

Como o Event Threat Detection funciona

O Event Threat Detection monitora o stream do Cloud Logging da organização e consome registros para um ou mais projetos à medida que são disponibilizados. As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica a lógica de detecção e a inteligência proprietária de ameaças às informações granulares contidas nos registros.

O Event Threat Detection usa uma variedade de técnicas de análise, incluindo correspondência de indicador tripwire, criação de janelas, criação de perfil avançada, machine learning e detecção de anomalias para identificar ameaças quase em tempo real.

Ao detectar uma ameaça, o Event Threat Detection grava uma descoberta no Security Command Center e em um projeto do Cloud Logging. No Cloud Logging, é possível exportar descobertas para outros sistemas com Pub/Sub e processá-los com o Cloud Functions.

Regras

As regras definem o tipo de ameaças que o Event Threat Detection detecta e os tipos de registros que precisam ser ativados para que o detector funcione. Os registros de auditoria da Atividade de administração são sempre gravados; não será possível configurá-los ou desativá-los.

Atualmente, o Event Threat Detection inclui as seguintes regras padrão:

Nome de exibição Nome da API Tipos de origem do registro Descrição
Exfiltração para tabela externa org_exfiltration Registros de auditoria do Cloud : Registros de acesso a dados BigQueryAuditMetadata
Permissões:
DATA_READ
Detecção de recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência
Violação do perímetro de VPC vpc_perimeter_violation Registros de auditoria do Cloud : Registros de acesso a dados BigQueryAuditMetadata
Permissões:
DATA_READ
Detecção de tentativas de acesso aos recursos do BigQuery protegidos pelo VPC Service Controls
Malware: domínio inválido malware_bad_domain Registros do Cloud DNS:
Registro de atividades do administrador
Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido
Malware: IP inválido malware_bad_ip Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de malware baseado em uma conexão com um endereço IP inválido conhecido
Criptomineração: domínio de pool cryptomining_pool_domain Registros do Cloud DNS:
Registros de atividades do administrador
Detecção de criptomineração baseada em uma conexão ou uma pesquisa de um domínio de mineração conhecido
Criptomineração:IP de pool cryptomining_pool_ip Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de criptomineração com base em uma conexão com um endereço IP de mineração conhecido
Ataques de força bruta contra SSH brute_force_ssh syslog Detecção da força bruta do SSH em um host
DoS de saída outgoing_dos Registros de fluxo da VPC Detecção de tráfego de negação de serviço de saída
Persistência: IAM IAM anômala iam_anomalous_grant Registros de auditoria do Cloud:
Registros de atividades do administrador
Detecção de privilégios concedidos a usuários e contas de serviço do gerenciamento de identidade e acesso (IAM) que não são membros da organização Observação: no momento, essa descoberta só é acionada para usuários do Security Command Center com um endereço de e-mail gmail.com.
Persistência: nova região geográfica
Visualização
iam_anomalous_behavior_ip_geolocation Registros de auditoria do Cloud:
Registros de atividades do administrador
Detecção de usuários do Gerenciamento de identidade e acesso (IAM, na sigla em inglês) que acessam o Google Cloud em um local anômalo com base na geolocalização do endereço IP solicitante.
Persistência: novo user agent
Preview
iam_anomalous_behavior_user_agent Registros de auditoria do Cloud:
Registros de atividades do administrador
Detecção de usuários do Gerenciamento de identidade e acesso (IAM, na sigla em inglês) que acessam o Google Cloud por meio de um agente de usuários anômalos.
Descoberta: autoverificação da conta de serviço service_account_self_investigation Registros de auditoria do Cloud:
Registros de acesso a dados do Resource Manager
Permissões:
DATA_READ
Detecta quando uma credencial de conta de serviço é usada para investigar os papéis e permissões associados à mesma conta de serviço.

Para criar regras de detecção personalizadas, armazene os dados de registro no BigQuery e execute consultas SQL únicas ou recorrentes que capturam os modelos de ameaça.

Tipos de registro

O Event Threat Detection depende de registros gerados pelo Google Cloud. Os registros estão desativados por padrão, o que permite que você decida quais registros devem ser gerados e quais produtos podem acessá-los. No entanto, para usar o Event Threat Detection, você precisa ativar os registros para sua organização, pastas e projetos onde quer que o Event Threat Detection tenha visibilidade total.

Atualmente, o Event Threat Detection consome registros das fontes a seguir do Google Cloud. Siga as instruções nos links abaixo para ativar os registros de cada origem.

Como ativar os registros de fluxo da nuvem privada virtual

O Event Threat Detection analisa registros de fluxo da nuvem privada virtual (VPC) para detectar malware, phishing, criptomineração e detecção de DDoS de saída. O Event Threat Detection funciona melhor quando a geração de registros de fluxo de VPC está ativa. Saiba mais sobre o PVC Flow Logs.

O Event Threat Detection funciona melhor com amostragem frequente e intervalos breves de agregação. Se você definir taxas de amostragem menores ou intervalos de agregação mais longos, poderá haver um atraso entre a ocorrência e a detecção de um evento. Esse atraso pode dificultar a avaliação de possíveis aumentos de malware, criptomineação ou phishing.

Como ativar registros do Cloud DNS

O Event Threat Detection analisa registros DNS para detectar malware, phishing e criptomineração. O Event Threat Detection funciona melhor quando a geração de registros do Cloud DNS está ativa. Saiba mais sobre os registros do Cloud DNS.

A seguir