Event Threat Detection 概念性概览

>

Event Threat Detection 概念和特性简要概览。

Event Threat Detection 的工作原理

Event Threat Detection 可监控您组织的 Cloud Logging 流,并在一个或多个项目可用时使用这些日志。当 Event Threat Detection 检测到威胁时,会将发现结果写入 Security Command Center 和 Cloud Logging 项目。从Cloud Logging 中,您可以使用 Pub/Sub 将发现结果导出到其他系统,并使用 Cloud Functions 对其进行处理。

规则

规则定义了 Event Threat Detection 检测到的威胁类型。目前,Event Threat Detection 包含以下默认规则:

显示名 API 名称 日志源类型 说明
恶意软件错误网域 malware_bad_domain Virtual Private Cloud (VPC) 流日志
Cloud DNS 日志
根据与已知恶意网域的连接或查询内容的恶意软件检测恶意软件
恶意软件错误 IP malware_bad_ip VPC 流日志
防火墙规则日志
根据与已知不良 IP 地址的连接检测恶意软件
挖矿池网域 cryptomining_pool_domain VPC 流日志
Cloud DNS 日志
根据与已知挖矿网域的连接或查询挖掘加密内容
挖矿池 IP cryptomining_pool_ip VPC 流日志
防火墙规则日志
根据与已知挖矿 IP 地址的连接检测加密
SSH 暴力破解 brute_force_ssh syslog 检测主机上的 SSH 暴力破解能力
传出 DoS outgoing_dos VPC 流日志 检测拒绝服务攻击流量传出事件
IAM:异常授权 iam_anomalous_grant Cloud Audit Logs 检测授予身份和访问权限管理 (IAM) 用户和不属于组织成员的服务帐号的特权。注意:目前,此发现结果只有具有 gmail.com 电子邮件地址的 Security Command Center 用户才触发。

要创建自定义检测规则,您可以将日志数据存储在 BigQuery 中,然后运行用于捕获威胁模型的唯一或定期 SQL 查询。

日志类型

目前,Event Threat Detection 使用来自以下 Google Cloud 来源的日志。

激活 Virtual Private Cloud 流日志

Event Threat Detection 可分析 Virtual Private Cloud (VPC) 流日志中是否存在恶意软件、网上诱骗、挖矿、出站 DDoS 和出站端口扫描检测。当 VPC 流日志处于活动状态时,Event Threat Detection 的效果最佳。详细了解 VPC 流日志

Event Threat Detection 最适合频繁的采样和简短的汇总间隔。如果您设置了较低的采样率或更长的聚合间隔,则发生事件到事件检测之间可能会有延迟。这可能会更难评估恶意软件,挖矿或网上诱骗流量是否增加。

激活 Cloud DNS 日志

Event Threat Detection 会分析 DNS 日志以查找恶意软件、网上诱骗和挖矿检测。当 Cloud DNS 日志记录处于活跃状态时,Event Threat Detection 的运行效果最佳。详细了解 Cloud DNS 日志

后续步骤