Como configurar a geração de registros do Event Threat Detection

>

Nesta página, descrevemos como configurar o Event Threat Detection legado e gerenciar os registros legados do Event Threat Detection, no Security Command Center Legacy, uma versão anterior ao GA do Security Command Center que não está disponível para novos assinantes. O Security Command Center legado só fica visível para usuários que não se inscreveram no nível Premium ou Standard do Security Command Center.

Se você já se inscreveu no nível Premium do Security Command Center, o Event Threat Detection é configurado automaticamente e é possível controlar a saída do Cloud Logging usando a configuração Coletores. Para mais informações, consulte como configurar o Security Command Center.

O Event Threat Detection monitora o stream do Cloud Logging da sua organização e detecta ameaças quase em tempo real. Para saber mais, leia Visão geral do Event Threat Detection.

Use as instruções a seguir para configurar as verificações do Event Threat Detection na IU legada e escolher onde gravar os registros.

Recomendamos que você use as seguintes configurações iniciais:

  • Verificar todos os projetos
  • Ativar todas as regras
  • Ativar o Cloud Logging para seu projeto

Cloud Console

Como verificar projetos

Na guia Fontes do Event Threat Detection, escolha os projetos que serão monitorados.

Para monitorar todos os projetos:

  1. Acesse a página Fontes do Event Threat Detection no Console do Cloud.
    Acessar a página "Fontes"
  2. Selecione Incluir todos os projetos atuais e futuros.
  3. Clique em Save.

Para monitorar a maioria dos projetos, exclua aqueles que você não quer monitorar:

  1. Acesse a página Fontes do Event Threat Detection no Console do Cloud.
    Acessar a página "Fontes"
  2. Selecione Excluir um subconjunto dos seus projetos.
  3. Selecione os projetos que você não quer monitorar.
  4. Clique em Save.

Para monitorar alguns projetos, selecione os projetos específicos a serem incluídos:

  1. Acesse a página Fontes do Event Threat Detection no Console do Cloud.
    Acessar a página "Fontes"
  2. Selecione Incluir um subconjunto dos seus projetos.
  3. Selecione os projetos a serem monitorados. Selecione pelo menos um.
  4. Clique em Save.

Regras para ativação

Na guia Regras do Event Threat Detection, selecione as regras que serão ativadas.

  1. Acesse a página Regras do Event Threat Detection no Console do Cloud.
    Acessar a página "Regras"
  2. Em Ativar, clique ao lado do nome de uma regra para ativá-la ou desativá-la.

Como configurar a saída

Na guia Saídas do Event Threat Detection, é possível selecionar o local de registro das descobertas.

As descobertas do Event Threat Detection são gravadas automaticamente no Security Command Center. Se você também quiser registrar suas descobertas no Pacote de operações do Google Cloud.

  1. Acesse a página Saídas do Event Threat Detection no Console do Cloud.
    Acessar a página "Saídas"
  2. Ative Registrar descobertas no Pacote de operações do Google Cloud.
  3. Selecione o projeto em que você quer armazenar os registros. Você pode inserir o nome em Projeto ou clicar em Procurar e selecioná-lo.
  4. Clique em Save.

API

Para ativar as configurações recomendadas do Event Threat Detection usando a API, consiga um token do portador de credenciais e use os seguintes comandos curl.

Como receber um token do portador de credencial

Para receber o token do portador de credencial da conta de serviço, use os seguintes comandos da ferramenta gcloud.

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

Como verificar projetos

Use sourceSettings para escolher quais projetos monitorar. Para ativar o Event Threat Detection para todos os projetos na sua organização, use o seguinte comando:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

Regras para ativação

Use detectorSettings para escolher quais detectores serão ativados. Para ativar todos os detectores de Event Threat Detection, use o comando a seguir para definir todas as regras como true:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

Como configurar a saída

Use sinkSettings para configurar a saída. Para definir o projeto em que as descobertas são registradas, use o seguinte comando:

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

Como desativar o Event Threat Detection

Para desativar o Event Threat Detection, defina sourceSettings, detectorSettings e sinkSettings como objetos vazios.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

A seguir