Investigar e responder a ameaças

Este documento fornece informações gerais sobre como trabalhar com as conclusões de ameaças no Security Command Center.

Antes de começar

Precisa de funções de gestão de identidade e de acesso (IAM) adequadas para ver ou editar descobertas e registos, e modificar Google Cloud recursos. Se encontrar erros de acesso no Security Command Center, peça ajuda ao seu administrador e consulte o artigo Controlo de acesso para saber mais sobre as funções. Para resolver erros de recursos, leia a documentação dos produtos afetados.

Compreenda as conclusões de ameaças

O Security Command Center tem serviços de deteção incorporados que usam diferentes técnicas para detetar ameaças no seu ambiente de nuvem.

  • A Deteção de ameaças de eventos produz conclusões de segurança ao fazer corresponder eventos nas suas streams de registo do Cloud Logging a indicadores de comprometimento (IoC) conhecidos. Os IoCs, desenvolvidos por fontes de segurança internas da Google, identificam potenciais vulnerabilidades e ataques. A Deteção de ameaças de eventos também deteta ameaças através da identificação de táticas, técnicas e procedimentos adversariais conhecidos no seu fluxo de registo, e através da deteção de desvios do comportamento anterior da sua organização ou projeto. Se ativar o nível Security Command Center Premium ao nível da organização, a Deteção de ameaças com base em eventos também pode analisar os registos do Google Workspace.

  • A deteção de ameaças de contentores gera resultados através da recolha e análise do comportamento observado de baixo nível no kernel convidado dos contentores.

  • A deteção de ameaças da máquina virtual analisa projetos do Compute Engine e instâncias de máquinas virtuais (VMs) para detetar aplicações potencialmente maliciosas em execução em VMs, como software de mineração de criptomoedas e rootkits no modo kernel.

  • A deteção de ameaças do Cloud Run monitoriza o estado dos recursos do Cloud Run suportados para detetar os ataques de tempo de execução mais comuns.

  • O serviço de ações confidenciais deteta quando são tomadas ações na sua Google Cloud organização, pastas e projetos Google Cloud que podem ser prejudiciais para a sua empresa se forem tomadas por um ator malicioso.

  • A Deteção de anomalias usa sinais de comportamento externos ao seu sistema para detetar anomalias de segurança nas suas contas de serviço, como potenciais credenciais roubadas.

Estes serviços de deteção geram resultados no Security Command Center. Também pode configurar exportações contínuas para o Cloud Logging.

Reveja as recomendações de investigação e resposta

O Security Command Center oferece orientações informais para ajudar a investigar as conclusões de atividades suspeitas no seu ambiente de potenciais autores maliciosos. Google Cloud Seguir as orientações pode ajudar a compreender o que aconteceu durante um potencial ataque e a desenvolver possíveis respostas para os recursos afetados.

Não é garantido que as técnicas fornecidas pelo Security Command Center sejam eficazes contra ameaças anteriores, atuais ou futuras que enfrenta. Para informações sobre o motivo pelo qual o Security Command Center não fornece orientações oficiais de remediação para ameaças, consulte o artigo Remediar ameaças.

Reveja uma descoberta

Para rever uma deteção de ameaça na Google Cloud consola, siga estes passos:

  1. Na Google Cloud consola, aceda à página Resultados do Security Command Center.

    Aceda a Conclusões

  2. Se necessário, selecione o seu Google Cloud projeto, pasta ou organização.

  3. Na secção Filtros rápidos, clique num filtro adequado para apresentar a descoberta de que precisa na tabela Resultados da consulta de descobertas. Por exemplo, se selecionar Deteção de ameaças de eventos ou Deteção de ameaças de contentores na subsecção Nome a apresentar da origem, apenas são apresentadas nos resultados as conclusões do serviço selecionado.

    A tabela é preenchida com as conclusões da origem selecionada.

  4. Para ver detalhes de uma descoberta específica, clique no nome da descoberta em Category. O painel de detalhes da descoberta expande-se para apresentar um resumo dos detalhes da descoberta.

  5. Para ver a definição JSON da descoberta, clique no separador JSON.

As conclusões fornecem os nomes e os identificadores numéricos dos recursos envolvidos num incidente, juntamente com as variáveis de ambiente e as propriedades dos recursos. Pode usar essas informações para isolar rapidamente os recursos afetados e determinar o âmbito potencial de um evento.

Para ajudar na sua investigação, as conclusões de ameaças também contêm links para os seguintes recursos externos:

  • Entradas da framework MITRE ATT&CK. A estrutura explica as técnicas de ataques contra recursos na nuvem e fornece orientações de remediação.
  • VirusTotal, um serviço pertencente à Alphabet que fornece contexto sobre ficheiros, URLs, domínios e endereços IP potencialmente maliciosos. Se estiver disponível, o campo Indicador do VirusTotal fornece um link para o VirusTotal para ajudar a investigar mais detalhadamente potenciais problemas de segurança.

    O VirusTotal é uma oferta com preços separados e limites de utilização e funcionalidades diferentes. É responsável por compreender e agir em conformidade com as políticas de utilização da API do VirusTotal e quaisquer custos associados. Para mais informações, consulte a documentação do VirusTotal.

As secções seguintes descrevem potenciais respostas a resultados de ameaças.

Desative uma descoberta de ameaça

Depois de resolver um problema que acionou uma deteção de ameaças, o Security Command Center não define automaticamente o estado da deteção como INACTIVE. O estado de uma descoberta de ameaça permanece ACTIVE, a menos que defina manualmente a propriedade state como INACTIVE.

Para um falso positivo, considere deixar o estado da descoberta como ACTIVE e, em alternativa, desativar o som da descoberta.

Para falsos positivos persistentes ou recorrentes, crie uma regra de desativação do som. A definição de uma regra de desativação do som pode reduzir o número de resultados que tem de gerir, o que facilita a identificação de uma ameaça real quando ocorre.

Para uma ameaça real, antes de definir o estado da descoberta como INACTIVE, elimine a ameaça e conclua uma investigação exaustiva da ameaça detetada, da extensão da intrusão e de quaisquer outras descobertas e problemas relacionados.

Para desativar o som de uma descoberta ou alterar o respetivo estado, consulte os seguintes tópicos:

Para ajudar a evitar a recorrência de ameaças, reveja e corrija as conclusões relacionadas com vulnerabilidades e configurações incorretas.

Para encontrar conclusões relacionadas, siga estes passos:

  1. Na Google Cloud consola, aceda à página Resultados do Security Command Center.

    Aceda a Conclusões

  2. Reveja a deteção de ameaças e copie o valor de um atributo que é provável que apareça em qualquer deteção de vulnerabilidade ou configuração incorreta relacionada, como o endereço de email principal ou o nome do recurso afetado.

  3. Na página Resultados, abra o Editor de consultas clicando em Editar consulta.

  4. Clique em Adicionar filtro. O menu Selecionar filtro é aberto.

  5. Na lista de categorias de filtros no lado esquerdo do menu, selecione a categoria que contém o atributo que anotou na deteção de ameaças.

    Por exemplo, se anotou o nome completo do recurso afetado, selecione Recurso. Os tipos de atributos da categoria Resource são apresentados na coluna à direita, incluindo o atributo Full name.

  6. Nos atributos apresentados, selecione o tipo de atributo que observou na deteção de ameaças. É aberto um painel de pesquisa para valores de atributos à direita e são apresentados todos os valores encontrados do tipo de atributo selecionado.

  7. No campo Filtro, cole o valor do atributo que copiou da detecção de ameaças. A lista de valores apresentada é atualizada para mostrar apenas os valores que correspondem ao valor colado.

  8. Na lista de valores apresentados, selecione um ou mais valores e clique em Aplicar. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas correspondentes.

  9. Se houver muitas descobertas nos resultados, filtre-as selecionando filtros adicionais no painel Filtros rápidos.

    Por exemplo, para mostrar apenas as conclusões de classe Vulnerability e Misconfiguration que contêm os valores de atributos selecionados, desloque a página para baixo até à secção Classe de conclusões do painel Filtros rápidos e selecione Vulnerabilidade e Configuração incorreta.

Corrigir ameaças

A correção dos resultados de ameaças não é tão simples como corrigir erros de configuração e vulnerabilidades identificados pelo Security Command Center.

As configurações incorretas e as violações de conformidade identificam pontos fracos nos recursos que podem ser explorados. Normalmente, as configurações incorretas têm correções conhecidas e fáceis de implementar, como ativar uma firewall ou rodar uma chave de encriptação.

As ameaças diferem das vulnerabilidades, pois são dinâmicas e indicam uma possível exploração ativa contra um ou mais recursos. Uma recomendação de correção pode não ser eficaz na proteção dos seus recursos porque os métodos exatos usados para alcançar a exploração podem não ser conhecidos.

Por exemplo, uma deteção de Added Binary Executed indica que um ficheiro binário não autorizado foi iniciado num contentor. Uma recomendação de remediação básica pode aconselhar a colocar o contentor em quarentena e eliminar o ficheiro binário, mas isso pode não resolver a causa principal subjacente que permitiu ao atacante aceder para executar o ficheiro binário. Tem de descobrir como a imagem do contentor foi danificada para corrigir a exploração. Determinar se o ficheiro foi adicionado através de uma porta configurada incorretamente ou por outros meios requer uma investigação exaustiva. Um analista com conhecimentos de nível especializado do seu sistema pode ter de o rever para encontrar vulnerabilidades.

Os autores de ataques maliciosos atacam os recursos com técnicas diferentes, pelo que a aplicação de uma correção para uma exploração específica pode não ser eficaz contra variações desse ataque. Por exemplo, em resposta a uma descoberta, pode diminuir os níveis de autorização de algumas contas de utilizador para limitar o acesso aos recursos.Brute Force: SSH No entanto, as palavras-passe fracas podem continuar a fornecer um caminho de ataque.

A amplitude dos vetores de ataque dificulta a disponibilização de passos de correção que funcionem em todas as situações. O papel do Security Command Center no seu plano de segurança na nuvem é identificar os recursos afetados em tempo quase real, indicar as ameaças que enfrenta e fornecer provas e contexto para ajudar nas suas investigações. No entanto, o seu pessoal de segurança tem de usar as informações detalhadas nas conclusões do Security Command Center para determinar as melhores formas de corrigir problemas e proteger os recursos contra ataques futuros.

O que se segue?