Bedrohungen untersuchen und darauf reagieren

In diesem Dokument finden Sie allgemeine Informationen zur Verwendung von Bedrohungsergebnissen in Security Command Center.

Hinweise

Sie benötigen ausreichende IAM-Rollen (Identity and Access Management), um Ergebnisse und Logs aufzurufen oder zu bearbeiten und Google Cloud -Ressourcen zu ändern. Wenn in Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator und lesen Sie die Informationen zur Zugriffssteuerung. Informationen zur Behebung von Ressourcenfehlern finden Sie in der Dokumentation zu den betroffenen Produkten.

Ergebnisse zu Bedrohungen

Security Command Center verfügt über integrierte Erkennungsdienste, die verschiedene Techniken verwenden, um Bedrohungen in Ihrer Cloud-Umgebung zu erkennen.

  • Event Threat Detection liefert Sicherheitsergebnisse, indem Ereignisse in Ihren Cloud Logging-Logstreams mit bekannten Indikatoren für Manipulation (IoC) abgeglichen werden. IoCs, die von internen Google-Sicherheitsquellen entwickelt wurden, identifizieren potenzielle Sicherheitslücken und Angriffe. Event Threat Detection erkennt auch Bedrohungen, indem es bekannte schädliche Taktiken, Techniken und Verfahren in Ihrem Logging-Stream identifiziert und Abweichungen vom bisherigen Verhalten Ihrer Organisation oder Ihres Projekts erkennt. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Event Threat Detection auch Ihre Google Workspace-Logs scannen.

  • Container Threat Detection generiert Ergebnisse, indem das Low-Level-Verhalten im Gast-Kernel von Containern erfasst und analysiert wird.

  • Virtual Machine Threat Detection scannt Compute Engine-Projekte und VM-Instanzen, um potenziell schädliche Anwendungen zu erkennen, die in VMs ausgeführt werden, z. B. Software zum Mining von Kryptowährungen und Kernel-Mode-Rootkits.

  • Cloud Run Threat Detection überwacht den Status unterstützter Cloud Run-Ressourcen, um die häufigsten Laufzeitangriffe zu erkennen.

  • Der Sensitive Actions Service erkennt, wenn in Ihrer Google Cloud -Organisation, Ihren Ordnern und Projekten Aktionen ausgeführt werden, die Ihrem Unternehmen schaden können, wenn sie von einem böswilligen Akteur ausgeführt werden.

  • Die Anomalieerkennung verwendet Verhaltenssignale von außerhalb Ihres Systems, um Sicherheitsanomalien in Ihren Dienstkonten zu erkennen, z. B. potenziell offengelegte Anmeldedaten.

Diese Erkennungsdienste generieren Ergebnisse in Security Command Center. Sie können auch kontinuierliche Exporte nach Cloud Logging konfigurieren.

Empfehlungen für die Untersuchung und Reaktion prüfen

Security Command Center bietet informelle Anleitungen, mit denen Sie Ergebnisse zu verdächtigen Aktivitäten in Ihrer Google Cloud -Umgebung durch potenziell böswillige Akteure untersuchen können. Wenn Sie sich an die Anleitung halten, können Sie nachvollziehen, was bei einem potenziellen Angriff passiert ist, und mögliche Reaktionen für die betroffenen Ressourcen entwickeln.

Die von Security Command Center bereitgestellten Techniken können nicht garantiert werden, dass sie vor vorherigen, aktuellen oder zukünftigen Bedrohungen wirksam sind. Informationen dazu, warum Security Command Center keine offiziellen Korrekturmaßnahmen für Bedrohungen bietet, finden Sie unter Bedrohungen beheben.

Ergebnis prüfen

So prüfen Sie ein Ergebnis zu einer Bedrohung in der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie bei Bedarf Ihr Google Cloud Projekt, Ihren Ordner oder Ihre Organisation aus.

  3. Klicken Sie im Bereich Schnellfilter auf einen entsprechenden Filter, um das benötigte Ergebnis in der Tabelle Ergebnisse der Ergebnisabfrage aufzurufen. Wenn Sie beispielsweise im Unterabschnitt Anzeigename der Quelle die Option Event Threat Detection oder Container Threat Detection auswählen, werden in den Ergebnissen nur Ergebnisse des ausgewählten Dienstes angezeigt.

    Die Tabelle enthält die Ergebnisse für die ausgewählte Quelle.

  4. Klicken Sie auf den Namen des Ergebnisses unter Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und zeigt eine Zusammenfassung der Ergebnisdetails an.

  5. Klicken Sie auf den Tab JSON, um die JSON-Definition des Ergebnisses aufzurufen.

Die Ergebnisse liefern die Namen und numerischen Kennzeichnungen der an einem Vorfall beteiligten Ressourcen sowie Umgebungsvariablen und Asset-Attribute. Mit diesen Informationen können Sie betroffene Ressourcen schnell isolieren und den potenziellen Umfang eines Ereignisses feststellen.

Bedrohungsergebnissen enthalten auch Links zu den folgenden externen Ressourcen, um Sie bei der Untersuchung zu unterstützen:

  • MITRE-ATT&CK-Framework-Einträge Das Framework erklärt Techniken für Angriffe auf Cloud-Ressourcen und bietet Anleitungen zur Problembehebung.
  • VirusTotal, ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt. Falls verfügbar, enthält das Feld VirusTotal-Indikator einen Link zu VirusTotal, mit dem Sie potenzielle Sicherheitsprobleme weiter untersuchen können.

    VirusTotal ist ein separat berechnetes Angebot mit anderen Nutzungslimits und Funktionen. Sie sind dafür verantwortlich, die Richtlinien zur API-Nutzung von VirusTotal zu verstehen und einzuhalten und alle damit verbundenen Kosten zu tragen. Weitere Informationen finden Sie in der VirusTotal-Dokumentation.

In den folgenden Abschnitten werden potenzielle Antworten auf Bedrohungsergebnisse beschrieben.

Bedrohungsergebnis deaktivieren

Nachdem Sie ein Problem behoben haben, das ein Ergebnis zu einer Bedrohung ausgelöst hat, wird der Status des Ergebnisses in Security Command Center nicht automatisch auf INACTIVE festgelegt. Der Status eines Threat-Ergebnisses bleibt ACTIVE, sofern Sie die Property state nicht manuell auf INACTIVE festlegen.

Bei einem falsch-positiven Ergebnis sollten Sie den Status des Ergebnisses auf ACTIVE belassen und das Ergebnis stattdessen stummschalten.

Bei dauerhaften oder wiederkehrenden Falschmeldungen können Sie eine Ausblendungsregel erstellen. Durch das Festlegen einer Stummschaltungsregel können Sie die Anzahl der Ergebnisse reduzieren, die Sie verwalten müssen. So lässt sich eine tatsächliche Bedrohung leichter erkennen.

Wenn es sich um eine echte Bedrohung handelt, müssen Sie die Bedrohung beseitigen und eine gründliche Untersuchung der erkannten Bedrohung, des Ausmaßes des Eindringens und aller anderen zugehörigen Ergebnisse und Probleme durchführen, bevor Sie den Status des Ergebnisses auf INACTIVE setzen.

Informationen zum Stummschalten eines Ergebnisses oder zum Ändern des Status finden Sie in den folgenden Themen:

Prüfen und beheben Sie die entsprechenden Sicherheitslücken und Fehlkonfigurationen, um wiederkehrende Bedrohungen zu vermeiden.

So finden Sie zugehörige Ergebnisse:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Sehen Sie sich das Ergebnis zur Bedrohung an und kopieren Sie den Wert eines Attributs, das wahrscheinlich in allen zugehörigen Ergebnissen zu Sicherheitslücken oder Fehlkonfigurationen vorkommt, z. B. die E-Mail-Adresse des Principals oder den Namen der betroffenen Ressource.

  3. Öffnen Sie auf der Seite Ergebnisse den Abfrageeditor, indem Sie auf Abfrage bearbeiten klicken.

  4. Klicken Sie auf Filter hinzufügen. Das Menü Filter auswählen wird geöffnet.

  5. Wählen Sie in der Liste der Filterkategorien auf der linken Seite des Menüs die Kategorie aus, die das Attribut enthält, das Sie im Threat-Ergebnis angegeben haben.

    Wenn Sie beispielsweise den vollständigen Namen der betroffenen Ressource notiert haben, wählen Sie Ressource aus. Die Attributtypen der Kategorie Ressource werden in der Spalte rechts angezeigt, einschließlich des Attributs Vollständiger Name.

  6. Wählen Sie aus den angezeigten Attributen den Attributtyp aus, den Sie im Threat-Ergebnis angegeben haben. Rechts wird ein Suchfeld für Attributwerte geöffnet, in dem alle gefundenen Werte des ausgewählten Attributtyps angezeigt werden.

  7. Fügen Sie in das Feld Filter den Attributwert ein, den Sie aus dem Threat-Ergebnis kopiert haben. Die angezeigte Liste der Werte wird aktualisiert und enthält nur noch die Werte, die mit dem eingefügten Wert übereinstimmen.

  8. Wählen Sie in der Liste der angezeigten Werte einen oder mehrere Werte aus und klicken Sie auf Übernehmen. Der Bereich Ergebnisabfrageergebnisse wird aktualisiert und zeigt nur die übereinstimmenden Ergebnisse an.

  9. Wenn die Ergebnisse viele Funde enthalten, können Sie sie filtern, indem Sie im Bereich Schnellfilter zusätzliche Filter auswählen.

    Wenn Sie beispielsweise nur die Ergebnisse der Klassen Vulnerability und Misconfiguration anzeigen möchten, die die ausgewählten Attributwerte enthalten, scrollen Sie im Bereich Schnellfilter zum Abschnitt Ergebnisklasse und wählen Sie Sicherheitslücke und Fehlkonfiguration aus.

Bedrohungen beheben

Die Behebung von Bedrohungsergebnissen ist nicht so einfach wie das Beheben von Konfigurationsfehlern und Sicherheitslücken, die von Security Command Center ermittelt wurden.

Konfigurationsfehler und Compliance-Verstöße identifizieren Schwachstellen in Ressourcen, die ausgenutzt werden könnten. Normalerweise haben Fehlkonfigurationen bekannte, einfach zu implementierende Fehlerbehebungen, wie das Aktivieren einer Firewall oder das Rotieren eines Verschlüsselungsschlüssels.

Bedrohungen unterscheiden sich von Sicherheitslücken dadurch, dass sie dynamisch sind und darauf hindeuten, dass eine oder mehrere Ressourcen aktiv genutzt werden können. Eine Korrekturempfehlung ist möglicherweise nicht effektiv beim Sichern Ihrer Ressourcen, da die genauen Methoden, mit denen der Exploit erreicht wurde, möglicherweise nicht bekannt sind.

Beispiel: Ein Added Binary Executed-Ergebnis gibt an, dass eine nicht autorisierte Binärdatei in einem Container gestartet wurde. Eine grundlegende Korrekturempfehlung bietet möglicherweise an, den Container unter Quarantäne zu stellen und die Binärdatei zu löschen, ohne die zugrunde liegende Ursache zu beheben, die dem Angreifer Zugriff auf die Binärdatei ermöglicht. Sie müssen herausfinden, wie das Container-Image beschädigt wurde, um den Exploit zu beheben. Um festzustellen, ob die Datei über einen falsch konfigurierten Port oder auf andere Weise hinzugefügt wurde, ist eine gründliche Untersuchung erforderlich. Ein Analyst mit entsprechenden Kenntnissen über Ihr System muss Ihr System unter Umständen auf Schwachstellen prüfen.

Böswillige Akteure greifen Ressourcen mithilfe verschiedener Techniken an. Deshalb ist die Anwendung einer Korrektur für einen bestimmten Exploit möglicherweise nicht auf Varianten dieses Angriffs wirksam. Als Reaktion auf ein Brute Force: SSH-Ergebnis können Sie beispielsweise die Berechtigungsstufen einiger Nutzerkonten verringern, um den Zugriff auf Ressourcen einzuschränken. Schwache Passwörter können jedoch immer noch einen Angriffspfad darstellen.

Die Breite der Angriffsvektoren erschwert die Behebung von Maßnahmen, die in allen Situationen funktionieren. Die Rolle von Security Command Center in Ihrem Cloud-Sicherheitsplan besteht darin, betroffene Ressourcen nahezu in Echtzeit zu identifizieren, Ihnen mitteilen, welche Bedrohungen Sie haben, und Nachweise und Kontext für Ihre Untersuchungen bereitzustellen. Das Sicherheitspersonal muss jedoch die umfassenden Informationen in den Ergebnissen von Security Command Center verwenden, um die besten Möglichkeiten zur Behebung von Problemen und zum Schutz von Ressourcen vor zukünftigen Angriffen zu ermitteln.

Nächste Schritte