调查和应对威胁

本文档简要介绍了如何在 Security Command Center 中处理威胁发现结果。

准备工作

您需要具有足够的 Identity and Access Management (IAM) 角色,才能查看或修改发现结果和日志以及修改 Google Cloud 资源。如果您在 Security Command Center 中遇到访问权限错误,请向您的管理员寻求帮助,并参阅访问权限控制以了解角色。如需解决资源错误,请参阅受影响产品的相关文档。

了解威胁发现结果

Security Command Center 具有内置的检测服务,可使用不同的技术来检测云环境中的威胁。

  • Event Threat Detection 通过将 Cloud Logging 日志流中的事件与已知违规线索 (IoC) 进行匹配,生成安全性发现结果。由内部 Google 安全来源开发的 IoC 可发现潜在漏洞和攻击。Event Threat Detection 还可识别日志流中的已知对抗策略、技术和程序,并检测与组织或项目的过去行为的偏差,来检测威胁。如果您在组织级层激活 Security Command Center 高级层级,则 Event Threat Detection 还可以扫描您的 Google Workspace 日志。

  • Container Threat Detection 通过收集和分析容器客机内核中观察到的低级行为来生成发现结果。

  • Virtual Machine Threat Detection 可扫描 Compute Engine 项目和虚拟机 (VM) 实例以检测虚拟机中运行的潜在恶意应用,例如加密货币挖矿软件和内核模式 rootkit。

  • Cloud Run 威胁检测会监控受支持的 Cloud Run 资源的状态,以检测最常见的运行时攻击。

  • 敏感操作服务可检测何时在 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作(如果这些操作是由恶意方执行的)。

  • 异常检测使用来自系统外部的行为信号来检测服务账号中的安全异常情况,例如潜在的凭证泄露。

这些检测服务会在 Security Command Center 中生成发现结果。您还可以配置连续导出到 Cloud Logging

查看调查和响应建议

Security Command Center 提供了一些非正式指导信息,可帮助您调查在您的 Google Cloud 环境中发现的由潜在恶意方进行的可疑活动。按照这些指导信息操作有助于了解潜在攻击期间发生的情况,并为受影响的资源制定可行的响应措施。

Security Command Center 提供的技术不能保证对您之前、当前或未来面对的任何威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁

查看发现结果

如需在 Google Cloud 控制台中查看威胁发现结果,请按照以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 如有必要,请选择您的 Google Cloud 项目、文件夹或组织。

  3. 快速过滤条件部分中,点击相应的过滤条件,以在发现结果的查询结果表中显示所需的发现结果。例如,如果您在来源显示名称子部分中选择 Event Threat DetectionContainer Threat Detection,则结果中只会显示来自所选服务的发现结果。

    该表会填充所选择来源的发现结果。

  4. 如需查看特定发现结果的详细信息,请点击 Category 下的发现结果名称。发现结果详情窗格会展开,以显示发现结果的详情摘要。

  5. 要查看发现结果的 JSON 定义,请点击 JSON 标签页。

发现结果提供了突发事件中包含的资源的名称和数字标识符,以及环境变量和资源属性。您可以使用此信息快速隔离受影响的资源并确定事件的潜在范围。

为了帮助您进行调查,威胁发现结果还包含指向以下外部资源的链接:

  • MITRE ATT&CK 框架条目。该框架解释了针对云资源的攻击伎俩,并提供修复指南。
  • VirusTotal,一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。VirusTotal 指标字段(如果有)会提供 VirusTotal 链接,以帮助您进一步调查潜在的安全问题。

    VirusTotal 是单独定价的产品,具有不同的使用限制和功能。您有责任了解并遵守 VirusTotal 的 API 使用政策以及任何关联费用。如需了解详情,请参阅 VirusTotal 文档

以下部分概述了针对威胁发现结果的潜在响应。

停用威胁发现结果

解决触发威胁发现结果的问题后,Security Command Center 不会自动将发现结果的状态设置为 INACTIVE。除非您手动将 state 属性设置为 INACTIVE,否则威胁发现结果的状态会保留为 ACTIVE

对于假正例,请考虑将发现结果的状态保留为 ACTIVE,而不是忽略发现结果。

对于持久或重复的假正例,请创建忽略规则。设置忽略规则可以减少需要管理的发现结果数量,从而可以更轻松地识别真正的威胁。

对于真正的威胁,请在将发现结果的状态设置为 INACTIVE 之前,消除威胁,并完成对检测到的威胁、入侵范围以及任何其他相关发现结果和问题的全面调查。

如需忽略发现结果或更改发现结果的状态,请参阅以下主题:

为了帮助防止威胁再次发生,请查看并修复相关的漏洞和错误配置发现结果。

如需查找任何相关发现结果,请按照以下步骤操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 查看威胁发现结果,然后复制可能出现在任何相关漏洞或配置错误发现结果中的特性的值,例如主账号电子邮件地址或受影响资源的名称。

  3. 发现结果页面上,点击修改查询来打开查询编辑器

  4. 点击添加过滤条件选择过滤条件菜单随即会打开。

  5. 从菜单左侧的过滤条件类别列表中,选择包含您在威胁发现结果中记下的特性的类别。

    例如,如果您记下了受影响资源的完整名称,请选择资源资源类别的特性类型会显示在右侧的列中,包括完整名称特性。

  6. 从显示的特性中,选择您在威胁发现结果中记下的特性的类型。属性值的搜索面板会在右侧打开,并显示所选属性类型所有找到的值。

  7. 过滤条件字段中,粘贴您从威胁发现结果复制的属性值。显示的值列表会更新,仅显示与粘贴的值匹配的值。

  8. 从显示的值列表中选择一个或多个值,然后点击应用发现结果的查询结果面板会更新,仅显示匹配的发现结果。

  9. 如果结果中有许多发现结果,请通过从快速过滤条件面板中选择其他过滤条件来过滤发现结果。

    例如,如需仅显示包含所选特性值的 VulnerabilityMisconfiguration 类发现结果,请向下滚动到快速过滤条件面板的发现结果类部分,然后选择漏洞配置错误

修复威胁

修复威胁发现结果并不像修复 Security Command Center 发现的错误配置和漏洞一样简单。

错误配置和违规情况会识别资源中可能被利用的漏洞。通常,配置错误有已知且容易实现的修复方案,例如启用防火墙或轮替加密密钥。

威胁与漏洞有所不同,威胁是动态的,并指示针对一个或多个资源的可能发生的活跃漏洞。修复建议可能对保护资源安全不起作用,因为实现漏洞所用的确切方法可能未知。

例如,Added Binary Executed 发现结果指示容器中发布了未获授权的二进制文件。基本的修复建议可能有助于您隔离容器并删除该二进制文件,但可能无法解决允许攻击者执行此二进制文件的根本原因。您需要了解容器映像的损坏程度才能修复漏洞。如需确定文件是通过配置错误端口添加的还是通过其他一些方式添加的,您需要进行全面调查。对您的系统具有专业知识的分析师可能需要查看系统是否存在漏洞。

作恶方会使用不同的技术攻击资源,因此,对特定漏洞应用修复方案可能对攻击的变化不起作用。例如,为了响应 Brute Force: SSH 结果,您可以降低某些用户账号的权限级别来限制对资源的访问权限。但是,安全系数低的密码可能仍会提供攻击路径。

攻击途径范围广使得很难提供适用于所有情况的修复步骤。Security Command Center 在云安全方案中的作用是近乎实时地发现受影响的资源,告诉您面临的威胁,并提供证据和上下文来帮助您进行调查。但您的安全人员必须使用 Security Command Center 发现结果中的敏感信息来确定修复问题并保护资源免受未来攻击的最佳方法。

后续步骤