調查並因應威脅

本文提供高階資訊,說明如何在 Security Command Center 中處理威脅發現項目。

事前準備

您必須具備適當的 Identity and Access Management (IAM) 角色,才能查看或編輯調查結果和記錄,以及修改 Google Cloud 資源。如果在 Security Command Center 中遇到存取權錯誤,請向管理員尋求協助,並參閱「存取權控管」一文瞭解角色。如要解決資源錯誤,請參閱受影響產品的說明文件。

瞭解威脅發現項目

Security Command Center 內建偵測服務,可運用不同技術偵測雲端環境中的威脅。

  • Event Threat Detection 會將 Cloud Logging 記錄串流中的事件與已知的入侵指標 (IoC) 進行比對,藉此產生安全性發現項目。IoC 由 Google 內部安全防護機制來源開發,可識別潛在漏洞和攻擊。Event Threat Detection 也會偵測記錄串流中已知的敵對策略、技術和程序,以及偵測貴機構或專案過去行為的偏差情形,藉此偵測威脅。如果您在機構層級啟用 Security Command Center Premium 級,Event Threat Detection 也能掃描 Google Workspace 記錄。

  • Container Threat Detection 會收集及分析容器訪客核心中觀察到的低階行為,藉此產生發現項目。

  • 虛擬機器威脅偵測會掃描 Compute Engine 專案和虛擬機器 (VM) 執行個體,偵測 VM 中執行的潛在惡意應用程式,例如加密貨幣挖礦軟體和核心模式 Rootkit。

  • Cloud Run Threat Detection 會監控支援的 Cloud Run 資源狀態,偵測最常見的執行階段攻擊。

  • 敏感動作服務會偵測 Google Cloud 機構、資料夾和專案 Google Cloud 中發生的動作,如果這些動作是由惡意行為者執行,可能會對您的業務造成損害。

  • 異常偵測 會使用您系統以外的行為信號,偵測服務帳戶中的安全性異常狀況,例如憑證可能遭到外洩。

這些偵測服務會在 Security Command Center 中產生發現項目。您也可以設定持續匯出至 Cloud Logging

查看調查和回應建議

Security Command Center 提供非正式的指引,協助您調查環境中可能來自惡意行為者的可疑活動發現項目。 Google Cloud 按照這些指引操作,有助於瞭解潛在攻擊期間發生的情況,並為受影響的資源制定可能的應變措施。

Security Command Center 提供的技術不保證能有效防範您面臨的任何先前、目前或未來威脅。如要瞭解 Security Command Center 為何不提供官方威脅補救指南,請參閱「補救威脅」。

查看發現項目

如要在 Google Cloud 控制台中查看威脅發現項目,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

    前往「發現項目」

  2. 視需要選取 Google Cloud 專案、資料夾或機構。

  3. 在「快速篩選器」部分中,按一下適當的篩選器,即可在「發現項目查詢結果」表格中顯示所需發現項目。舉例來說,如果您在「來源顯示名稱」子區段中選取「Event Threat Detection」或「Container Threat Detection」,結果中只會顯示所選服務的發現項目。

    表格會填入所選來源的發現項目。

  4. 如要查看特定發現項目的詳細資料,請按一下 Category 下方的發現項目名稱。發現項目詳細資料窗格會展開,顯示發現項目詳細資料的摘要。

  5. 如要查看發現項目的 JSON 定義,請按一下「JSON」分頁標籤。

調查結果會提供事件中涉及的資源名稱和數字 ID,以及環境變數和資產屬性。您可以利用這項資訊快速找出受影響的資源,並判斷可能的事件影響範圍。

為協助您進行調查,威脅發現結果也包含下列外部資源的連結:

  • MITRE ATT&CK 架構項目。這個架構說明針對雲端資源的攻擊技術,並提供補救指引。
  • VirusTotal: Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。如果有的話,「VirusTotal 指標」欄位會提供 VirusTotal 的連結,協助您進一步調查潛在的安全性問題。

    VirusTotal 是另外計費的服務,有不同的用量限制和功能。您有責任瞭解並遵守 VirusTotal 的 API 使用政策,以及支付任何相關費用。詳情請參閱 VirusTotal 說明文件

以下各節概述對威脅發現結果的可能回應。

停用威脅發現項目

解決觸發威脅發現的問題後,Security Command Center 不會自動將發現項目的狀態設為 INACTIVE。除非您手動將 state 屬性設為 INACTIVE,否則威脅發現項目的狀態會維持 ACTIVE

如果是誤判,建議您將發現項目狀態保留為 ACTIVE,並改為將發現項目設為靜音。

如果系統持續或重複回報誤判結果,請建立忽略規則。 設定靜音規則可減少需要管理的發現項目數,方便您在發生實際威脅時輕鬆辨識。

如果是真正的威脅,請先消除威脅,並徹底調查偵測到的威脅、入侵程度,以及任何其他相關發現和問題,再將發現的狀態設為 INACTIVE

如要忽略發現項目或變更其狀態,請參閱下列主題:

為避免威脅再次發生,請查看並修正相關安全漏洞和設定錯誤的發現結果。

如要找出任何相關發現,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。

    前往「發現項目」

  2. 查看威脅發現項目,並複製可能出現在任何相關安全漏洞或錯誤設定發現項目中的屬性值,例如主體電子郵件地址或受影響資源的名稱。

  3. 在「Findings」(發現) 頁面中,按一下「Edit query」(編輯查詢),開啟「Query editor」(查詢編輯器)

  4. 按一下「新增篩選條件」,「選取篩選器」選單隨即開啟。

  5. 在選單左側的篩選器類別清單中,選取包含您在威脅發現中記錄的屬性類別。

    舉例來說,如果您記下受影響資源的完整名稱,請選取「Resource」。「資源」類別的屬性類型會顯示在右側欄中,包括「全名」屬性。

  6. 從顯示的屬性中,選取您在威脅發現中記錄的屬性類型。屬性值的搜尋面板會在右側開啟,並顯示所選屬性類型的所有找到的值。

  7. 在「Filter」(篩選器) 欄位中,貼上您從威脅發現項目複製的屬性值。顯示的值清單會更新,只顯示與貼上值相符的值。

  8. 從顯示的值清單中選取一或多個值,然後按一下「套用」。「發現項目查詢結果」面板會更新,只顯示相符的發現項目。

  9. 如果結果中有很多發現項目,請從「快速篩選器」面板選取其他篩選器,篩選發現項目。

    舉例來說,如要只顯示包含所選屬性值的 VulnerabilityMisconfiguration 類別發現項目,請向下捲動至「快速篩選器」面板的「發現項目類別」部分,然後選取「安全性弱點」和「設定錯誤」

修正威脅

修正威脅發現項目不像修正 Security Command Center 識別出的錯誤設定和安全漏洞那麼簡單。

錯誤設定和違規情形會指出資源中可能遭利用的弱點。通常錯誤設定都有已知的修正方式,且容易實作,例如啟用防火牆或輪替加密金鑰。

威脅與安全漏洞不同,威脅是動態的,表示可能正在對一或多個資源進行攻擊。由於您可能不知道確切的攻擊手法,因此補救建議可能無法有效保護資源。

舉例來說,Added Binary Executed 發現結果表示容器中啟動了未經授權的二進位檔。基本的補救建議可能建議您隔離容器並刪除二進位檔,但這可能無法解決導致攻擊者存取並執行二進位檔的根本原因。您需要找出容器映像檔損毀的原因,才能修正這個漏洞。如要判斷檔案是透過設定錯誤的連接埠新增,還是透過其他方式新增,需要進行深入調查。系統可能需要由具備專業知識的分析師審查,找出弱點。

惡意行為者會使用不同技術攻擊資源,因此針對特定攻擊手法套用修正措施,可能無法有效防範該攻擊的變種。舉例來說,為回應 Brute Force: SSH 發現的結果,您可能會降低部分使用者帳戶的權限等級,以限制資源存取權。但如果密碼強度不足,攻擊者仍可能找到攻擊路徑。

由於攻擊載體種類繁多,因此難以提供適用於所有情況的補救步驟。在雲端安全防護計畫中,Security Command Center 的角色是近乎即時地找出受影響的資源、告知您面臨的威脅,並提供證據和背景資訊,協助您進行調查。不過,您的安全人員必須使用 Security Command Center 發現結果中的大量資訊,判斷修正問題和保護資源的最佳方式,防範日後攻擊。

後續步驟