Event Threat Detection verwenden

>

Rufen Sie die Ergebnisse von Event Threat Detection im Dashboard von Security Command Center auf und sehen Sie sich Beispiele für Event Threat Detection-Ergebnisse an.

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe von Security Command Center. Sie überwacht den Cloud Logging-Stream Ihrer Organisation und erkennt Bedrohungen nahezu in Echtzeit. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.

Das folgende Video zeigt die Schritte zum Einrichten von Event Threat Detection und bietet Informationen zur Verwendung des Dashboards. Weitere Informationen zur Anzeige und Verwaltung von Container Threat Detection-Ergebnissen finden Sie weiter unten auf dieser Seite.

Ergebnisse prüfen

Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss dieser Dienst in den Services-Einstellungen von Security Command Center aktiviert sein. Nachdem Sie Event Threat Detection aktiviert und Logs für Ihre Organisation, Ordner und Projekte aktiviert haben, generiert Event Threat Detection Ergebnisse.

Die Event Threat Detection-Ergebnisse können in Security Command Center abgerufen werden. Die Ergebnisse lassen sich auch in Cloud Logging aufrufen, wenn Sie Security Command Center-Senken konfiguriert haben, um Logs in die Operations Suite von Google Cloud zu schreiben. Sie können einen Detektor und Test Event Threat Detection absichtlich auslösen, um ein Ergebnis zu finden und Ihre Konfiguration zu prüfen.

Event Threat Detection wird innerhalb weniger Sekunden aktiviert. Erkennungslatenzen sind in der Regel kürzer als 15 Minuten ab dem Zeitpunkt, zu dem ein Log in Security Command Center geschrieben wird. Weitere Informationen zur Latenz finden Sie unter Security Command Center-Latenz – Übersicht.

Ergebnisse in Security Command Center prüfen

So prüfen Sie die Ergebnisse von Event Threat Detection in Security Command Center:

  1. Wechseln Sie in der Google Cloud Console zum Tab Ergebnisse des Security Command Center.
    Zum Tab "Ergebnisse"
  2. Klicken Sie neben Anzeigen nach auf Quelltyp.
  3. Wählen Sie in der Liste Quelltyp die Option Event Threat Detection aus.
  4. Klicken Sie auf den Namen des Ergebnisses unter category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird erweitert und enthält nun die folgenden Informationen:
    • Art des Ereignisses
    • Zeitpunkt des Ereignisses
    • Quelle der Ergebnisdaten
    • Die Erkennungspriorität, z. B. High
    • Die ergriffenen Aktionen, z. B. das Hinzufügen einer IAM-Rolle (Identity and Access Management) für einen Gmail-Nutzer
    • Der Nutzer, der die Aktion ausgeführt hat, wird neben properties_principalEmail angezeigt.
  5. So zeigen Sie alle Ergebnisse an, die durch die Aktionen eines Nutzers ausgelöst wurden:
    1. Kopieren Sie im Detailbereich der E-Mail die E-Mail-Adresse neben properties_principalEmail.
    2. Schließen Sie den Detailbereich der Ergebnisse.
    3. Geben Sie im Feld Filter auf dem Tab "Ergebnisse" sourceProperties.properties_principalEmail:user@domain ein, wobei user@domain die zuvor kopierte E-Mail-Adresse ist.

Security Command Center zeigt alle Ergebnisse an, die mit Aktionen verknüpft sind, die von dem angegebenen Nutzer ausgeführt wurden.

Ergebnisse in Cloud Logging ansehen

So zeigen Sie Ergebnisse der Event Threat Detection in Cloud Logging an:

  1. Rufen Sie in der Cloud Console die Seite Loganzeige für Cloud Logging auf.
    Zur Loganzeige
  2. Klicken Sie auf der Seite Loganzeige auf Auswählen und dann auf das Projekt, in dem Sie Ihre Event Threat Detection-Logs speichern.
  3. Wählen Sie in der Ressourcen-Drop-down-Liste Threat Detector aus.
    • Um Ergebnisse von allen Detektoren anzuzeigen, wählen Sie all detector_name aus.
    • Wählen Sie den Namen eines Detektors aus, um die Ergebnisse zu sehen.

Beispielergebnisse

Beispiele für Ergebnisse von Event Threat Detection:

Monitoring & Logging Beschreibung
Daten-Exfiltration

Event Threat Detection erkennt die Daten-Exfiltration in BigQuery, indem Audit-Logs für zwei Szenarien analysiert werden:

  • Eine Ressource wird außerhalb Ihrer Organisation gespeichert oder es wird versucht, einen Kopiervorgang auszuführen, der von VPC Service Controls blockiert wird.
  • Es wird versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.
Brute-Force-SSH Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg.
Kryptomining Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains für Mining-Pools untersucht werden.
IAM-Missbrauch

Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:

  • Hinzufügen eines gmail.com-Nutzers zu einer Richtlinie mit der Rolle des Projektbearbeiters.
  • Einladen eines gmail.com-Nutzers als Projektinhaber über die Google Cloud Console.
  • Dienstkonto, das vertrauliche Berechtigungen gewährt.
  • Benutzerdefinierte Rollen sensible Berechtigungen gewährt.
  • Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde.
Malware Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Phishing Event Threat Detection erkennt Phishing, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Phishing-Domains und IP-Adressen untersucht.

Nächste Schritte