Event Threat Detection verwenden

>

Prüfen Sie die Ergebnisse der Event Threat Detection im Security Command Center-Dashboard und sehen Sie sich Beispiele für Ergebnisse der Event Threat Detection an. Event Threat Detection ist ein integrierter Dienst für die Security Command Center Premium-Stufe. Damit Ergebnisse der Event Threat Detection angezeigt werden können, muss sie in den Quellen und Diensten des Security Command Centers aktiviert sein.

Ergebnisse prüfen

Wenn die Event Threat Detection Ergebnisse generiert, können Sie diese im Security Command Center oder in Cloud Logging ansehen, wenn Sie Security Command Center-Senken konfiguriert haben, um Logs in die Google Cloud Operations Suite zu schreiben. Sie können einen Detektor und Test Event Threat Detection absichtlich auslösen, um ein Ergebnis zu finden und Ihre Konfiguration zu prüfen.

Die Aktivierung von Event Threat Detection hat eine Latenz im Sekundenbereich und die End-to-End-Latenzen liegen bei unter 15 Minuten für Latenzen im 99. Perzentil, gemessen über einen Zeitraum von 30 Tagen.

Ergebnisse in Security Command Center prüfen

So prüfen Sie die Event Threat Detection-Ergebnisse im Security Command Center:

  1. Gehen Sie in der Google Cloud Console zum Tab Ergebnisse des Security Command Center.
    Zum Tab "Ergebnisse"
  2. Klicken Sie neben Anzeigen nach auf Quelltyp.
  3. Wählen Sie in der Liste Quelltyp die Option Event Threat Detection aus.
  4. Klicken Sie auf den Namen des Ergebnisses unter category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Suchergebnisdetails wird erweitert und enthält unter anderem folgende Informationen:
    • Was das Ereignis war
    • Zeitpunkt des Ereignisses
    • Die Quelle der Ergebnisdaten
    • Die Erkennungspriorität, z. B. High
    • Die ergriffenen Aktionen, z. B. das Hinzufügen einer IAM-Rolle (Identity and Access Management) für einen Gmail-Nutzer
    • Der Nutzer, der die Aktion ausgeführt hat. Er wird neben properties_principalEmail angezeigt.
  5. So zeigen Sie alle Ergebnisse an, die durch die Aktionen eines Nutzers ausgelöst wurden:
    1. Kopieren Sie im Bereich mit den Suchdetails die E-Mail-Adresse neben properties_principalEmail.
    2. Schließen Sie das Ergebnisdetailfeld.
    3. Geben Sie im Feld Filter auf dem Tab "Ergebnisse" sourceProperties.properties_principalEmail:user@domain ein, wobei user@domain die zuvor kopierte E-Mail-Adresse ist.

Security Command Center zeigt alle Ergebnisse an, die mit Aktionen verknüpft sind, die von dem angegebenen Nutzer ausgeführt wurden.

Ergebnisse in Cloud Logging ansehen

So zeigen Sie Ergebnisse der Event Threat Detection in Cloud Logging an:

  1. Rufen Sie in der Cloud Console die Seite Loganzeige für Cloud Logging auf.
    Zur Loganzeige
  2. Klicken Sie auf der Seite Loganzeige auf Auswählen und dann auf das Projekt, in dem Sie Ihre Event Threat Detection-Logs speichern.
  3. Wählen Sie in der Ressourcen-Drop-down-Liste Cloud Threat Detection aus.
    • Um Ergebnisse von allen Detektoren anzuzeigen, wählen Sie Alle Detektornamen aus.
    • Um Ergebnisse eines bestimmten Detektors anzuzeigen, wählen Sie seinen Namen aus.

Beispielergebnisse

Beispiele für Event Threat Detection:

Monitoring & Logging Beschreibung
Brute-Force-SSH Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, auf die ein Erfolg folgt.
Kryptomining Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains für Mining-Pools untersucht werden.
IAM-Missbrauch

Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:

  • Gmail-Nutzer zu einer Richtlinie mit der Rolle des Projektbearbeiters hinzufügen
  • Einen gmail.com-Nutzer über die Google Cloud Console als Projektinhaber einladen
  • Dienstkonto, das sensible Berechtigungen gewährt.
  • Benutzerdefinierte Rollen sensible Berechtigungen gewährt.
  • Dienstkonto, das von außerhalb Ihrer Organisation hinzugefügt wurde
Malware Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht.
Phishing Event Threat Detection erkennt Phishing, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Phishing-Domains und IP-Adressen untersucht.

Nächste Schritte