Rufen Sie die Ergebnisse von Event Threat Detection im Dashboard von Security Command Center auf und sehen Sie sich Beispiele für Event Threat Detection-Ergebnisse an.
Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe von Security Command Center, die den Cloud Logging-Stream Ihrer Organisation überwacht und Bedrohungen nahezu in Echtzeit erkennt. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.
Das folgende Video zeigt die Schritte zur Einrichtung von Event Threat Detection und Informationen zur Verwendung des Dashboards. Weitere Informationen zum Ansehen und Verwalten von Event Threat Detection-Ergebnissen finden Sie auf dieser Seite unter Ergebnisse prüfen.
Ergebnisse prüfen
Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss dieser Dienst in den Services-Einstellungen von Security Command Center aktiviert sein. Nachdem Sie Event Threat Detection aktiviert und Logs für Ihre Organisation, Ordner und Projekte aktiviert haben, generiert Event Threat Detection Ergebnisse.
Die Event Threat Detection-Ergebnisse können in Security Command Center abgerufen werden. Die Ergebnisse lassen sich auch in Cloud Logging aufrufen, wenn Sie Security Command Center-Senken konfiguriert haben, um Logs in die Operations Suite von Google Cloud zu schreiben. Sie können einen Detektor und Test Event Threat Detection absichtlich auslösen, um ein Ergebnis zu finden und Ihre Konfiguration zu prüfen.
Event Threat Detection wird innerhalb weniger Sekunden aktiviert. Erkennungslatenzen sind in der Regel kürzer als 15 Minuten ab dem Zeitpunkt, zu dem ein Log in Security Command Center geschrieben wird. Weitere Informationen zur Latenz finden Sie unter Latenz des Security Command Centers.
Ergebnisse in Security Command Center prüfen
So prüfen Sie die Ergebnisse von Event Threat Detection in Security Command Center:
- Wechseln Sie in der Google Cloud Console zum Tab Ergebnisse des Security Command Center.
Zum Tab "Ergebnisse" - Klicken Sie neben Anzeigen nach auf Quelltyp.
- Wählen Sie in der Liste Quelltyp die Option Event Threat Detection aus.
- Klicken Sie auf den Namen des Ergebnisses unter
category
, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird erweitert und enthält nun die folgenden Informationen:- Art des Ereignisses
- Zeitpunkt des Ereignisses
- Quelle der Ergebnisdaten
- Die Erkennungspriorität, z. B. High
- Die ergriffenen Aktionen, z. B. das Hinzufügen einer IAM-Rolle (Identity and Access Management) für einen Gmail-Nutzer
- Der Nutzer, der die Aktion ausgeführt hat, wird neben
properties_principalEmail
angezeigt.
- So zeigen Sie alle Ergebnisse an, die durch die Aktionen eines Nutzers ausgelöst wurden:
- Kopieren Sie im Detailbereich der E-Mail die E-Mail-Adresse neben
properties_principalEmail
. - Schließen Sie den Detailbereich der Ergebnisse.
- Geben Sie im Feld Filter auf dem Tab "Ergebnisse"
sourceProperties.properties_principalEmail:USER_EMAIL
ein, wobei USER_EMAIL die zuvor kopierte E-Mail-Adresse ist.
- Kopieren Sie im Detailbereich der E-Mail die E-Mail-Adresse neben
Security Command Center zeigt alle Ergebnisse an, die mit Aktionen verknüpft sind, die von dem angegebenen Nutzer ausgeführt wurden.
Ergebnisse in Cloud Logging ansehen
So zeigen Sie Ergebnisse der Event Threat Detection in Cloud Logging an:
- Rufen Sie in der Cloud Console die Seite Loganzeige für Cloud Logging auf.
Zur Loganzeige - Klicken Sie auf der Seite Loganzeige auf Auswählen und dann auf das Projekt, in dem Sie Ihre Event Threat Detection-Logs speichern.
- Wählen Sie in der Ressourcen-Drop-down-Liste Threat Detector aus.
- Um Ergebnisse von allen Detektoren anzuzeigen, wählen Sie all detector_name aus.
- Wählen Sie den Namen eines Detektors aus, um die Ergebnisse zu sehen.
Beispielergebnisse
Beispiele für Ergebnisse von Event Threat Detection:
Monitoring & Logging | Beschreibung |
---|---|
Daten-Exfiltration |
Event Threat Detection erkennt die Daten-Exfiltration in BigQuery, indem Audit-Logs für zwei Szenarien analysiert werden:
|
Brute-Force-SSH | Event Threat Detection erkennt Brute-Force von Passwortauthentifizierungs-SSH, indem es Syslog-Logs auf wiederholte Fehler überprüft, mit anschließendem Erfolg. |
Kryptomining | Event Threat Detection erkennt Coin Mining-Malware, indem VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten fehlerhaften Domains für Mining-Pools untersucht werden. |
IAM-Missbrauch |
Anomale IAM-Berechtigungen: Event Threat Detection erkennt das Hinzufügen von IAM-Berechtigungen, die als ungewöhnlich betrachtet werden können, wie zum Beispiel:
|
Malware | Event Threat Detection erkennt Malware, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen untersucht. |
Phishing | Event Threat Detection erkennt Phishing, indem sie VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Phishing-Domains und IP-Adressen untersucht. |
Ungewöhnliches IAM-Verhalten Vorschau |
Event Threat Detection prüft IAM-Audit-Logs auf Zugriffe von ungewöhnlichen IP-Adressen und ungewöhnlichen User-Agents. |
Eigenständige Untersuchung des Dienstkontos Vorschau |
Event Threat Detection erkennt, wenn Anmeldedaten für Dienstkonten verwendet werden, um die mit demselben Dienstkonto verknüpften Rollen und Berechtigungen zu untersuchen. |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Event Threat Detection
- Weitere Informationen dazu, wie Sie Antwortpläne für Bedrohungen untersuchen und entwickeln