Utiliser Event Threat Detection

>

Examinez les résultats de Event Threat Detection dans le tableau de bord de Security Command Center et consultez des exemples de résultats de Event Threat Detection.

Event Threat Detection est un service intégré pour le niveau Premium de Security Command Center, qui surveille le flux Cloud Logging de votre organisation et détecte les menaces quasiment en temps réel. Pour en savoir plus, consultez la présentation de la détection d'événements.

La vidéo suivante décrit les étapes de configuration d'Event Threat Detection et fournit des informations sur l'utilisation du tableau de bord. Pour en savoir plus sur l'affichage et la gestion des résultats d'Event Threat Detection, consultez la section Examiner les résultats de cette page.

Examiner les résultats

Pour afficher les résultats du service Event Threat Detection, celui-ci doit être activé dans les paramètres Services de Security Command Center. Après avoir activé Event Threat Detection et les journaux de votre organisation, de vos dossiers et devos projets, le service génère les résultats.

Vous pouvez afficher les résultats d'Event Threat Detection dans Security Command Center. Vous pouvez également afficher les résultats dans Cloud Logging si vous avez configuré les récepteurs de Security Command Center pour écrire des journaux dans la suite d'opérations de Google Cloud. Pour générer un résultat et vérifier votre configuration, vous pouvez déclencher intentionnellement un détecteur et tester Event Threat Detection.

Event Threat Detection est activé en quelques secondes. Les latences de détection sont généralement inférieures à 15 minutes entre le moment où un journal est écrit et celui où un résultat est disponible dans Security Command Center. Pour en savoir plus sur la latence, consultez la page Présentation de la latence de Security Command Center.

Examiner les résultats dans Security Command Center

Pour examiner les résultats de Event Threat Detection dans Security Command Center :

  1. Accédez à l'onglet Résultats de Security Command Center dans Google Cloud Console.
    Accéder à l'onglet "Résultats"
  2. À côté de Afficher par, cliquez sur Type de source.
  3. Dans la liste Type de source, sélectionnez Event Threat Detection.
  4. Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur le nom de ce résultat sous category. Le panneau de détails du résultat se développe pour afficher des informations, y compris les suivantes :
    • En quoi l'événement a consisté
    • Quand l'événement a eu lieu
    • La source des données de résultat
    • La priorité de détection ; par exemple, Élevée
    • Les actions effectuées, telles que l'ajout d'un rôle de gestion de l'authentification et des accès (IAM) à un utilisateur Gmail
    • L'utilisateur ayant effectué l'action, indiqué à côté de properties_principalEmail
  5. Pour afficher tous les résultats issus des actions du même utilisateur, procédez comme suit :
    1. Dans le panneau de détails des résultats, copiez l'adresse e-mail à côté de properties_principalEmail.
    2. Fermez le panneau des détails de résultat.
    3. Dans la zone Filtre de l'onglet "Résultats", saisissez sourceProperties.properties_principalEmail:USER_EMAIL, où USER_EMAIL correspond à l'adresse e-mail que vous avez copiée précédemment.

Security Command Center affiche tous les résultats associés aux actions effectuées par l'utilisateur que vous avez spécifié.

Afficher les résultats dans Cloud Logging

Pour afficher les résultats de Event Threat Detection dans Cloud Logging :

  1. Accédez à la page Visionneuse de journaux de Cloud Logging dans Cloud Console.
    Accéder à la page "Visionneuse de journaux"
  2. Sur la page Visionneuse de journaux, cliquez sur Sélectionner, puis sur le projet dans lequel vous stockez les journaux Event Threat Detection.
  3. Dans la liste déroulante des ressources, sélectionnez Threat Detector.
    • Pour afficher les résultats de tous les détecteurs, sélectionnez all detector_name.
    • Pour afficher les résultats d'un détecteur spécifique, sélectionnez le nom de ce détecteur.

Exemples de résultats

Voici quelques exemples de résultats de Event Threat Detection :

Surveillance et journalisation Description
Exfiltration de données

Event Threat Detection détecte l'exfiltration de données de BigQuery en examinant les journaux d'audit pour deux scénarios :

  • Une ressource est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls.
  • Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.
Attaque par force brute SSH Event Threat Detection détecte la force brute SSH de l'authentification par mot de passe en examinant les journaux syslog pour identifier les échecs répétés, suivis d'une réussite.
Minage de cryptomonnaie Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects pour les pools de minage.
Abus IAM

Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :

  • Ajouter un utilisateur gmail.com à une stratégie dotée du rôle d'éditeur de projet
  • Inviter un utilisateur gmail.com en tant que propriétaire de projet à partir de Google Cloud Console
  • Compte de service accordant des autorisations sensibles
  • Rôle personnalisé disposant d'autorisations sensibles
  • Compte de service ajouté depuis l'extérieur de votre organisation
Logiciels malveillants Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de commande et de contrôle et des adresses IP connus.
Hameçonnage Event Threat Detection détecte le hameçonnage en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de hameçonnage et des adresses IP connues.
Comportement IAM anormal
Aperçu
Event Threat Detection détecte les comportements IAM anormaux en examinant les journaux d'audit Cloud pour identifier les accès à partir d'adresses IP anormales et de user-agents anormal.
Révision du compte de service
Aperçu
Event Threat Detection détecte les identifiants et autorisations associés à ce compte de service lorsqu'un identifiant de compte de service est utilisé.

Étape suivante