Como usar o Event Threat Detection

>

Analise as descobertas do Event Threat Detection no painel do Security Command Center e veja exemplos de descobertas do Event Threat Detection. O Event Threat Detection é um serviço integrado para o nível Premium do Security Command Center. Para ver as descobertas do Event Threat Detection, é preciso ativá-la nas configurações de Serviços do Security Command Center.

O vídeo a seguir mostra as etapas para configurar a Event Threat Detection e fornece informações sobre como usar o painel. Saiba mais sobre como visualizar e gerenciar as descobertas do Event Threat Detection em outros textos mais adiante nesta página.

Como revisar descobertas

Quando o Event Threat Detection gera descobertas, é possível vê-las no Security Command Center. Também é possível ver as descobertas no Cloud Logging se você tiver configurado coletores do Security Command Center para gravar registros no conjunto de operações do Google Cloud. Para gerar uma descoberta e verificar a configuração, você pode acionar intencionalmente um detector e testar o Event Threat Detection.

A ativação do Event Threat Detection ocorre em segundos. As latências de detecção geralmente são menores que 15 minutos a partir do momento em que um registro é gravado até o momento em que uma descoberta está disponível no Security Command Center. Para mais informações sobre latência, leia Visão geral da latência do Security Command Center.

Como analisar as descobertas no Security Command Center

Para analisar as descobertas do Event Threat Detection no Security Command Center:

  1. Acesse a guia Descobertas do Security Command Center no Console do Google Cloud.
    Acessar a guia "Descobertas"
  2. Ao lado de Visualizar por, clique em Tipo de fonte.
  3. Na lista Tipo de origem, selecione Event Threat Detection.
  4. Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em category. O painel de detalhes de descoberta é expandido para exibir informações, incluindo as seguintes:
    • Qual foi o evento
    • Quando o evento ocorreu
    • A fonte dos dados de descoberta
    • A prioridade de detecção, por exemplo Alta
    • As ações realizadas, como adicionar um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês) a um usuário do Gmail.
    • O usuário que realizou a ação, que será listado ao lado de properties_principalEmail
  5. Para exibir todas as descobertas causadas pelas ações do mesmo usuário:
    1. No painel de detalhes da descoberta, copie o endereço de e-mail ao lado de properties_principalEmail.
    2. Feche o painel de detalhes da descoberta.
    3. Na caixa Filtro da guia Descobertas, digite sourceProperties.properties_principalEmail:user@domain, em que user@domain é o endereço de e-mail que você copiou anteriormente.

O Security Command Center exibe todas as descobertas associadas a ações realizadas pelo usuário que você especificou.

Como visualizar descobertas no Cloud Logging

Para ver as descobertas do Event Threat Detection no Cloud Logging:

  1. Acesse a página "Visualizador de registros" do Cloud Logging no Console do Cloud.
    Acessar a página "Visualizador de registros"
  2. Na página Visualizador de registros, clique em Selecionar e selecione o projeto em que você armazena os registros do Event Threat Detection.
  3. Na lista suspensa de recursos, selecione Threat Detector.
    • Para ver as descobertas de todos os detectores, selecione all detector_name.
    • Para visualizar as descobertas de um detector específico, selecione o nome dele.

Exemplos de descobertas

Estes são alguns exemplos de descobertas do Event Threat Detection:

Monitoramento e geração de registros Descrição
Exportação de dados

O Event Threat Detection detecta exfiltração de dados do BigQuery examinando os registros de auditoria de dois cenários:

  • Um recurso é salvo fora da organização ou uma operação de cópia é bloqueada por meio do VPC Service Controls.
  • Foi feita uma tentativa de acessar os recursos do BigQuery protegidos pelo VPC Service Controls.
SSH por força bruta O Event Threat Detection detecta força bruta do SSH de autenticação de senha por meio da análise de registros syslog para falhas repetidas seguidas por um sucesso.
Criptomineração O Event Threat Detection detecta malware de extração de moeda examinando registros de fluxo de VPC e registros do Cloud DNS para conexões com domínios inválidos conhecidos para pools de extração.
Abuso do IAM

Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como:

  • Como adicionar um usuário do gmail.com a uma política com o papel de editor do projeto.
  • Pedir um usuário do gmail.com como o proprietário do projeto no Console do Google Cloud.
  • Conta de serviço que concede permissões confidenciais.
  • O papel personalizado concedeu permissões confidenciais.
  • Conta de serviço adicionada de fora da organização.
malware; O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com comandos conhecidos e controles de controle e IPs.
Phishing O Event Threat Detection detecta phishing examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com domínios e IPs de phishing conhecidos.

A seguir