Como usar o Event Threat Detection

>

Analise as descobertas do Event Threat Detection no painel do Security Command Center e veja exemplos de descobertas do Event Threat Detection. O Event Threat Detection é um serviço integrado para o nível Premium do Security Command Center. Para ver as descobertas do Event Threat Detection, é necessário ativá-las nas configurações de origens e serviços do Security Command Center.

Como revisar descobertas

Quando o Event Threat Detection gera descobertas, é possível visualizá-las no Security Command Center ou no Cloud Logging se tiver configurado coletores do Security Command Center para gravar registros no Pacote de operações do Google Cloud. Para gerar uma descoberta e verificar a configuração, você pode acionar intencionalmente um detector e testar o Event Threat Detection.

A ativação do Event Threat Detection tem latência na ordem de segundos, e as latências completas serão inferiores a 15 minutos para a latência do 99º percentil, medida em um período de 30 dias.

Como analisar as descobertas no Security Command Center

Para analisar as descobertas do Event Threat Detection no Security Command Center:

  1. Acesse a guia Descobertas do Security Command Center no Console do Google Cloud.
    Acessar a guia "Descobertas"
  2. Ao lado de Visualizar por, clique em Tipo de fonte.
  3. Na lista Tipo de origem, selecione Event Threat Detection.
  4. Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em category. O painel de detalhes de descoberta é expandido para exibir informações, incluindo as seguintes:
    • Qual foi o evento
    • Quando o evento ocorreu
    • A fonte dos dados de descoberta
    • A prioridade de detecção, por exemplo Alta
    • As ações realizadas, como adicionar um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês) a um usuário do Gmail.
    • O usuário que realizou a ação, que será listado ao lado de properties_principalEmail
  5. Para exibir todas as descobertas causadas pelas ações do mesmo usuário:
    1. No painel de detalhes da descoberta, copie o endereço de e-mail ao lado de properties_principalEmail.
    2. Feche o painel de detalhes da descoberta.
    3. Na caixa Filtro da guia Descobertas, digite sourceProperties.properties_principalEmail:user@domain, em que user@domain é o endereço de e-mail que você copiou anteriormente.

O Security Command Center exibe todas as descobertas associadas às ações realizadas pelo usuário especificado.

Como visualizar descobertas no Cloud Logging

Para ver as descobertas do Event Threat Detection no Cloud Logging:

  1. Acesse a página "Visualizador de registros" do Cloud Logging no Console do Cloud.
    Acessar a página "Visualizador de registros"
  2. Na página Visualizador de registros, clique em Selecionar e selecione o projeto em que você armazena os registros do Event Threat Detection.
  3. Na lista suspensa de recursos, selecione Cloud Threat Detector.
    • Para ver as descobertas de todos os detectores, selecione all detector_name.
    • Para visualizar as descobertas de um detector específico, selecione o nome dele.

Exemplos de descobertas

Estes são alguns exemplos de descobertas do Event Threat Detection:

Monitoramento e geração de registros Descrição
SSH por força bruta O Event Threat Detection detecta força bruta do SSH de autenticação de senha por meio da análise de registros syslog para falhas repetidas seguidas por um sucesso.
Criptomineração O Event Threat Detection detecta malware de extração de moeda examinando registros de fluxo de VPC e registros do Cloud DNS para conexões com domínios inválidos conhecidos para pools de extração.
Abuso do IAM

Concessões do IAM anômalas: o Event Threat Detection detecta a adição de concessões de IAM que podem ser consideradas anômalas, como:

  • Como adicionar um usuário do gmail.com a uma política com o papel de editor do projeto.
  • Pedir um usuário do gmail.com como o proprietário do projeto no Console do Google Cloud.
  • Conta de serviço que concede permissões confidenciais.
  • O papel personalizado concedeu permissões confidenciais.
  • Conta de serviço adicionada de fora da organização.
malware; O Event Threat Detection detecta malware examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com comandos conhecidos e controles de controle e IPs.
Phishing O Event Threat Detection detecta phishing examinando os registros de fluxo de VPC e os registros do Cloud DNS para conexões com domínios e IPs de phishing conhecidos.

A seguir