使用 Event Threat Detection

>

在 Security Command Center 信息中心查看事件威胁检测发现结果,并查看事件威胁检测发现结果示例。Event Threat Detection 是 Security Command Center 付费级的内置服务。要查看 Event Threat Detection 的发现结果,您必须在 Security Command Center 来源和服务设置中启用该功能。

审核发现结果

当 Event Threat Detection 生成发现结果时,您可以在 Security Command Center 中查看这些发现结果,或者在 Cloud Logging 中 配置 Security Command Center 接收器将日志写入 Google Cloud 的运维套件。要生成发现和验证您的配置,您可以有意触发检测器和 测试 Event Threat Detection

Event Threat Detection 的启用延迟存在秒级,延迟时间按端到端延迟时间(在 15 分钟以下)百分之 99 的延迟时间测量时间为 30 天。

在 Security Command Center 中审核发现结果

要在 Security Command Center 中查看 Event Threat Detection 的发现结果,请执行以下操作:

  1. 转到 Google Cloud Console 中的 Security Command Center 发现结果标签页。
    转到“发现结果”标签页
  2. 查看方式旁边,点击来源类型
  3. 来源类型列表中,选择 Event Threat Detection
  4. 如需查看特定发现结果的详细信息,请点击 category 下的发现结果名称。“发现结果详情”面板展开即可显示以下信息:
    • 事件是什么
    • 事件发生的时间
    • 发现结果数据的来源
    • 检测优先级,例如
    • 采取的操作,例如向 Gmail 用户添加身份和访问权限管理(IAM)角色
    • 采取相应操作的用户(在 properties_principalEmail 旁边)
  5. 要显示由同一用户的操作导致的所有结果,请按以下步骤操作:
    1. 在发现结果详情面板上,复制 properties_principalEmail 旁边的电子邮件地址。
    2. 关闭发现结果详情面板。
    3. 在“发现结果”标签页过滤框中,输入 sourceProperties.properties_principalEmail:user@domain,其中 user@domain 是您之前复制的电子邮件地址。

Security Command Center 会显示与您指定的用户执行的操作相关的所有结果。

在 Cloud Logging 中查看发现结果

如需在 Cloud Logging 中查看 Event Threat Detection 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Cloud Logging 的“日志查看器”页面。
    转到“日志查看器”页面
  2. 日志查看器页面上,点击选择,然后点击您存储 Event Threat Detection 日志的项目。
  3. 在资源下拉列表中,选择 Cloud Threat Detector
    • 要查看所有检测器的发现结果,请选择 all detector_name
    • 要查看特定检测器的发现结果,请选择其名称。

示例发现结果

Event Threat Detection 发现的结果包括以下内容:

监控和日志记录 说明
SSH 暴力破解 Event Threat Detection 会检查 syslog 日志以检查是否存在连续失败,然后会执行成功,从而检测密码身份验证 SSH 的暴力破解。
挖矿 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志,连接到与挖掘池的已知不良网域的连接来检测金币恶意软件。
IAM 滥用行为

异常值 IAM 授权:Event Threat Detection 会检测可能被视为异常值情况的 IAM 授权,例如:

  • 将 gmail.com 用户添加到具有项目编辑者角色的政策。
  • 通过 Google Cloud Console 邀请 gmail.com 用户成为项目所有者。
  • 授予敏感权限的服务帐号。
  • 自定义角色授予敏感权限。
  • 从您的组织外部添加的服务帐号。
恶意软件 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志来检查已知命令和控制网域和 IPs,从而检测恶意软件。
网上诱骗 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与已知网上诱骗网域和 IPs 的连接来检测网上诱骗。

后续步骤