使用 Event Threat Detection

>

在 Security Command Center 信息中心查看事件威胁检测发现结果,并查看事件威胁检测发现结果示例。Event Threat Detection 是 Security Command Center 付费级的内置服务。如要查看 Event Threat Detection 结果,您必须在 Security Command Center 服务设置中启用该服务。

以下视频介绍了设置 Event Threat Detection 的步骤,并提供了有关如何使用信息中心的信息。请参阅此页面后面的文本,详细了解如何查看和管理 Event Threat Detection 结果。

审核发现结果

在 Event Threat Detection 生成发现结果后,您可以在 Security Command Center 中查看这些结果。如果您已配置 Security Command Center 接收器以将日志写入 Google Cloud 的运维套件,则还可以在 Cloud Logging 中查看发现结果。要生成发现和验证您的配置,您可以有意触发检测器和 测试 Event Threat Detection

Event Threat Detection 激活会在几秒钟内完成。当 Security Command Center 中提供发现结果时,检测延迟时间通常低于 15 分钟(从写入日志后开始算起)如需详细了解延迟时间,请参阅 Security Command Center 延迟时间概览

在 Security Command Center 中审核发现结果

要在 Security Command Center 中查看 Event Threat Detection 的发现结果,请执行以下操作:

  1. 转到 Google Cloud Console 中的 Security Command Center 发现结果标签页。
    转到“发现结果”标签页
  2. 查看方式旁边,点击来源类型
  3. 来源类型列表中,选择 Event Threat Detection
  4. 如需查看特定发现结果的详细信息,请点击 category 下的发现结果名称。“发现结果详情”面板展开即可显示以下信息:
    • 事件是什么
    • 事件发生的时间
    • 发现结果数据的来源
    • 检测优先级,例如
    • 采取的操作,例如向 Gmail 用户添加身份和访问权限管理(IAM)角色
    • 采取相应操作的用户(在 properties_principalEmail 旁边)
  5. 要显示由同一用户的操作导致的所有结果,请按以下步骤操作:
    1. 在发现结果详情面板上,复制 properties_principalEmail 旁边的电子邮件地址。
    2. 关闭发现结果详情面板。
    3. 在“发现结果”标签页过滤框中,输入 sourceProperties.properties_principalEmail:user@domain,其中 user@domain 是您之前复制的电子邮件地址。

Security Command Center 会显示与您指定的用户执行的操作相关的所有发现结果。

在 Cloud Logging 中查看发现结果

如需在 Cloud Logging 中查看 Event Threat Detection 发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Cloud Logging 的“日志查看器”页面。
    转到“日志查看器”页面
  2. 日志查看器页面上,点击选择,然后点击您存储 Event Threat Detection 日志的项目。
  3. 在资源下拉列表中,选择 Threat Detector
    • 要查看所有检测器的发现结果,请选择 all detector_name
    • 要查看特定检测器的发现结果,请选择其名称。

示例发现结果

Event Threat Detection 发现的结果包括以下内容:

监控和日志记录 说明
数据遭窃

Event Threat Detection 通过检查以下两种情形的审核日志来检测 BigQuery 中的数据渗漏:

  • 资源保存在您的组织外部,或者尝试执行被 VPC Service Controls 阻止的复制操作。
  • 尝试访问受 VPC Service Controls 保护的 BigQuery 资源。
SSH 暴力破解 Event Threat Detection 会检查 syslog 日志以检查是否存在连续失败,然后会执行成功,从而检测密码身份验证 SSH 的暴力破解。
挖矿 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志,连接到与挖掘池的已知不良网域的连接来检测金币恶意软件。
IAM 滥用行为

异常值 IAM 授权:Event Threat Detection 会检测可能被视为异常值情况的 IAM 授权,例如:

  • 将 gmail.com 用户添加到具有项目编辑者角色的政策。
  • 通过 Google Cloud Console 邀请 gmail.com 用户成为项目所有者。
  • 授予敏感权限的服务帐号。
  • 自定义角色授予敏感权限。
  • 从您的组织外部添加的服务帐号。
恶意软件 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志来检查已知命令和控制网域和 IPs,从而检测恶意软件。
网上诱骗 Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与已知网上诱骗网域和 IP 的连接来检测网上诱骗。

后续步骤