威脅偵測和監控功能結合了 Security Command Center 內建的安全控制項和自訂解決方案,可讓您偵測並回應安全性事件。
集中式記錄功能,用於安全性和稽核
藍圖會設定記錄功能,以便追蹤及分析 Google Cloud 資源的變更,並將記錄匯總至單一專案。
下圖顯示藍圖如何將多個專案中多個來源的記錄匯總至集中式記錄接收器。
下圖說明以下事項:
- 記錄檔接收器會在機構節點中設定,匯總資源階層中所有專案的記錄。
- 設定多個記錄檔接收器,將符合篩選條件的記錄傳送至不同的目的地,以便儲存及分析。
prj-c-logging專案包含記錄儲存空間和分析作業的所有資源。- 您可以視需要設定其他工具,將記錄匯出至 SIEM。
此範本會使用不同的記錄來源,並在記錄檔接收器篩選器中加入這些記錄檔,以便將記錄檔匯出至集中式目的地。下表說明記錄來源。
記錄檔來源 |
說明 |
|---|---|
您無法設定、停用或排除管理員活動稽核記錄。 |
|
您無法設定、停用或排除系統事件稽核記錄。 |
|
您無法設定或停用「政策遭拒」稽核記錄,但可以選擇使用排除篩選器排除這些記錄。 |
|
根據預設,藍圖不會啟用資料存取記錄,因為這些記錄的數量和成本可能很高。 如要判斷是否應啟用資料存取記錄,請評估工作負載處理私密資料的位置,並考量是否有必要針對使用私密資料的每項服務和環境啟用資料存取記錄。 |
|
範本會為每個子網路啟用虛擬私有雲流量記錄。範本會設定記錄取樣,以便取樣 50% 的記錄來降低成本。 如果您建立其他子網路,請務必確保每個子網路都已啟用虛擬私有雲流量記錄。 | |
此範本會為每項防火牆政策規則啟用防火牆規則記錄功能。 如果您為工作負載建立額外的防火牆政策規則,請務必為每項新規則啟用防火牆規則記錄功能。 | |
此藍圖可為代管可用區啟用 Cloud DNS 記錄。 如果您建立其他代管區域,則必須啟用這些 DNS 記錄。 | |
需要一次性啟用步驟,且無法由藍圖自動執行。詳情請參閱「與Google Cloud 服務共用資料」。 |
|
需要一次性的啟用步驟,且無法由藍圖自動執行。詳情請參閱「啟用資料存取透明化控管機制」。 |
下表說明記錄接收器,以及如何在藍圖中搭配支援的目的地使用。
接收器 | 目的地 |
目的 |
|---|---|---|
| 將記錄資料路由至 Cloud Logging 值區,並啟用記錄檔分析和已連結的 BigQuery 資料集 |
主動分析記錄檔。在控制台中使用記錄瀏覽器執行臨時調查,或使用已連結的 BigQuery 資料集編寫 SQL 查詢、報表和檢視畫面。 |
|
長期儲存記錄,以便遵循規定、稽核及追蹤事件。 如有需要,如果您有強制資料保留的遵循規定,建議您另外設定值區鎖定。 |
|
|
將記錄匯出至外部平台,例如現有的 SIEM。 這需要額外的工作才能與 SIEM 整合,例如下列機制:
|
如要瞭解如何啟用其他記錄類型及編寫記錄接收器篩選器,請參閱記錄範圍工具。
透過 Security Command Center 監控威脅
建議您為機構啟用 Security Command Center 進階方案,自動偵測 Google Cloud 資源中的威脅、安全漏洞和設定錯誤。Security Command Center 會從多個來源建立安全性發現項目,包括:
- 安全狀態分析:偵測 Google Cloud資源中的常見安全漏洞和設定錯誤。
- 攻擊路徑暴露:根據其他 Security Command Center 來源偵測到的安全漏洞和錯誤設定,顯示模擬的攻擊路徑,說明攻擊者如何利用高價值資源。
- Event Threat Detection:在記錄檔中套用偵測邏輯和專屬威脅情報,以近乎即時的方式找出威脅。
- Container Threat Detection:偵測常見的容器執行階段攻擊。
- Virtual Machine Threat Detection:偵測在虛擬機器上執行的可能惡意應用程式。
- Web Security Scanner:掃描 Compute Engine、App Engine 或 Google Kubernetes Engine 上面向網際網路的應用程式,檢查是否有 OWASP 十大安全漏洞。
如要進一步瞭解 Security Command Center 處理的安全漏洞和威脅,請參閱Security Command Center 來源。
您必須在部署範本後啟用 Security Command Center。如需操作說明,請參閱「為機構啟用 Security Command Center」。
啟用 Security Command Center 後,建議您將 Security Command Center 產生的發現項目匯出至現有工具或程序,以便分類及回應威脅。藍圖會建立 prj-c-scc 專案,並使用 Pub/Sub 主題用於這項整合。視您現有的工具而定,請使用下列其中一種方法匯出發現事項:
- 如果您使用主控台直接在 Security Command Center 中管理安全性發現項目,請為 Security Command Center 設定資料夾層級和專案層級角色,讓團隊只查看及管理自己負責的專案安全性發現項目。
如果您使用 Google SecOps 做為 SIEM,請擷取 Google Cloud資料至 Google SecOps。
如果您使用整合至 Security Command Center 的 SIEM 或 SOAR 工具,請將資料分享給 Cortex XSOAR、Elastic Stack、ServiceNow、Splunk 或 QRadar。
如果您使用可從 Pub/Sub 擷取發現項目的外部工具,請將持續匯出設定為 Pub/Sub,並設定現有工具,以便從 Pub/Sub 主題擷取發現項目。
自動記錄檔分析的自訂解決方案
您可能需要根據記錄的自訂查詢,為安全性事件建立快訊。自訂查詢可分析雲端記錄,並只匯出值得調查的事件,藉此補足 SIEM 的功能 Google Cloud ,特別是在您無法將所有雲端記錄匯出至 SIEM 時。
藍圖可協助您啟用此記錄分析功能,方法是設定集中式記錄來源,讓您使用已連結的 BigQuery 資料集執行查詢。如要自動執行這項功能,您必須實作 bq-log-alerting 中的程式碼範例,並擴充基礎功能。您可以使用範例程式碼定期查詢記錄來源,並將自訂發現項目傳送至 Security Command Center。
下圖介紹自動化記錄分析的高階流程。
下圖說明自動化記錄分析的概念:
- 來自不同來源的記錄會匯入匯入集中記錄資料夾,並搭配記錄分析和已連結的 BigQuery 資料集。
- BigQuery 檢視表會針對要監控的安全性事件查詢記錄。
- Cloud Scheduler 會每 15 分鐘將事件推送至 Pub/Sub 主題,並觸發 Cloud Run 函式。
- Cloud Run 函式會查詢檢視畫面,以便取得新事件。如果偵測到事件,就會將事件推送至 Security Command Center,做為自訂發現項目。
- Security Command Center 會將新發現項目的通知發布至另一個 Pub/Sub 主題。
- 外部工具 (例如 SIEM) 會訂閱 Pub/Sub 主題,以便擷取新發現的內容。
這個範例有幾個用途,可用來查詢可能可疑的行為。例如從超級管理員清單或您指定的其他高權限帳戶登入、變更記錄設定或網路路徑。您可以根據需求編寫新的查詢檢視畫面,擴充用途。自行撰寫查詢,或參考 安全記錄檔分析中的 SQL 查詢程式庫,以便分析 Google Cloud 記錄檔。
回應資產變更的自訂解決方案
如要即時回應事件,建議您使用 Cloud Asset Inventory 監控資產變更。在這個自訂解決方案中,資產動態饋給會觸發資源變更的即時通知,並傳送至 Pub/Sub。接著,Cloud Run 函式會執行自訂程式碼,根據是否允許變更來強制執行自己的業務邏輯。
範本中提供這項自訂管理解決方案的範例,可監控新增高度敏感角色 (包括機構組織管理員、擁有者和編輯者) 的 IAM 變更。下圖說明瞭這個解決方案。
上圖顯示以下概念:
- 變更允許政策。
- Cloud Asset Inventory 動態饋給會將允許政策變更的即時通知傳送至 Pub/Sub。
- Pub/Sub 觸發函式。
- Cloud Run 函式會執行自訂程式碼來強制執行政策。範例函式包含邏輯,可評估變更是否已將「機構管理員」、「擁有者」或「編輯者」角色新增至許可政策。如果是,則該函式會建立自訂安全性調查結果,並將其傳送至 Security Command Center。
- 您可以視需要使用這個模型來自動執行改善作業。在 Cloud Run 函式中編寫其他業務邏輯,自動對所發現的內容採取行動,例如將允許政策還原為先前的狀態。
此外,您也可以擴充這個範例解決方案所使用的基礎架構和邏輯,為對貴商家重要的其他事件新增自訂回應。
後續步驟
- 請參閱預防性控制措施 (本系列的下一篇文件)。