Les contrôles de détection

Last reviewed 2023-12-20 UTC

Les fonctionnalités de détection et de surveillance des menaces sont fournies à l'aide d'une combinaison de contrôles de sécurité intégrés de Security Command Center et de solutions personnalisées qui vous permettent de détecter les événements de sécurité et d'y répondre.

Journalisation centralisée pour la sécurité et l'audit

Le plan configure les fonctionnalités de journalisation pour suivre et analyser les modifications apportées à vos ressources Google Cloud à l'aide de journaux agrégés dans un seul projet.

Le schéma suivant montre comment le plan agrège les journaux provenant de plusieurs sources dans plusieurs projets dans un récepteur de journaux centralisé.

Structure de journalisation pour example.com.

Le schéma décrit les éléments suivants :

  • Les récepteurs de journaux sont configurés au niveau du nœud d'organisation pour agréger les journaux de tous les projets dans la hiérarchie des ressources.
  • Plusieurs récepteurs de journaux sont configurés pour envoyer les journaux correspondant à un filtre vers différentes destinations pour le stockage et l'analyse.
  • Le projet prj-c-logging contient toutes les ressources associées au stockage et à l'analyse des journaux.
  • Vous pouvez éventuellement configurer des outils supplémentaires pour exporter les journaux vers une solution SIEM.

Le plan utilise différentes sources de journal et inclut ces journaux dans le filtre du récepteur de journaux, afin que ceux-ci puissent être exportés vers une destination centralisée. Le tableau suivant décrit les sources du journal.

Source de journal

Description

Journaux d'audit d'activités d'administration

Vous ne pouvez pas configurer, désactiver ni exclure les journaux d'audit des activités d'administration.

Journaux d'audit des événements système

Vous ne pouvez pas configurer, désactiver ni exclure les journaux d'audit des événements système.

Journaux d'audit des refus de règles

Vous ne pouvez pas configurer ni désactiver les journaux d'audit des refus de règles, mais vous pouvez éventuellement les exclure à l'aide de filtres d'exclusion.

Journaux d'audit des accès aux données

Par défaut, le plan n'active pas les journaux d'accès aux données, car leur volume et leur coût peuvent être élevés.

Pour déterminer si vous devez activer les journaux d'accès aux données, évaluez l'emplacement de vos charges de travail dans les données sensibles et déterminez si vous devez activer les journaux d'accès aux données pour chaque service et environnement utilisant des données sensibles.

Journaux de flux VPC

Le plan permet d'activer les journaux de flux VPC pour chaque sous-réseau. Le plan configure l'échantillonnage de journal pour échantillonner 50% des journaux afin de réduire les coûts.

Si vous créez des sous-réseaux supplémentaires, vous devez vous assurer que les journaux de flux VPC sont activés pour chaque sous-réseau.

Journalisation des règles de pare-feu

Le plan active la journalisation des règles de pare-feu pour chaque règle de stratégie de pare-feu.

Si vous créez des règles de stratégie de pare-feu supplémentaires pour les charges de travail, vous devez vous assurer que la journalisation des règles de pare-feu est activée pour chaque nouvelle règle.

Journalisation Cloud DNS

Le plan permet d'activer les journaux Cloud DNS pour les zones gérées.

Si vous créez des zones gérées supplémentaires, vous devez activer ces journaux DNS.

Journaux d'audit Google Workspace

Nécessite une étape d'activation unique qui n'est pas automatisée par le plan. Pour en savoir plus, consultez la page Partager des données avec les services Google Cloud.

Journaux Access Transparency,

Nécessite une étape d'activation unique qui n'est pas automatisée par le plan. Pour plus d'informations, consultez Activer Access Transparency.

Le tableau suivant décrit les récepteurs de journaux et leur utilisation avec les destinations compatibles dans le plan.

Récepteur

Destination

Objectif

sk-c-logging-la

Journaux acheminés vers des buckets Cloud Logging avec Log Analytics et un ensemble de données BigQuery associé activé

Analysez activement les journaux. Exécutez des enquêtes ad hoc à l'aide de l'explorateur de journaux de la console, ou écrivez des requêtes, des rapports et des vues SQL à l'aide de l'ensemble de données BigQuery associé.

sk-c-logging-bkt

Journaux acheminés vers Cloud Storage

Stockez les journaux à long terme à des fins de conformité, d'audit et de suivi des incidents.

Éventuellement, si vous devez respecter des exigences de conformité concernant la conservation obligatoire des données, nous vous recommandons de configurer également le verrou de bucket.

sk-c-logging-pub

Journaux acheminés vers Pub/Sub

Exportez les journaux vers une plate-forme externe telle que votre SIEM existante.

Cela nécessite un travail supplémentaire à intégrer à votre SIEM, tels que les mécanismes suivants :

Pour savoir comment activer des types de journaux supplémentaires et écrire des filtres de récepteur de journaux, consultez la page Outil de champ d'application des journaux.

Surveillance des menaces avec Security Command Center

Nous vous recommandons d'activer Security Command Center Premium pour votre organisation afin de détecter automatiquement les menaces, les failles et les erreurs de configuration dans vos ressources Google Cloud. Security Command Center crée des résultats de sécurité à partir de plusieurs sources, telles que les suivantes :

  • Security Health Analytics : détecte les failles courantes et les erreurs de configuration des ressources Google Cloud.
  • Exposition du chemin d'attaque : affiche un chemin simulé d'exploitation par un pirate informatique d'une ressource à forte valeur ajoutée en fonction des failles et des erreurs de configuration détectées par d'autres sources Security Command Center.
  • Event Threat Detection : applique la logique de détection et les renseignements propriétaires sur les menaces à vos journaux pour identifier les menaces en quasi-temps réel.
  • Container Threat Detection : détecte les attaques courantes sur les environnements d'exécution de conteneurs.
  • Virtual Machine Threat Detection : détecte les applications potentiellement malveillantes qui s'exécutent sur des machines virtuelles.
  • Web Security Scanner : analyse les dix failles principales du modèle OWASP dans vos applications Web sur Compute Engine, App Engine ou Google Kubernetes Engine.

Pour en savoir plus sur les failles et les menaces traitées par Security Command Center, consultez la page Sources Security Command Center.

Vous devez activer Security Command Center après avoir déployé le plan. Pour obtenir des instructions, consultez la page Activer Security Command Center pour une organisation.

Une fois que vous avez activé Security Command Center, nous vous recommandons d'exporter les résultats générés par Security Command Center vers vos outils ou processus existants afin de trier les menaces et d'y répondre. Le plan crée le projet prj-c-scc avec un sujet Pub/Sub à utiliser pour cette intégration. Selon vos outils existants, utilisez l'une des méthodes suivantes pour exporter les résultats :

  • Si vous utilisez la console pour gérer les résultats de sécurité directement dans Security Command Center, configurez des rôles au niveau du dossier et du projet pour que Security Command Center puisse laisser les équipes afficher et gérer les résultats de sécurité uniquement pour les projets pour lesquels ils sont responsables.
  • Si vous utilisez Google SecOps comme solution SIEM, ingérez les données Google Cloud dans Google SecOps.

  • Si vous utilisez un outil SIEM ou SOAR avec des intégrations à Security Command Center, partagez les données avec Cortex XSOAR, Elastic Stack, ServiceNow, Splunk ou QRadar.

  • Si vous utilisez un outil externe permettant d'ingérer des résultats de Pub/Sub, configurez des exportations continues vers Pub/Sub et configurez vos outils existants pour ingérer les résultats depuis le sujet Pub/Sub.

Solution personnalisée pour l'analyse automatisée des journaux

Vous devrez peut-être créer des alertes pour les événements de sécurité basés sur des requêtes personnalisées sur les journaux. Les requêtes personnalisées peuvent compléter les fonctionnalités de votre solution SIEM en analysant les journaux sur Google Cloud et en n'exportant que les événements qui méritent une enquête, en particulier si vous ne disposez pas de la capacité nécessaire pour exporter tous les journaux cloud vers votre SIEM.

Le plan permet d'activer cette analyse de journaux en configurant une source centralisée de journaux que vous pouvez interroger à l'aide d'un ensemble de données BigQuery associé. Pour automatiser cette fonctionnalité, vous devez mettre en œuvre l'exemple de code sur bq-log-alerting et étendre les fonctionnalités de base. L'exemple de code vous permet d'interroger régulièrement une source de journal et d'envoyer un résultat personnalisé à Security Command Center.

Le diagramme suivant présente le flux général de l'analyse automatisée des journaux.

Analyse automatisée de la journalisation.

Le schéma montre les concepts suivants de l'analyse automatisée des journaux :

  • Les journaux provenant de diverses sources sont agrégés dans un bucket de journaux centralisé contenant des analyses de journaux et un ensemble de données BigQuery associé.
  • Les vues BigQuery sont configurées pour interroger les journaux de l'événement de sécurité que vous souhaitez surveiller.
  • Cloud Scheduler envoie un événement à un sujet Pub/Sub toutes les 15 minutes et déclenche Cloud Run Functions.
  • Cloud Run Functions interroge les vues pour détecter de nouveaux événements. Si il trouve des événements, il les transmet à Security Command Center en tant que résultats personnalisés.
  • Security Command Center publie des notifications sur les nouveaux résultats dans un autre sujet Pub/Sub.
  • Un outil externe tel qu'une solution SIEM s'abonne au sujet Pub/Sub pour ingérer de nouveaux résultats.

L'exemple comporte plusieurs cas d'utilisation pour interroger un comportement potentiellement suspect. Il peut s'agir d'une connexion provenant d'une liste de super-administrateurs ou d'autres comptes hautement privilégiés que vous spécifiez, de modifications des paramètres de journalisation ou de modifications des routes réseau. Vous pouvez étendre les cas d'utilisation en écrivant de nouvelles vues de requête en fonction de vos besoins. Rédigez vos propres requêtes ou référencez les analyses des journaux de sécurité d'une bibliothèque de requêtes SQL pour vous aider à analyser les journaux Google Cloud.

Solution personnalisée pour répondre aux modifications d'éléments

Pour répondre aux événements en temps réel, nous vous recommandons d'utiliser l'inventaire des éléments cloud afin de surveiller les modifications des éléments. Dans cette solution personnalisée, un flux d'éléments est configuré pour déclencher des notifications à Pub/Sub concernant les modifications apportées aux ressources en temps réel. Ensuite, Cloud Run Functions exécute un code personnalisé pour appliquer votre propre logique métier, selon que la modification doit être autorisée.

Le plan contient un exemple de cette solution de gouvernance personnalisée qui surveille les modifications IAM qui ajoutent des rôles très sensibles, tels que "Administrateur de l'organisation", "Propriétaire" et "Éditeur". Le schéma suivant décrit cette solution.

Annuler automatiquement une modification de stratégie IAM et envoyer une notification

Le schéma précédent illustre ces concepts :

  • Des modifications sont apportées à une stratégie d'autorisation.
  • Le flux d'inventaire des éléments cloud envoie une notification en temps réel concernant la modification de la stratégie d'autorisation à Pub/Sub.
  • Pub/Sub déclenche une fonction.
  • Cloud Run Functions exécute du code personnalisé pour appliquer votre stratégie. L'exemple de fonction dispose d'une logique permettant de déterminer si la modification a ajouté les rôles "Administrateur de l'organisation", "Propriétaire" ou "Éditeur" à une stratégie d'autorisation. Si tel est le cas, la fonction crée un résultat de sécurité personnalisé et l'envoie à Security Command Center.
  • Vous pouvez éventuellement utiliser ce modèle pour automatiser les mesures correctives. Écrivez une logique métier supplémentaire dans Cloud Run Functions pour réagir automatiquement en fonction du résultat, par exemple rétablir la stratégie d'autorisation à son état précédent.

En outre, vous pouvez étendre l'infrastructure et la logique utilisées par cet exemple de solution pour ajouter des réponses personnalisées à d'autres événements importants pour votre entreprise.

Étapes suivantes