关联威胁概览

Security Command Center 中的关联威胁功能可帮助您发现环境中处于严重等级的活跃威胁。关联威胁功能会输出一组相关的威胁发现结果，并提供有关这些发现结果的深入说明，然后您可以使用这些说明来确定这些威胁的优先级、了解这些威胁并做出相应应对。

安全团队经常会因管理大量威胁发现结果而产生警报疲劳。这种情况可能会导致缺乏或延迟响应。这些团队需要快速获取优先处理的相关信息，以确定利用漏洞后的活动。

关联威胁功能通过将多个相关的威胁发现结果汇总为一个问题来提供帮助。这种汇总有助于提供置信度更高的检测结果供您处理。关联威胁功能会生成一个问题，用于代表一系列相关的恶意活动。

此功能具有多种优势，包括：

通过将众多发现结果整合为严重问题，减少警报疲劳。
通过组合多个信号来提高检测保真度，有助于提高恶意活动检测的置信度。
直观呈现攻击链，显示事件之间的关联，帮助您了解完整的攻击过程。这种方法有助于您预测攻击者的行动，并快速识别遭入侵的资产。
突出显示严重威胁并提供清晰的建议，帮助您确定响应优先级并加快响应速度。

关联威胁功能的运作方式

关联威胁功能使用规则引擎来识别相关的安全发现结果并将其分组。

规则引擎会使用预定义的关联威胁查询来查询安全图谱。然后，引擎会将这些查询结果转换为问题。Security Command Center 会管理这些威胁问题的生命周期。如果未将问题设为忽略或无效，则在首次发现威胁后的 14 天内，问题会一直保持有效状态。此时间段由系统自动设置，无法手动配置。如果删除了底层资源（例如虚拟机或 Google Kubernetes Engine 节点），关联威胁会自动解决。

关联威胁需要比其他安全图谱规则更频繁的规则执行频率。系统每小时处理一次威胁规则。此方法可与现有的 Security Command Center 检测来源集成。

关联威胁规则

关联威胁功能有助于识别云资源中的各种多阶段攻击模式。以下关联威胁规则可供使用：

加密货币挖矿软件的多个关联威胁信号：此规则会查找来自 Google Cloud 虚拟机的恶意软件的多个不同信号，这些虚拟机包括 Compute Engine 虚拟机和 Google Kubernetes Engine (GKE) 节点（及其 Pod）。

示例如下：
- VM Threat Detection 检测到加密货币程序，而 Event Threat Detection 检测到同一虚拟机与加密货币 IP 地址或网域的连接。
- Container Threat Detection 检测到某个程序正在使用加密货币挖矿 stratum 协议，而 Event Threat Detection 检测到同一 Google Kubernetes Engine 节点与加密货币挖矿 IP 地址的连接。
恶意软件的多个关联威胁信号：此规则会查找来自Google Cloud 虚拟机的恶意软件的多个不同信号，这些虚拟机包括 Compute Engine 虚拟机和 GKE 节点（及其 Pod）。

示例如下：
- Container Threat Detection 在同一 Pod 中检测到执行了恶意二进制文件和恶意 Python 脚本。
- Event Threat Detection 检测到与恶意软件 IP 地址的连接，而 VM Threat Detection 在同一虚拟机的磁盘上检测到恶意软件。
可能遭入侵的 GCP 账号横向移动到遭入侵的计算资源：此规则会查找对计算 API（Compute Engine 或 GKE）进行了可疑调用以修改虚拟机或 Pod 的相关证据。然后，该规则会将该活动与计算资源在短期内发生的恶意活动相关联。攻击者通常会使用这种横向移动模式。此规则表明虚拟机或 Pod 可能已遭入侵。此规则还表明，Google Cloud 账号（用户账号或服务账号）可能是恶意活动的根源。

示例如下：
- Event Threat Detection 检测到用户向 Compute Engine 实例添加了新的 SSH 密钥，而 VM Threat Detection 检测到同一实例上运行着加密货币挖矿程序。
- Event Threat Detection 检测到服务账号通过 Compute Engine API 从 Tor 网络访问了某个实例，并且 Event Threat Detection 检测到同一实例与恶意 IP 地址建立了连接。
- Event Threat Detection 检测到用户创建了一个特权容器，而 Container Threat Detection 从同一 Pod 中检测到该容器访问了 GKE 节点上的敏感文件。

调查关联威胁

关联威胁功能会引导您完成结构化调查流程。此流程有助于您有效了解和应对安全事件。您可以使用威胁发现结果索引查找有关特定威胁发现结果的更多信息。每个发现结果专属页面都介绍了如何调查和应对相应威胁。

接收

您通过 Security Command Center 收到了关联威胁问题。此问题表示系统检测到多项可疑发现结果并进行了分组。您认为此问题是高优先级的，因为它被标记为活跃威胁。多种信号存在关联，这表明存在需要立即关注的真正例。如需了解详情，请参阅管理和修复问题。

解构

打开问题即可查看其各个部分。在问题详情视图中，您可以展开某个部分以查看各个发现结果。例如，如果有害脚本在 GKE 节点上运行，然后连接到恶意 IP 地址，则这两个事件会一起显示。查看每个发现结果的详细信息，例如发生时间、涉及的进程、恶意 IP 地址以及检测来源。此信息表明这些事件可能相关，并说明了攻击的技术细节。时间顺序视图显示事件发生的顺序。系统会将这些详细信息映射到 MITRE ATT&CK 攻击链阶段，并在攻击链可视化图表中显示这些信息。此功能可让您立即了解攻击阶段的背景信息。

范围标识

确定威胁的程度。查看相关事件的背景信息，例如受影响的资产及其项目或集群背景信息。平台会按资源关联问题，使用唯一标识符将事件与同一节点相关联。这会显示受影响的资产。验证其他资源是否显示类似迹象。记下涉及的标识，例如运行恶意脚本的服务账号或用户。此范围限定视图可帮助您专注于受影响的系统，并确认事件是局部性还是广泛性。

后续操作

系统会将关联威胁问题标记为严重级别。您可以在解决方法视图中找到建议的操作。控制受影响的资产，例如隔离或关停受影响的 GKE 节点。采纳建议，例如在防火墙或 Cloud VPC 级别屏蔽已知的恶意 IP。建议的操作有助于您更快地做出响应、遏制突发事件并展开有针对性的调查。如需详细了解威胁，请参阅如何调查威胁。