Examiner et contrer les menaces

Ce document fournit des informations générales sur l'utilisation des résultats de menaces dans Security Command Center.

Avant de commencer

Vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats et les journaux, et pour modifier les ressources Google Cloud . Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur et consultez la page Contrôle des accès pour en savoir plus sur les rôles. Pour résoudre les erreurs de ressources, consultez la documentation des produits concernés.

Comprendre les menaces détectées

Security Command Center dispose de services de détection intégrés qui utilisent différentes techniques pour détecter les menaces dans votre environnement cloud.

• Event Threat Detection génère des résultats de sécurité en faisant correspondre les événements de vos flux de journaux Cloud Logging aux indicateurs de compromission (IoC) connus. Les IoC, développés par des sources de sécurité internes de Google, identifient les failles et les attaques potentielles. Event Threat Detection détecte également les menaces en identifiant les tactiques, techniques et procédures antagonistes connues dans votre flux de journalisation, et en détectant les écarts par rapport au comportement passé de votre organisation ou de votre projet. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection peut également analyser vos journaux Google Workspace.

• Container Threat Detection génère des résultats en collectant et en analysant les comportements de bas niveau observés dans le noyau invité des conteneurs.

• Virtual Machine Threat Detection analyse les projets Compute Engine et les instances de machines virtuelles (VM) pour détecter les applications potentiellement malveillantes exécutées dans les VM, telles que les logiciels de minage de cryptomonnaie et les rootkits en mode noyau.

• La détection des menaces Cloud Run surveille l'état des ressources Cloud Run compatibles pour détecter les attaques d'exécution les plus courantes.

• Le service d'actions sensibles détecte les actions effectuées dans votre organisation, vos dossiers et vos projets qui peuvent nuire à votre entreprise si elles sont effectuées par une personne malveillante. Google Cloud

• La détection d'anomalies utilise des signaux de comportement extérieurs à votre système pour détecter les anomalies de sécurité dans vos comptes de service, comme les identifiants potentiellement divulgués.

Ces services de détection génèrent des résultats dans Security Command Center. Vous pouvez également configurer des exportations continues vers Cloud Logging.

Examiner les recommandations d'enquête et de réponse

Security Command Center fournit des conseils informels pour vous aider à examiner les résultats d'activités suspectes dans votre environnement Google Cloud provenant d'acteurs potentiellement malveillants. En suivant ces conseils, vous pouvez comprendre ce qui s'est passé lors d'une attaque potentielle et développer les réponses possibles pour les ressources affectées.

L'efficacité des techniques fournies par Security Command Center n'est pas garantie contre les menaces passées, actuelles ou futures. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour la résolution des menaces, consultez la page Corriger les menaces.

• Pour afficher les recommandations d'investigation et de réponse pour un résultat, recherchez-le dans l'index des résultats de menace.

• Pour afficher des recommandations de réponses générales, consultez les ressources suivantes :

  • Répondre aux résultats de détection des menaces Cloud Run
  • Répondre aux résultats de détection des menaces Compute Engine
  • Répondre aux résultats d'analyse des menaces Google Workspace
  • Répondre aux résultats de la détection des menaces réseau

Examiner un résultat

Pour examiner un résultat de menace dans la console Google Cloud , procédez comme suit :

1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

   Accéder

2. Si nécessaire, sélectionnez votre projet, votre dossier ou votre organisation. Google Cloud

3. Dans la section Filtres rapides, cliquez sur un filtre approprié pour afficher le résultat dont vous avez besoin dans le tableau Résultats de la requête de résultats. Par exemple, si vous sélectionnez Event Threat Detection ou Container Threat Detection dans la sous-section Nom à afficher pour la source, seuls les résultats du service sélectionné s'affichent dans les résultats.

   Le tableau est rempli avec les résultats de la source sélectionnée.

4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Category. Le volet de détails du résultat se développe pour afficher un résumé des détails du résultat.

5. Pour afficher la définition JSON du résultat, cliquez sur l'onglet JSON.

Les résultats fournissent les noms et les identifiants numériques des ressources impliquées dans un incident, ainsi que les variables d'environnement et les propriétés des éléments. Vous pouvez utiliser ces informations pour isoler rapidement les ressources concernées et déterminer le champ d'application potentiel d'un événement.

Pour faciliter votre enquête, les résultats de la détection de menaces contiennent également des liens vers les ressources externes suivantes :

• Entrées du framework MITRE ATT&CK. Le framework décrit les techniques d'attaque contre les ressources cloud et fournit des conseils pour s'en protéger.

• VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants. Le champ Indicateur VirusTotal, s'il est disponible, fournit un lien vers VirusTotal pour vous aider à examiner plus en détail les problèmes de sécurité potentiels.

  VirusTotal est une offre payante distincte avec des limites d'utilisation et des fonctionnalités différentes. Il vous incombe de comprendre et de respecter les règles d'utilisation de l'API VirusTotal et les coûts associés. Pour en savoir plus, consultez la documentation VirusTotal.

Les sections suivantes décrivent des réponses potentielles aux menaces détectées.

Désactiver un résultat de menace

Une fois que vous avez résolu un problème qui a déclenché un résultat de menace, Security Command Center ne définit pas automatiquement l'état du résultat sur INACTIVE. L'état d'un résultat de menace reste ACTIVE, sauf si vous définissez manuellement la propriété state sur INACTIVE.

En cas de faux positif, pensez à laisser l'état du résultat sur ACTIVE et à l'ignorer.

Pour les faux positifs persistants ou récurrents, créez une règle de blocage. Définir une règle de mise en sourdine peut réduire le nombre de résultats que vous devez gérer, ce qui facilite l'identification d'une véritable menace lorsqu'elle se produit.

En cas de menace réelle, avant de définir l'état de la découverte sur INACTIVE, éliminez la menace et menez une enquête approfondie sur la menace détectée, l'étendue de l'intrusion et tout autre problème ou découverte connexe.

Pour désactiver un résultat ou modifier son état, consultez les rubriques suivantes :

• Ignorer les résultats
• Modifier l'état d'un résultat

Corriger les failles associées

Pour éviter que les menaces ne se reproduisent, examinez et corrigez les failles et les erreurs de configuration associées.

Pour trouver les résultats associés, procédez comme suit :

1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

   Accéder

2. Examinez le résultat de menace et copiez la valeur d'un attribut susceptible d'apparaître dans tout résultat de faille ou de mauvaise configuration associé, comme l'adresse e-mail principale ou le nom de la ressource concernée.

3. Sur la page Résultats, ouvrez l'éditeur de requête en cliquant sur Modifier la requête.

4. Cliquez sur Ajouter un filtre. Le menu Sélectionner un filtre s'ouvre.

5. Dans la liste des catégories de filtres sur la gauche du menu, sélectionnez la catégorie contenant l'attribut que vous avez noté dans le résultat de détection des menaces.

   Par exemple, si vous avez noté le nom complet de la ressource concernée, sélectionnez Ressource. Les types d'attributs de la catégorie Ressource s'affichent dans la colonne de droite, y compris l'attribut Nom complet.

6. Parmi les attributs affichés, sélectionnez le type d'attribut que vous avez noté dans le résultat de détection des menaces. Un panneau de recherche de valeurs d'attribut s'ouvre à droite et affiche toutes les valeurs trouvées pour le type d'attribut sélectionné.

7. Dans le champ Filtre, collez la valeur de l'attribut que vous avez copiée à partir du résultat de menace. La liste des valeurs affichée est mise à jour pour n'afficher que les valeurs correspondant à la valeur collée.

8. Dans la liste des valeurs affichées, sélectionnez-en une ou plusieurs, puis cliquez sur Appliquer. Le panneau Résultats de la requête de résultats est mis à jour pour n'afficher que les résultats correspondants.

9. Si les résultats contiennent de nombreux problèmes, filtrez-les en sélectionnant des filtres supplémentaires dans le panneau Filtres rapides.

   Par exemple, pour n'afficher que les résultats de classe Vulnerability et Misconfiguration contenant les valeurs d'attribut sélectionnées, faites défiler la page jusqu'à la section Classe de résultats du panneau Filtres rapides, puis sélectionnez Faille et Erreur de configuration.

Résoudre les menaces

Corriger les résultats de menaces n'est pas aussi simple que de corriger des erreurs de configuration et des failles identifiées par Security Command Center.

Les erreurs de configuration et les violations de conformité identifient les faiblesses des ressources qui pourraient être exploitées. En règle générale, les erreurs de configuration ont des correctifs connus et facilement mis en œuvre, tels que l'activation d'un pare-feu ou la rotation d'une clé de chiffrement.

Les menaces diffèrent des failles dans la mesure où elles sont dynamiques et indiquent une exploitation active possible sur une ou plusieurs ressources. Une recommandation de correction peut ne pas être efficace pour sécuriser vos ressources, car les méthodes exactes utilisées pour exploiter la faille peuvent ne pas être connues.

Par exemple, un résultat Added Binary Executed indique qu'un binaire non autorisé a été lancé dans un conteneur. Une recommandation de correction de base peut vous conseiller de mettre le conteneur en quarantaine et de supprimer le binaire, mais cela peut ne pas résoudre la cause racine sous-jacente qui a permis à l'attaquant d'exécuter le binaire. Vous devez déterminer comment l'image du conteneur a été corrompue pour corriger l'exploitation. Pour déterminer si le fichier a été ajouté via un port mal configuré ou par un autre moyen, une enquête approfondie est nécessaire. Il peut s'avérer nécessaire de demander à un analyste ayant des connaissances approfondies de votre système d'en examiner les faiblesses.

Les acteurs malveillants attaquent des ressources à l'aide de différentes techniques. Par conséquent, l'application d'un correctif pour une attaque spécifique peut ne pas être efficace contre les variantes de cette attaque. Par exemple, en réponse à un résultat Brute Force: SSH, vous pouvez réduire les niveaux d'autorisation pour certains comptes utilisateur afin de limiter l'accès aux ressources. Toutefois, un mot de passe peu sécurisé peut tout de même fournir un vecteur d'attaque.

L'ampleur des vecteurs d'attaque ne permet pas de fournir des mesures correctives qui fonctionnent dans toutes les situations. Dans votre plan de sécurité cloud, Security Command Center identifie les ressources concernées quasiment en temps réel, vous indique les menaces auxquelles vous faites face et vous fournit des preuves et du contexte pour vous aider dans vos recherches. Toutefois, votre personnel de sécurité doit utiliser les informations détaillées des résultats de Security Command Center afin de déterminer les meilleurs moyens de résoudre les failles et de protéger les ressources contre les attaques futures.

Étapes suivantes

• Consultez l'index des résultats de menace.