Analisi e risposta alle minacce

Questo documento fornisce informazioni di alto livello su come utilizzare i risultati relativi alle minacce in Security Command Center.

Prima di iniziare

Per visualizzare o modificare i risultati e i log e modificare le risorse, devi disporre di ruoli Identity and Access Management (IAM) adeguati. Google Cloud Se riscontri errori di accesso in Security Command Center, chiedi assistenza all'amministratore e consulta Controllo dell'accesso per scoprire di più sui ruoli. Per risolvere gli errori delle risorse, leggi la documentazione relativa ai prodotti interessati.

Comprendere i risultati delle minacce

Security Command Center dispone di servizi di rilevamento integrati che utilizzano tecniche diverse per rilevare le minacce nel tuo ambiente cloud.

• Event Threat Detection genera risultati di sicurezza abbinando gli eventi nei flussi di log di Cloud Logging a indicatori di compromissione (IoC) noti. Gli indicatori di compromissione, sviluppati da fonti di sicurezza interne di Google, identificano potenziali vulnerabilità e attacchi. Event Threat Detection rileva anche le minacce identificando tattiche, tecniche e procedure avversarie note nel flusso di logging e rilevando deviazioni dal comportamento passato della tua organizzazione o del tuo progetto. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Event Threat Detection può anche analizzare i log di Google Workspace.

• Container Threat Detection genera risultati raccogliendo e analizzando il comportamento osservato di basso livello nel kernel guest dei container.

• Virtual Machine Threat Detection esegue la scansione dei progetti Compute Engine e delle istanze di macchine virtuali (VM) per rilevare applicazioni potenzialmente dannose in esecuzione nelle VM, come software di mining di criptovalute e rootkit in modalità kernel.

• Cloud Run Threat Detection monitora lo stato delle risorse Cloud Run supportate per rilevare gli attacchi runtime più comuni.

• Il servizio Azioni sensibili rileva quando vengono intraprese azioni nella tua organizzazione, nelle tue cartelle e nei tuoi progetti Google Cloud che possono danneggiare la tua attività se intraprese da un utente malintenzionato.

• Rilevamento di anomalie utilizza indicatori di comportamento esterni al tuo sistema per rilevare anomalie di sicurezza negli account di servizio, ad esempio potenziali credenziali divulgate.

Questi servizi di rilevamento generano risultati in Security Command Center. Puoi anche configurare le esportazioni continue in Cloud Logging.

Esaminare i suggerimenti per l'indagine e la risposta

Security Command Center offre indicazioni informali per aiutarti a esaminare i risultati di attività sospette nel tuo ambiente Google Cloud da potenziali autori di attacchi dannosi. Seguire le indicazioni può aiutarti a capire cosa è successo durante un potenziale attacco e a sviluppare possibili risposte per le risorse interessate.

Non è garantito che le tecniche fornite da Security Command Center siano efficaci contro minacce precedenti, attuali o future. Per informazioni sul motivo per cui Security Command Center non fornisce indicazioni ufficiali per la correzione delle minacce, vedi Correzione delle minacce.

• Per visualizzare i consigli di analisi e risposta per un risultato, individua il risultato nell'indice dei risultati relativi alle minacce.

• Per visualizzare i suggerimenti di risposta di alto livello, consulta quanto segue:

  • Rispondere ai risultati delle minacce di Cloud Run
  • Rispondere ai risultati delle minacce di Compute Engine
  • Rispondere ai risultati delle minacce di Google Workspace
  • Rispondere ai risultati delle minacce di rete

Esaminare un risultato

Per esaminare un risultato di minaccia nella console Google Cloud :

1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

   Vai ai risultati

2. Se necessario, seleziona il tuo Google Cloud progetto, la tua cartella o la tua organizzazione.

3. Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato che ti serve nella tabella Risultati della query sui risultati. Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, nei risultati vengono visualizzati solo i risultati del servizio selezionato.

   La tabella viene compilata con i risultati per l'origine selezionata.

4. Per visualizzare i dettagli di un problema specifico, fai clic sul nome del problema in Category. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.

5. Per visualizzare la definizione JSON del problema, fai clic sulla scheda JSON.

I risultati forniscono i nomi e gli identificatori numerici delle risorse coinvolte in un incidente, insieme alle variabili di ambiente e alle proprietà degli asset. Puoi utilizzare queste informazioni per isolare rapidamente le risorse interessate e determinare l'ambito potenziale di un evento.

Per facilitare l'analisi, i risultati delle minacce contengono anche link alle seguenti risorse esterne:

• Voci del framework MITRE ATT&CK. Il framework spiega le tecniche di attacco alle risorse cloud e fornisce indicazioni per la correzione.

• VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file, URL, domini e indirizzi IP potenzialmente dannosi. Se disponibile, il campo Indicatore VirusTotal fornisce un link a VirusTotal per aiutarti a esaminare ulteriormente i potenziali problemi di sicurezza.

  VirusTotal è un'offerta con prezzi separati e limiti di utilizzo e funzionalità diversi. È tua responsabilità comprendere e rispettare le norme di utilizzo dell'API VirusTotal e tutti i costi associati. Per saperne di più, consulta la documentazione di VirusTotal.

Le sezioni seguenti descrivono le potenziali risposte ai risultati delle minacce.

Disattivare un risultato di minaccia

Dopo aver risolto un problema che ha attivato un risultato di minaccia, Security Command Center non imposta automaticamente lo stato del risultato su INACTIVE. Lo stato di un risultato di minaccia rimane ACTIVE a meno che tu non imposti manualmente la proprietà state su INACTIVE.

Per un falso positivo, valuta la possibilità di lasciare lo stato del risultato come ACTIVE e disattivare la notifica del risultato.

Per i falsi positivi persistenti o ricorrenti, crea una regola di disattivazione. L'impostazione di una regola di disattivazione può ridurre il numero di risultati da gestire, il che semplifica l'identificazione di una minaccia reale quando si verifica.

Per una minaccia reale, prima di impostare lo stato del risultato su INACTIVE, elimina la minaccia e completa un'indagine approfondita sulla minaccia rilevata, sull'entità dell'intrusione e su eventuali altri risultati e problemi correlati.

Per disattivare un risultato o modificarne lo stato, consulta i seguenti argomenti:

• Disattiva risultati
• Modificare lo stato di un risultato

Correggere le vulnerabilità correlate

Per evitare che le minacce si ripresentino, esamina e correggi i risultati relativi a vulnerabilità ed errori di configurazione correlati.

Per trovare eventuali risultati correlati, segui questi passaggi:

1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

   Vai ai risultati

2. Esamina il risultato della minaccia e copia il valore di un attributo che probabilmente verrà visualizzato in qualsiasi risultato di vulnerabilità o errata configurazione correlato, ad esempio l'indirizzo email principale o il nome della risorsa interessata.

3. Nella pagina Risultati, apri l'editor query facendo clic su Modifica query.

4. Fai clic su Aggiungi filtro. Si apre il menu Seleziona filtro.

5. Dall'elenco delle categorie di filtri sul lato sinistro del menu, seleziona la categoria che contiene l'attributo che hai annotato nel risultato della minaccia.

   Ad esempio, se hai annotato il nome completo della risorsa interessata, seleziona Risorsa. I tipi di attributo della categoria Risorsa vengono visualizzati nella colonna a destra, incluso l'attributo Nome completo.

6. Tra gli attributi visualizzati, seleziona il tipo di attributo che hai annotato nel risultato della minaccia. A destra si apre un pannello di ricerca per i valori degli attributi che mostra tutti i valori trovati del tipo di attributo selezionato.

7. Nel campo Filtro, incolla il valore dell'attributo che hai copiato dal risultato della minaccia. L'elenco di valori visualizzato viene aggiornato in modo da mostrare solo i valori che corrispondono a quello incollato.

8. Dall'elenco dei valori visualizzati, seleziona uno o più valori e fai clic su Applica. Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati corrispondenti.

9. Se nei risultati sono presenti molti problemi, filtrali selezionando filtri aggiuntivi nel riquadro Filtri rapidi.

   Ad esempio, per mostrare solo i risultati delle classi Vulnerability e Misconfiguration che contengono i valori degli attributi selezionati, scorri verso il basso fino alla sezione Classe di risultati del riquadro Filtri rapidi e seleziona Vulnerabilità e Errata configurazione.

Correzione delle minacce

La correzione dei risultati delle minacce non è semplice come la correzione di configurazioni errate e vulnerabilità identificate da Security Command Center.

Errori di configurazione e violazioni della conformità identificano i punti deboli delle risorse che potrebbero essere sfruttati. In genere, gli errori di configurazione hanno correzioni note e facilmente implementabili, come l'attivazione di un firewall o la rotazione di una chiave di crittografia.

Le minacce si differenziano dalle vulnerabilità in quanto sono dinamiche e indicano un possibile exploit attivo contro una o più risorse. Un consiglio di correzione potrebbe non essere efficace per proteggere le tue risorse perché potrebbero non essere noti i metodi esatti utilizzati per ottenere l'exploit.

Ad esempio, un risultato Added Binary Executed indica che è stato avviato un binario non autorizzato in un container. Un consiglio di correzione di base potrebbe consigliarti di mettere in quarantena il container ed eliminare il binario, ma ciò potrebbe non risolvere la causa principale sottostante che ha consentito all'autore dell'attacco di eseguire il binario. Per correggere l'exploit, devi scoprire come è stata danneggiata l'immagine container. Determinare se il file è stato aggiunto tramite una porta configurata in modo errato o con altri mezzi richiede un'indagine approfondita. Un analista con conoscenza a livello esperto del tuo sistema potrebbe doverlo esaminare per individuare le debolezze.

Gli autori di attacchi informatici attaccano le risorse utilizzando tecniche diverse, quindi l'applicazione di una correzione per un exploit specifico potrebbe non essere efficace contro le varianti di quell'attacco. Ad esempio, in risposta a un risultato Brute Force: SSH, potresti ridurre i livelli di autorizzazione per alcuni account utente per limitare l'accesso alle risorse. Tuttavia, le password deboli potrebbero comunque fornire un percorso di attacco.

L'ampiezza dei vettori di attacco rende difficile fornire passaggi di correzione che funzionino in tutte le situazioni. Il ruolo di Security Command Center nel tuo piano di sicurezza cloud è quello di identificare le risorse interessate quasi in tempo reale, comunicarti le minacce che devi affrontare e fornire prove e contesto per facilitare le indagini. Tuttavia, il personale addetto alla sicurezza deve utilizzare le informazioni dettagliate nei risultati di Security Command Center per determinare i modi migliori per risolvere i problemi e proteggere le risorse da attacchi futuri.

Passaggi successivi

• Consulta l'indice dei risultati delle minacce.