Investigar e responder a ameaças

Este documento fornece informações de alto nível sobre como trabalhar com descobertas de ameaças no Security Command Center.

Antes de começar

Você precisa dos papéis adequados do gerenciamento de identidade e acesso (IAM, na sigla em inglês) para visualizar ou editar descobertas e registros e para modificar recursos do Google Cloud . Se você encontrar erros de acesso no Security Command Center, peça ajuda ao administrador e consulte Controle de acesso para saber mais sobre os papéis. Para resolver erros de recursos, leia a documentação dos produtos afetados.

Entender as ameaças

O Security Command Center tem serviços de detecção integrados que usam diferentes técnicas para detectar ameaças no seu ambiente de nuvem.

• O Event Threat Detection produz descobertas de segurança combinando eventos nos fluxos de registros do Cloud Logging com indicadores de comprometimento (IoC, na sigla em inglês) conhecidos. Os IoCs, desenvolvidos por fontes internas de segurança do Google, identificam possíveis vulnerabilidades e ataques. O Event Threat Detection também detecta ameaças ao identificar táticas, técnicas e procedimentos adversos conhecidos no fluxo de geração de registros e detectar desvios do comportamento anterior da organização ou do projeto. Se você ativar o nível Premium do Security Command Center no nível da organização, o Event Threat Detection também poderá verificar os registros do Google Workspace.

• O Container Threat Detection gera descobertas coletando e analisando o comportamento observado de baixo nível no kernel convidado de contêineres.

• A Detecção de ameaças a máquinas virtuais verifica projetos do Compute Engine e instâncias de máquina virtual (VM) para detectar aplicativos potencialmente maliciosos em execução nas VMs, como software de mineração de criptomoedas e rootkits no modo kernel.

• A detecção de ameaças do Cloud Run monitora o estado dos recursos compatíveis do Cloud Run para detectar os ataques de tempo de execução mais comuns.

• O Serviço de ações sensíveis detecta quando ações na sua Google Cloud organização, pastas e projetos podem prejudicar sua empresa se forem realizadas por uma pessoa mal-intencionada.

• A detecção de anomalias usa sinais de comportamento de fora do sistema para detectar anomalias de segurança nas suas contas de serviço, como possíveis credenciais vazadas.

Esses serviços de detecção geram descobertas no Security Command Center. Também é possível configurar exportações contínuas para o Cloud Logging.

Analisar recomendações de investigação e resposta

O Security Command Center oferece orientações informais para ajudar você a investigar descobertas de atividades suspeitas no seu ambiente Google Cloud de possíveis agentes maliciosos. Seguir a orientação pode ajudar você a entender o que aconteceu durante um possível ataque e desenvolver possíveis respostas para recursos afetados.

Não há garantias de que as técnicas fornecidas pelo Security Command Center sejam eficazes contra ameaças anteriores, atuais ou futuras. Para informações sobre por que o Security Command Center não fornece orientações oficiais de correção para ameaças, consulte Como corrigir ameaças.

• Para conferir as recomendações de investigação e resposta de uma descoberta, localize-a no Índice de descobertas de ameaças.

• Para conferir recomendações de respostas de alto nível, consulte o seguinte:

  • Responder a descobertas de ameaças do Cloud Run
  • Responder a descobertas de ameaças do Compute Engine
  • Responder a descobertas de ameaças do Google Workspace
  • Responder a descobertas de ameaças à rede

Analisar uma descoberta

Para analisar uma descoberta de ameaça no Google Cloud console, siga estas etapas:

1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

   Acesse Descobertas

2. Se necessário, selecione o Google Cloud projeto, a pasta ou a organização.

3. Na seção Filtros rápidos, clique em um filtro apropriado para exibir a descoberta necessária na tabela Resultados da consulta de descobertas. Por exemplo, se você selecionar Event Threat Detection ou Container Threat Detection na subseção Source display name, somente descobertas do serviço selecionado aparecem nos resultados.

   A tabela será preenchida com descobertas da origem selecionada.

4. Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Category. O painel de detalhes da descoberta se expande para exibir um resumo dos detalhes da descoberta.

5. Para visualizar a definição JSON da descoberta, clique na guia JSON.

As descobertas informam os nomes e identificadores numéricos de recursos envolvidos em um incidente, além de variáveis de ambiente e propriedades de recursos. Use essas informações para isolar rapidamente os recursos afetados e determinar o possível escopo de um evento.

Para ajudar na investigação, as descobertas de ameaças também contêm links para os seguintes recursos externos:

• Entradas do framework do MITRE ATT&CK. O framework explica técnicas de ataques contra recursos da nuvem e fornece orientações para correção.

• VirusTotal, um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos. Se disponível, o campo Indicador do VirusTotal fornece um link para o VirusTotal, ajudando você a investigar melhor possíveis problemas de segurança.

  O VirusTotal é uma oferta com preços separados e limites de uso e recursos diferentes. Você é responsável por entender e obedecer às políticas de uso da API do VirusTotal e aos custos associados. Para mais informações, consulte a documentação do VirusTotal.

As seções a seguir descrevem possíveis respostas para as descobertas de ameaças.

Desativar uma descoberta de ameaça

Depois que você resolve um problema que acionou uma descoberta de ameaças, o Security Command Center não define automaticamente o estado da descoberta como INACTIVE. O estado de uma descoberta de ameaças permanece como ACTIVE, a menos que você defina manualmente a propriedade state como INACTIVE.

Para um falso positivo, considere deixar o estado da descoberta como ACTIVE e, em vez disso, silenciar a descoberta.

Para falsos positivos persistentes ou recorrentes, crie uma regra de silenciamento. Definir uma regra de silenciamento pode reduzir o número de descobertas que você precisa gerenciar, o que facilita a identificação de uma verdadeira ameaça quando ela ocorrer.

Em caso de ameaça real, antes de definir o estado da descoberta comoINACTIVE, elimine a ameaça e conclua uma investigação completa da ameaça detectada, a extensão da intrusão e qualquer outra descoberta e problema relacionado.

Para silenciar uma descoberta ou mudar o estado dela, consulte os seguintes tópicos:

• Silenciar descobertas
• Mudar o estado de uma descoberta

Corrigir vulnerabilidades relacionadas

Para ajudar a evitar que as ameaças ocorram novamente, analise e corrija as descobertas relacionadas a vulnerabilidades e configurações incorretas.

Para encontrar descobertas relacionadas, siga estas etapas:

1. No console Google Cloud , acesse a página Descobertas do Security Command Center.

   Acesse Descobertas

2. Analise a descoberta de ameaças e copie o valor de um atributo que provavelmente aparecerá em qualquer descoberta relacionada a vulnerabilidades ou configurações incorretas, como o endereço de e-mail principal ou o nome do recurso afetado.

3. Na página Descobertas, abra o Editor de consultas clicando em Editar consulta.

4. Clique em Adicionar filtro. O menu Selecionar filtro será aberto.

5. Na lista de categorias de filtro no lado esquerdo do menu, selecione a categoria que contém o atributo que você anotou na descoberta de ameaças.

   Por exemplo, se você anotou o nome completo do recurso afetado, selecione Recurso. Os tipos de atributo da categoria Recurso são exibidos na coluna à direita, incluindo o atributo Nome completo.

6. Nos atributos exibidos, selecione o tipo de atributo que você anotou na descoberta de ameaças. Um painel de pesquisa de valores dos atributos será aberto à direita e exibirá todos os valores encontrados para o tipo de atributo selecionado.

7. No campo Filtro, cole o valor do atributo que você copiou da descoberta de ameaças. A lista de valores exibida é atualizada para mostrar apenas os valores que correspondem ao valor colado.

8. Na lista de valores exibidos, selecione um ou mais valores e clique em Aplicar. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas as descobertas correspondentes.

9. Se houver muitas descobertas nos resultados, selecione outras opções no painel Filtros rápidos para filtrá-las.

   Por exemplo, para mostrar apenas as descobertas das classes Vulnerability e Misconfiguration que contêm os valores dos atributos selecionados, role a página para baixo até a seção Classe de descoberta do painel Filtros rápidos e selecione Vulnerabilidade e Configuração incorreta.

Como corrigir ameaças

Corrigir descobertas de ameaças não é tão simples quanto corrigir erros de configurações incorretas e vulnerabilidades identificadas pelo Security Command Center.

Configurações incorretas e violações de conformidade identificam pontos fracos nos recursos que podem ser explorados. Normalmente, configurações incorretas têm correções conhecidas e facilmente implementadas, ativando um firewall ou fazendo a rotação de uma chave de criptografia.

As ameaças diferem das vulnerabilidades porque são dinâmicas e indicam uma possível exploração ativa contra um ou mais recursos. Uma recomendação de correção pode não ser eficaz na proteção de seus recursos porque os métodos exatos usados para conseguir a exploração podem não ser conhecidos.

Por exemplo, uma descoberta Added Binary Executed indica que um binário não autorizado foi iniciado em um contêiner. Uma recomendação de correção básica pode recomendar que você coloque o contêiner em quarentena e exclua o binário, mas isso pode não resolver a causa raiz subjacente que permitiu acesso ao invasor para executar o binário. Para corrigir a exploração, você precisa descobrir como a imagem do contêiner foi corrompida. Para determinar se o arquivo foi adicionado por uma porta configurada incorretamente ou por outro meio, é necessária uma investigação completa. Um analista com conhecimento de nível especializado do sistema pode precisar verificá-lo em busca de pontos fracos.

Os usuários de má-fé atacam recursos usando técnicas diferentes. Portanto, aplicar uma correção para uma exploração específica pode não ser eficaz em variações desse ataque. Por exemplo, em resposta a uma descoberta Brute Force: SSH, é possível diminuir os níveis de permissão para algumas contas de usuário para limitar o acesso a recursos. No entanto, senhas fracas ainda podem fornecer um caminho de ataque.

A amplitude dos vetores de ataque dificulta as etapas de correção que funcionam em todas as situações. O papel do Security Command Center no plano de segurança de nuvem é identificar os recursos afetados em tempo quase real, informar quais ameaças você enfrenta e fornecer evidências e contexto para auxiliar nas investigações. No entanto, sua equipe de segurança precisa usar as informações abrangentes das descobertas do Security Command Center para determinar as melhores maneiras de corrigir problemas e proteger recursos contra ataques futuros.

A seguir

• Consulte o índice de descobertas de ameaças.