La fonctionnalité Correlated Threats (Menaces corrélées) de Security Command Center vous aide à découvrir les menaces actives critiques dans votre environnement. Elle génère un ensemble de résultats de menace associés et fournit des explications détaillées à leur sujet. Vous pouvez ensuite les utiliser pour hiérarchiser ces menaces, les comprendre et y répondre.
Les équipes de sécurité sont souvent confrontées à une fatigue liée aux alertes lorsqu'elles gèrent un nombre excessif de résultats de menace. Cette situation peut entraîner des réponses manquées ou retardées. Ces équipes ont besoin d'informations prioritaires et pertinentes rapidement pour identifier les activités post-exploitation.
Correlated Threats regroupe plusieurs résultats de menace associés en un seul problème. Cette agrégation permet de fournir des détections plus fiables sur lesquelles vous pouvez agir. Correlated Threats génère un problème, qui représente une série d'activités malveillantes associées.
Cette fonctionnalité présente plusieurs avantages :
- Elle réduit la fatigue liée aux alertes en regroupant de nombreux résultats en problèmes critiques.
- Elle améliore la fidélité de la détection en combinant plusieurs signaux, ce qui permet d'accroître la confiance dans la détection des activités malveillantes.
- Elle fournit une visualisation de la chaîne d'attaque, montrant comment les événements sont liés pour former une histoire d'attaque complète. Cette approche vous aide à anticiper les mouvements de l'adversaire et à identifier rapidement les éléments compromis.
- Elle met en évidence les menaces critiques et fournit des recommandations claires, ce qui vous aide à hiérarchiser votre réponse et à l'accélérer.
Fonctionnement de Correlated Threats
La fonctionnalité Correlated Threats utilise un moteur de règles pour identifier et regrouper les résultats de sécurité associés.
Le moteur de règles interroge le graphe de sécurité avec des requêtes Correlated Threats prédéfinies. Le moteur traduit ensuite ces résultats de requête en problèmes. Security Command Center gère le cycle de vie de ces problèmes de menace. Un problème reste actif pendant 14 jours après le premier résultat de menace si vous ne le désactivez pas ou ne le marquez pas comme inactif. Cette période est définie automatiquement et ne peut pas être configurée. Correlated Threats se résout automatiquement si les ressources sous-jacentes, telles que les VM ou les nœuds Google Kubernetes Engine, sont supprimées.
Correlated Threats nécessite des exécutions de règles plus fréquentes que les autres règles du graphe de sécurité. Le système traite les règles de menace toutes les heures. Cette approche s'intègre aux sources de détection Security Command Center existantes.
Règles Correlated Threats
Correlated Threats permet d'identifier différents schémas d'attaque en plusieurs étapes sur les ressources cloud. Le tableau suivant définit les règles Correlated Threats disponibles.
| Règle | Description |
|---|---|
| Plusieurs signaux de menace corrélés d'un logiciel de minage de cryptomonnaie |
Recherchez plusieurs signaux distincts de logiciels malveillants provenant de
Google Cloud machines virtuelles, y compris des VM Compute Engine et
des nœuds Google Kubernetes Engine (GKE) (et leurs pods).
Voici quelques exemples :
|
| Plusieurs signaux de menace corrélés d'un logiciel malveillant |
Recherchez plusieurs signaux distincts de logiciels malveillants provenant de Google Cloud
machines virtuelles, y compris des VM Compute Engine et des nœuds GKE (et
leurs pods) ou Agent Runtime.
Voici quelques exemples :
|
| Mouvement latéral d'un compte GCP potentiellement compromis vers une ressource de calcul compromise |
Recherchez des preuves d'appels suspects aux API de calcul (Compute Engine ou
GKE) qui modifient une VM ou un pod. La règle met ensuite en corrélation cette activité avec
une activité malveillante provenant de la ressource de calcul dans un court délai.
Les pirates informatiques utilisent généralement ce schéma de mouvement latéral. Cette règle indique que la VM ou
le pod est probablement compromis. Cette règle indique également que le Google Cloud compte
(utilisateur ou compte de service) peut être à l'origine de l'activité malveillante.
Voici quelques exemples :
|
Examiner les menaces corrélées
Correlated Threats vous guide tout au long d'un processus d'investigation structuré. Ce processus vous aide à comprendre les incidents de sécurité et à y répondre efficacement. Vous pouvez utiliser l'index des résultats de menace pour trouver plus d'informations sur un résultat de menace spécifique. Chaque page spécifique à un résultat décrit comment examiner la menace et y répondre.
Accueil
Vous recevez un problème Correlated Threats via Security Command Center. Ce problème indique que le système a détecté et regroupé plusieurs résultats suspects. Vous reconnaissez ce problème comme étant de haute priorité, car il est marqué comme une menace active. La corrélation de plusieurs signaux indique un vrai positif qui nécessite une attention immédiate. Pour en savoir plus, consultez Gérer et résoudre les problèmes.
Déconstruction
Ouvrez le problème pour voir ses parties. Dans la vue des détails du problème, vous pouvez développer une section pour afficher les résultats individuels. Par exemple, si un script nuisible s'exécute sur un nœud GKE, puis se connecte à une adresse IP malveillante, les deux événements s'affichent ensemble. Vérifiez les détails de chaque résultat, par exemple quand il s'est produit, quels processus ont été impliqués, les adresses IP malveillantes et d'où provient la détection. Ces informations indiquent que les événements sont potentiellement liés et expliquent les détails techniques de l'attaque. Une vue chronologique affiche la séquence des événements. Le système mappe ces détails aux étapes de la chaîne d'attaque MITRE ATT&CK et les présente dans une visualisation de la chaîne d'attaque. Cette fonctionnalité vous donne un contexte immédiat sur l'étape de l'attaque.
Identification du champ d'application
Déterminez l'étendue de la menace. Vérifiez les informations contextuelles sur les événements corrélés, telles que l'élément concerné et son contexte de projet ou de cluster. La plate-forme met en corrélation les problèmes par ressource, en utilisant des identifiants uniques pour lier les événements au même nœud. Cela montre l'élément concerné. Vérifiez si d'autres éléments présentent des signes similaires. Notez les identités impliquées, telles que le compte de service ou l'utilisateur qui a exécuté le script malveillant. Cette vue limitée vous aide à vous concentrer sur les systèmes concernés et à confirmer si l'incident est localisé ou généralisé.
Actions suivantes
Le système marque les problèmes Correlated Threats avec un niveau de gravité critique. Vous trouverez les actions recommandées dans les vues Comment résoudre le problème. Contenez l'élément concerné, par exemple en isolant ou en arrêtant le nœud GKE concerné. Suivez les recommandations, par exemple en bloquant l'adresse IP malveillante connue au niveau du pare-feu ou du VPC cloud. Les actions recommandées vous aident à répondre plus rapidement, à contenir l'incident et à lancer une investigation ciblée. Pour en savoir plus sur l'examen des menaces, consultez Comment examiner les menaces.
Étape suivante
- Détection des menaces dans Security Command Center
- Présentation de Container Threat Detection
- Présentation d'Event Threat Detection
- Présentation de Virtual Machine Threat Detection
- Gérer et résoudre les problèmes