Fitur Ancaman yang Berkaitan di Security Command Center membantu Anda menemukan ancaman aktif penting di lingkungan Anda. Ancaman yang Berkaitan menampilkan serangkaian temuan ancaman terkait dan memberikan penjelasan mendalam tentang temuan ini, yang kemudian dapat Anda gunakan untuk memprioritaskan, memahami, dan merespons ancaman ini.
Tim keamanan sering kali mengalami kelelahan merespons peringatan karena mengelola sejumlah besar temuan ancaman. Situasi ini dapat menyebabkan respons yang terlewat atau tertunda. Tim ini memerlukan informasi yang diprioritaskan dan relevan dengan cepat untuk mengidentifikasi aktivitas pasca-eksploitasi.
Ancaman yang Berkaitan membantu dengan menggabungkan beberapa temuan ancaman terkait ke dalam satu masalah. Penggabungan ini membantu memberikan deteksi yang lebih akurat sehingga Anda dapat mengambil tindakan. Ancaman yang Berkaitan menghasilkan masalah, yang mewakili serangkaian aktivitas berbahaya terkait.
Fitur ini menawarkan beberapa manfaat:
- Mengurangi kelelahan merespons peringatan dengan menggabungkan banyak temuan ke dalam masalah penting.
- Meningkatkan akurasi deteksi dengan menggabungkan beberapa sinyal, sehingga membantu meningkatkan keyakinan dalam mendeteksi aktivitas berbahaya.
- Memberikan visualisasi rantai serangan, yang menunjukkan cara peristiwa terhubung untuk membantu membentuk cerita serangan yang lengkap. Pendekatan ini membantu Anda mengantisipasi pergerakan musuh dan mengidentifikasi aset yang disusupi dengan cepat.
- Menyoroti ancaman penting dan memberikan rekomendasi yang jelas, sehingga membantu Anda memprioritaskan dan mempercepat respons.
Cara kerja Ancaman yang Berkaitan
Fitur Ancaman yang Berkaitan menggunakan mesin aturan untuk mengidentifikasi dan mengelompokkan temuan keamanan terkait.
Mesin aturan membuat kueri grafik keamanan dengan predefined Correlated Threats queries. Kemudian, mesin akan menerjemahkan hasil kueri ini menjadi masalah. Security Command Center mengelola siklus proses masalah ancaman ini. Masalah akan tetap aktif selama 14 hari setelah temuan ancaman pertama jika Anda tidak menonaktifkan atau menandainya sebagai tidak aktif. Jangka waktu ini ditetapkan secara otomatis dan tidak dapat dikonfigurasi. Ancaman yang Berkaitan akan otomatis diselesaikan jika resource yang mendasarinya, seperti VM atau node Google Kubernetes Engine, dihapus.
Ancaman yang Berkaitan memerlukan eksekusi aturan yang lebih sering daripada aturan grafik keamanan lainnya. Sistem memproses aturan ancaman setiap jam. Pendekatan ini terintegrasi dengan sumber deteksi Security Command Center yang ada.
Aturan Ancaman yang Berkaitan
Ancaman yang Berkaitan membantu mengidentifikasi berbagai pola serangan multi-tahap di seluruh resource cloud. Tabel berikut menentukan aturan Ancaman yang Berkaitan yang tersedia.
| Aturan | Deskripsi |
|---|---|
| Beberapa sinyal ancaman yang berkaitan dari software penambangan mata uang kripto |
Cari beberapa sinyal berbeda dari software berbahaya yang berasal dari
Google Cloud mesin virtual, termasuk VM Compute Engine dan
node Google Kubernetes Engine (GKE) (dan Pod-nya).
Contohnya mencakup:
|
| Beberapa sinyal ancaman yang berkaitan dari software berbahaya |
Cari beberapa sinyal berbeda dari software berbahaya yang berasal dari Google Cloud
mesin virtual, termasuk VM Compute Engine dan node GKE (dan
Pod-nya) atau Runtime Agen.
Contohnya mencakup:
|
| Potensi pergerakan lateral akun GCP yang disusupi ke resource komputasi yang disusupi |
Cari bukti panggilan mencurigakan ke API komputasi (Compute Engine atau
GKE) yang mengubah VM atau Pod. Aturan ini kemudian mengaitkan aktivitas tersebut dengan
aktivitas berbahaya yang berasal dari resource komputasi dalam waktu singkat.
Penyerang biasanya menggunakan pola pergerakan lateral ini. Aturan ini menunjukkan bahwa VM atau
Pod kemungkinan disusupi. Aturan ini juga menunjukkan bahwa akun Google Cloud (akun pengguna atau akun layanan)
mungkin menjadi penyebab aktivitas berbahaya.
Contohnya mencakup:
|
Menyelidiki Ancaman yang Berkaitan
Ancaman yang Berkaitan memandu Anda melalui proses investigasi terstruktur. Proses ini membantu Anda memahami dan merespons insiden keamanan secara efektif. Anda dapat menggunakan Indeks temuan ancaman untuk menemukan informasi lebih lanjut tentang temuan ancaman tertentu. Setiap halaman khusus temuan menjelaskan cara menyelidiki dan merespons ancaman.
Penerimaan
Anda menerima masalah Ancaman yang Berkaitan melalui Security Command Center. Masalah ini menunjukkan bahwa sistem mendeteksi dan mengelompokkan beberapa temuan mencurigakan. Anda mengenali masalah ini sebagai prioritas tinggi, karena ditandai sebagai Ancaman aktif. Korelasi beberapa sinyal menunjukkan positif benar yang memerlukan fokus segera. Untuk mengetahui informasi selengkapnya, lihat Mengelola dan memulihkan masalah.
Dekonstruksi
Buka masalah untuk melihat bagian-bagiannya. Dalam tampilan detail masalah, Anda dapat meluaskan bagian untuk melihat temuan individual. Misalnya, jika skrip berbahaya berjalan di node GKE, lalu terhubung ke alamat IP berbahaya, kedua peristiwa tersebut akan muncul bersama. Periksa detail setiap temuan, seperti waktu terjadinya, proses yang terlibat, alamat IP berbahaya, dan asal deteksi. Informasi ini menunjukkan bahwa peristiwa tersebut berpotensi terkait dan menjelaskan detail teknis serangan. Tampilan kronologis menunjukkan urutan peristiwa. Sistem memetakan detail ini ke tahap rantai serangan MITRE ATT&CK dan menampilkannya pada visualisasi rantai serangan. Fitur ini memberi Anda konteks langsung tentang tahap serangan.
Identifikasi cakupan
Tentukan tingkat ancaman. Periksa informasi kontekstual tentang peristiwa yang berkaitan, seperti aset yang terpengaruh dan konteks project atau clusternya. Platform mengaitkan masalah berdasarkan resource, menggunakan ID unik untuk mengaitkan peristiwa ke node yang sama. Hal ini menunjukkan aset yang terpengaruh. Verifikasi apakah aset lain menunjukkan tanda yang serupa. Perhatikan identitas yang terlibat, seperti akun layanan atau pengguna yang menjalankan skrip berbahaya. Tampilan yang dicakup ini membantu Anda berfokus pada sistem yang terpengaruh dan mengonfirmasi apakah insiden tersebut bersifat lokal atau luas.
Tindakan berikutnya
Sistem menandai masalah Ancaman yang Berkaitan dengan tingkat keparahan penting. Anda dapat menemukan tindakan yang direkomendasikan di tampilan Cara memperbaiki. Batasi aset yang terpengaruh, misalnya, dengan mengisolasi atau mematikan node GKE yang terpengaruh. Ikuti rekomendasi, seperti memblokir IP berbahaya yang diketahui di tingkat firewall atau VPC cloud. Tindakan yang direkomendasikan membantu Anda merespons lebih cepat, membatasi insiden, dan memulai investigasi yang terfokus. Untuk mengetahui informasi selengkapnya tentang cara menyelidiki ancaman, lihat Cara menyelidiki ancaman.
Langkah berikutnya
- Deteksi ancaman di Security Command Center
- Ringkasan Container Threat Detection
- Ringkasan Event Threat Detection
- Ringkasan Virtual Machine Threat Detection
- Mengelola dan memulihkan masalah