Bedrohungen untersuchen und darauf reagieren

In diesem Dokument wird erläutert, wie Sie Bedrohungsergebnisse in Security Command Center untersuchen und darauf reagieren. Normalerweise gehen Sie so vor, um eine Bedrohung zu beheben:

1. Überprüfen Sie die Details des Ergebnisses.
2. Lesen Sie die verfügbaren Anleitungen.
3. Identifizieren Sie verwandte Risiken in Ihrer Umgebung.
4. Ergreifen Sie Maßnahmen, um die Bedrohung zu beheben und Ihre Ressourcen zu schützen.

Hinweis

Sie benötigen die erforderlichen IAM-Rollen (Identity and Access Management), um Ergebnisse und Logs aufzurufen oder zu bearbeiten und Ressourcen zu ändern Google Cloud . Wenn in Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator und lesen Sie die Informationen zur Zugriffs steuerung, um mehr über Rollen zu erfahren. Informationen zum Beheben von Ressourcenfehlern finden Sie in der Dokumentation für die betroffenen Produkte.

Ergebnis prüfen

Um eine Bedrohung zu untersuchen, prüfen Sie die Details, die Security Command Center im Ergebnis bereitstellt.

So prüfen Sie ein Bedrohungsergebnis:

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

   Zu Ergebnissen

2. Wählen Sie bei Bedarf Ihr Google Cloud Projekt, Ihren Ordner oder Ihre Organisation aus.

3. Klicken Sie im Abschnitt Schnellfilter auf einen geeigneten Filter, um das gewünschte Ergebnis in der Tabelle Ergebnisse der Ergebnisabfrage anzuzeigen. Wenn Sie beispielsweise im Unterabschnitt Anzeigename der Quelle die Option Event Threat Detection oder Container Threat Detection auswählen, werden in den Ergebnissen nur Ergebnisse des ausgewählten Dienstes angezeigt.

   Die Tabelle enthält die Ergebnisse für die ausgewählte Quelle.

4. Klicken Sie auf den Namen des Ergebnisses unter Category (Kategorie), um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und zeigt eine Zusammenfassung der Details des Ergebnisses an.

5. Klicken Sie auf den Tab JSON, um die JSON-Definition des Ergebnisses aufzurufen.

Die Ergebnisse liefern die Namen und numerischen Kennzeichnungen der an einem Vorfall beteiligten Ressourcen sowie Umgebungsvariablen und Asset-Attribute. Mit diesen Informationen können Sie betroffene Ressourcen isolieren und den potenziellen Umfang eines Ereignisses feststellen.

Bedrohungsergebnissen enthalten auch Links zu den folgenden externen Ressourcen, um Sie bei der Untersuchung zu unterstützen:

• MITRE ATT&CK-Framework-Einträge. Das Framework erklärt Techniken für Angriffe auf Cloud-Ressourcen und bietet Anleitungen zur Problembehebung.

• VirusTotal, ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt. Falls verfügbar, enthält das Feld VirusTotal-Indikator einen Link zu VirusTotal, mit dem Sie potenzielle Sicherheitsprobleme weiter untersuchen können.

  VirusTotal ist ein separat kostenpflichtiges Angebot mit eigenen Nutzungslimits und Funktionen. Sie sind dafür verantwortlich, die Richtlinien zur API-Nutzung von VirusTotal und alle damit verbundenen Kosten zu verstehen und einzuhalten. Weitere Informationen finden Sie in der VirusTotal-Dokumentation.

Anleitung zur Untersuchung

Nachdem Sie die Ergebnisdetails geprüft haben, lesen Sie die Empfehlungen zur Untersuchung und Reaktion, die Security Command Center bereitstellt.

Security Command Center bietet informelle Anleitungen, die Sie bei der Untersuchung von Ergebnissen unterstützen. Diese Ergebnisse identifizieren verdächtige Aktivitäten in Ihrer Google Cloud Umgebung durch potenziell böswillige Akteure. Mit den Anleitungen können Sie verstehen, was bei einem potenziellen Angriff passiert ist, und mögliche Antworten für die betroffenen Ressourcen entwickeln.

Wenn Sie die Empfehlungen zur Untersuchung und Reaktion für ein Ergebnis aufrufen möchten, suchen Sie das Ergebnis im Index der Bedrohungsergebnisse.

Sie können auch allgemeine Empfehlungen zur Reaktion für die folgenden Arten von Bedrohungsergebnissen aufrufen:

• Bedrohungsergebnisse für KI
• Bedrohungsergebnisse für Cloud Run
• Bedrohungsergebnisse für Compute Engine
• Bedrohungsergebnisse für Google Kubernetes Engine
• Bedrohungsergebnisse für Google Workspace
• Bedrohungsergebnisse für das Netzwerk

Bedrohungen mit dem Dashboard „Bedrohungen“ prüfen

Mit dem Dashboard Bedrohungen auf der Seite Risikoübersicht können Sie potenziell schädliche Ereignisse in Ihrer Google Cloud Umgebung beobachten, priorisieren und untersuchen.

So greifen Sie auf das Dashboard Bedrohungen zu:

1. Rufen Sie in der Google Cloud Console die Seite Bedrohungen von Security Command Center auf.

   Zu Bedrohungen

2. Wählen Sie bei Bedarf Ihr Google Cloud Projekt, Ihren Ordner oder Ihre Organisation aus.

In den folgenden Abschnitten können Sie Ihre Bedrohungsuntersuchungen identifizieren und priorisieren:

• Neue Bedrohungen im Zeitverlauf: Zeigt potenziell schädliche Ereignisse in Ihren Ressourcen über einen von Ihnen angegebenen Zeitraum an. Der Standardzeitraum beträgt sieben Tage. Verwenden Sie das Feld Zeitraum, um den angegebenen Zeitraum zu ändern. In diesem Bereich können Sie plötzliche Spitzen bei der Bedrohungsaktivität erkennen.
• Top-Bedrohungen: Zeigt die folgenden Informationen an, mit denen Sie kritische Probleme erkennen können:
  • Bedrohungen nach Schweregrad: Zeigt die Anzahl der Bedrohungsergebnisse für jeden Schweregrad an (z. B. CRITICAL, HIGH, MEDIUM, oder LOW). Wenn Sie einen Schweregrad auswählen, werden die Ergebnisse gefiltert, sodass Sie sich zuerst auf die Risiken mit der höchsten Priorität konzentrieren können.
  • Bedrohungen nach Kategorie: Zeigt die Anzahl der Ergebnisse an, die nach bestimmten Bedrohungstypen für alle Projekte klassifiziert sind.
  • Bedrohungen nach Projekt: Zeigt die Anzahl der Ergebnisse für die einzelnen Projekte in Ihrer Organisation an. So können Sie die Projekte identifizieren, bei denen die meisten Bedrohungsaktivitäten auftreten.

Wenn Sie auf Datenelemente in diesen Bereichen klicken, werden die entsprechenden Filter angewendet und Sie werden zur Seite Ergebnisse weitergeleitet, wo Sie eine detailliertere Untersuchung bestimmter Bedrohungsergebnisse durchführen können.

Verwandte Risiken identifizieren

Um den Kontext einer Bedrohung zu verstehen und zu verhindern, dass Bedrohungen erneut auftreten, prüfen Sie die Ergebnisse zu verwandten Sicherheitslücken und Fehlkonfigurationen und reagieren Sie darauf. Diese Ergebnisse können auf Sicherheitsschwachstellen hinweisen, die die Bedrohung ermöglicht haben oder in Zukunft ausgenutzt werden könnten.

So finden Sie verwandte Ergebnisse zu Sicherheitslücken und Fehlkonfigurationen:

Ergebnisattribut suchen

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

   Zu Ergebnissen

2. Prüfen Sie das Bedrohungsergebnis und kopieren Sie den Wert eines Attributs, das wahrscheinlich in einem verwandten Ergebnis zu einer Sicherheitslücke oder Fehlkonfiguration enthalten ist, z. B. die E-Mail-Adresse des Prinzipals oder den Namen der betroffenen Ressource.

Ergebnisfilter erstellen

1. Öffnen Sie auf der Seite Ergebnisse den Abfrageeditor, indem Sie auf Abfrage bearbeiten klicken.
2. Klicken Sie auf Filter hinzufügen. Das Menü Filter auswählen wird geöffnet.

3. Wählen Sie in der Liste der Filterkategorien auf der linken Seite des Menüs die Kategorie aus, die das Attribut enthält, das Sie im Bedrohungsergebnis notiert haben.

   Wenn Sie beispielsweise den vollständigen Namen der betroffenen Ressource notiert haben, wählen Sie Ressource aus. Die Attributtypen der Kategorie Ressource werden in der Spalte rechts angezeigt, einschließlich des Attributs Vollständiger Name.

4. Wählen Sie aus den angezeigten Attributen den Typ des Attributs aus, das Sie im Bedrohungsergebnis notiert haben. Rechts wird ein Suchbereich für Attributwerte geöffnet, in dem alle gefundenen Werte des ausgewählten Attributtyps angezeigt werden.

5. Fügen Sie im Feld Filter den Attributwert ein, den Sie aus dem Bedrohungsergebnis kopiert haben. Die angezeigte Liste der Werte wird aktualisiert und enthält nur die Werte, die mit dem eingefügten Wert übereinstimmen.

6. Wählen Sie in der Liste der angezeigten Werte einen oder mehrere Werte aus und klicken Sie auf Anwenden. Im Bereich Ergebnisse der Ergebnisabfrage werden nur die übereinstimmenden Ergebnisse angezeigt.

Ergebnisse nach Ergebnisklasse filtern

Wenn in den Ergebnissen eine große Anzahl von Ergebnissen angezeigt wird, filtern Sie die Ergebnisse, indem Sie im Bereich Schnellfilter zusätzliche Filter auswählen.

Wenn Sie beispielsweise nur die Ergebnisse der Klassen Vulnerability und Misconfiguration anzeigen möchten, die die ausgewählten Attributwerte enthalten, rufen Sie im Bereich Schnellfilter den Abschnitt Ergebnisklasse auf und wählen Sie Vulnerability und Misconfiguration aus.

Auf die Bedrohung reagieren

Nachdem Sie das Ergebnis geprüft, die Anleitung zur Untersuchung gelesen und verwandte Risiken identifiziert haben, müssen Sie auf die Bedrohung reagieren und den Lebenszyklus des Ergebnisses in Security Command Center verwalten.

Ansatz zur Behebung von Bedrohungsergebnissen

Im Gegensatz zu Ergebnissen zu Sicherheitslücken und Fehlkonfigurationen bietet Security Command Center keine offizielle Korrekturempfehlung für Bedrohungsergebnisse. Die informellen Anleitungen, die Security Command Center bereitstellt, sind nicht zwangsläufig gegen frühere, aktuelle oder zukünftige Bedrohungen wirksam.

Konfigurationsfehler und Compliance-Verstöße identifizieren Schwachstellen in Ressourcen, die ausgenutzt werden könnten. Normalerweise haben Fehlkonfigurationen bekannte Fehlerbehebungen, wie das Aktivieren einer Firewall oder das Rotieren eines Verschlüsselungsschlüssels.

Bedrohungen unterscheiden sich von Sicherheitslücken dadurch, dass sie dynamisch sind und darauf hindeuten, dass eine oder mehrere Ressourcen aktiv genutzt werden können. Eine Korrekturempfehlung ist möglicherweise nicht effektiv beim Sichern Ihrer Ressourcen, da die genauen Methoden, mit denen der Exploit erreicht wurde, möglicherweise nicht bekannt sind.

Beispiel: Ein Added Binary Executed-Ergebnis gibt an, dass eine nicht autorisierte Binärdatei in einem Container gestartet wurde. Eine grundlegende Korrekturempfehlung bietet möglicherweise an, den Container unter Quarantäne zu stellen und die Binärdatei zu löschen, ohne die zugrunde liegende Ursache zu beheben, die dem Angreifer Zugriff auf die Binärdatei ermöglicht. Sie müssen herausfinden, wie das Container-Image beschädigt wurde, um den Exploit zu beheben. Um festzustellen, ob die Datei über einen falsch konfigurierten Port oder auf andere Weise hinzugefügt wurde, ist eine gründliche Untersuchung erforderlich. Ein Analyst mit entsprechenden Kenntnissen über Ihr System muss Ihr System unter Umständen auf Schwachstellen prüfen.

Böswillige Akteure greifen Ressourcen mithilfe verschiedener Techniken an. Deshalb ist die Anwendung einer Korrektur für einen bestimmten Exploit möglicherweise nicht auf Varianten dieses Angriffs wirksam. Als Reaktion auf ein Brute Force: SSH-Ergebnis können Sie beispielsweise die Berechtigungsstufen einiger Nutzerkonten verringern, um den Zugriff auf Ressourcen einzuschränken. Schwache Passwörter können jedoch immer noch einen Angriffspfad darstellen.

Die Breite der Angriffsvektoren erschwert die Behebung von Maßnahmen, die in allen Situationen funktionieren. Die Rolle von Security Command Center in Ihrem Cloud-Sicherheitsplan besteht darin, betroffene Ressourcen nahezu in Echtzeit zu identifizieren, Ihnen mitteilen, welche Bedrohungen Sie haben, und Nachweise und Kontext für Ihre Untersuchungen bereitzustellen. Das Sicherheitspersonal muss jedoch die umfassenden Informationen in den Ergebnissen von Security Command Center verwenden, um die besten Möglichkeiten zur Behebung von Problemen und zum Schutz von Ressourcen vor zukünftigen Angriffen zu ermitteln.

Ergebnis deaktivieren oder ausblenden

Nachdem Sie ein Problem behoben haben, das ein Bedrohungsergebnis ausgelöst hat, wird der Status des Ergebnisses in Security Command Center nicht automatisch auf INACTIVE gesetzt. Der Status eines Bedrohungsergebnisses bleibt ACTIVE, es sei denn, Sie ändern den Status des Ergebnisses manuell in INACTIVE.

Bei einem falsch positiven Ergebnis sollten Sie den Status des Ergebnisses auf ACTIVE belassen und das Ergebnis stattdessen ausblenden.

Erstellen Sie eine Ausblendungsregel für dauerhafte oder wiederkehrende falsch positive Ergebnisse, eine Ausblendungsregel Regel. Wenn Sie eine Ausblendungsregel festlegen, können Sie die Anzahl der Ergebnisse reduzieren, die Sie verwalten müssen. So können Sie eine echte Bedrohung leichter erkennen, wenn sie auftritt.

Bei einer echten Bedrohung müssen Sie die Bedrohung beseitigen und eine gründliche Untersuchung der erkannten Bedrohung, des Umfangs des Angriffs und aller anderen verwandten Ergebnisse und Probleme durchführen, bevor Sie den Status des Ergebnisses auf INACTIVE setzen.

Nächste Schritte

• Bedrohungserkennung in Security Command Center
• Index der Bedrohungsergebnisse
• Correlated Threats (Vorschau)