Ce document explique comment examiner les résultats de détection de menaces et y répondre dans Security Command Center. Pour gérer une menace, vous devez généralement procéder comme suit :
- Examiner les détails du résultat.
- Consulter les conseils disponibles.
- Identifier les risques associés dans votre environnement.
- Passez à l'action pour corriger la menace et sécuriser vos ressources.
Avant de commencer
Vous devez disposer des rôles IAM (Identity and Access Management) requis pour afficher ou modifier les résultats et les journaux, et pour modifier Google Cloud les ressources. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur et consultez la page Contrôle des accès pour en savoir plus sur les rôles. Pour résoudre les erreurs de ressources, consultez la documentation des produits concernés.
Examiner le résultat
Pour commencer à examiner une menace, consultez les détails fournis par Security Command Center dans le résultat.
Pour examiner un résultat de détection de menace, procédez comme suit :
Dans la Google Cloud console, accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre Google Cloud projet, votre dossier ou votre organisation.
Dans la section Filtres rapides, cliquez sur un filtre approprié pour afficher le résultat dont vous avez besoin dans le tableau Résultats de la requête de résultats. Par exemple, si vous sélectionnez Event Threat Detection ou Container Threat Detection dans la sous-section Nom à afficher pour la source, seuls les résultats du service sélectionné s'affichent dans les résultats.
Le tableau est rempli avec les résultats de la source sélectionnée.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous
Category. Le volet de détails du résultat se développe pour afficher un résumé des détails du résultat.Pour afficher la définition JSON du résultat, cliquez sur l'onglet JSON.
Les résultats fournissent les noms et les identifiants numériques des ressources impliquées dans un incident, ainsi que les variables d'environnement et les propriétés des éléments. Vous pouvez utiliser ces informations pour isoler les ressources concernées et déterminer le champ d'application potentiel d'un événement.
Pour faciliter votre enquête, les résultats de la détection de menaces contiennent également des liens vers les ressources externes suivantes :
- Entrées du framework MITRE ATT&CK. Le framework décrit les techniques d'attaque contre les ressources cloud et fournit des conseils pour s'en protéger.
VirusTotal, un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants. Le champ Indicateur VirusTotal fournit un lien vers VirusTotal pour vous aider à examiner plus en détail les problèmes de sécurité potentiels.
VirusTotal est une offre payante distincte avec ses propres limites d'utilisation et fonctionnalités. Vous êtes responsable de la compréhension et du respect des règles d'utilisation de l'API VirusTotal, ainsi que des coûts associés. Pour en savoir plus, consultez la documentation VirusTotal.
Consulter les conseils d'investigation
Après avoir examiné les détails du résultat, consultez les recommandations d'investigation et de réponse fournies par Security Command Center.
Security Command Center fournit des conseils informels pour vous aider à examiner les résultats. Ces résultats identifient les activités suspectes dans votre Google Cloud environnement provenant d'acteurs potentiellement malveillants. En suivant ces conseils, vous pouvez comprendre ce qui s'est passé lors d'une attaque potentielle et développer les réponses possibles pour les ressources affectées.
Pour afficher les recommandations d'investigation et de réponse pour un résultat, recherchez-le dans l'index des résultats de détection de menace.
Vous pouvez également afficher des recommandations de réponse de haut niveau pour les types de résultats de détection de menaces suivants :
- Résultats de détection de menaces liées à l'IA
- Résultats de détection de menaces liées à Cloud Run
- Résultats de détection de menaces liées à Compute Engine
- Résultats de détection de menaces liées à Google Kubernetes Engine
- Résultats de détection de menaces liées à Google Workspace
- Résultats de détection de menaces liées au réseau
Examiner les menaces à l'aide du tableau de bord "Menaces"
Le tableau de bord Menaces de la page Présentation des risques vous aide à surveiller, à hiérarchiser et à examiner les événements potentiellement dangereux dans votre Google Cloud environnement.
Pour accéder au tableau de bord Menaces, procédez comme suit :
Dans la Google Cloud console, accédez à la page Menaces de Security Command Center.
Si nécessaire, sélectionnez votre Google Cloud projet, votre dossier ou votre organisation.
Vous pouvez utiliser les sections suivantes pour identifier et hiérarchiser vos investigations sur les menaces :
- Nouvelles menaces au fil du temps : affiche les événements potentiellement dangereux dans vos ressources sur une période que vous spécifiez. La période par défaut est de sept jours. Pour modifier la période spécifiée, utilisez le champ Période. Ce panneau vous aide à identifier les pics soudains d'activité de menace.
- Principales menaces : affiche les informations suivantes pour vous aider à identifier
les problèmes critiques :
- Menaces par gravité : affiche le nombre de résultats de détection de menaces dans chaque
niveau de gravité (par exemple,
CRITICAL,HIGH,MEDIUMouLOW). La sélection d'un niveau de gravité filtre les résultats afin que vous puissiez vous concentrer en premier lieu sur les risques les plus prioritaires. - Menaces par catégorie : affiche le nombre de résultats classés par types de menaces spécifiques dans tous les projets.
- Menaces par projet : affiche le nombre de résultats pour chaque projet de votre organisation. Cela est utile pour identifier les projets qui connaissent le plus d'activité de menace.
- Menaces par gravité : affiche le nombre de résultats de détection de menaces dans chaque
niveau de gravité (par exemple,
Lorsque vous cliquez sur des éléments de données dans ces panneaux, les filtres pertinents sont appliqués et vous êtes redirigé vers la page Résultats , où vous pouvez poursuivre une investigation plus approfondie des résultats de détection de menaces spécifiques.
Identifier les risques associés
Pour vous aider à comprendre le contexte d'une menace et à éviter qu'elle ne se reproduise, examinez les résultats de détection de failles et d'erreurs de configuration associés, et répondez-y. Ces résultats peuvent indiquer des faiblesses de sécurité qui ont permis à la menace de se produire ou qui pourraient être exploitées à l'avenir.
Pour localiser les résultats de détection de failles et d'erreurs de configuration associés, procédez comme suit :
Localiser l'attribut du résultat
Dans la Google Cloud console, accédez à la page Résultats de Security Command Center.
Examinez le résultat de détection de menace et copiez la valeur d'un attribut susceptible d'apparaître dans tout résultat de détection de failles ou d'erreurs de configuration associé, tel que l'adresse e-mail du principal ou le nom de la ressource affectée.
Créer le filtre de résultat
- Sur la page Résultats, ouvrez l'éditeur de requête en cliquant sur Modifier la requête.
- Cliquez sur Ajouter un filtre. Le menu Sélectionner un filtre s'ouvre.
Dans la liste des catégories de filtres à gauche du menu, sélectionnez la catégorie contenant l'attribut que vous avez noté dans le résultat de détection de menace.
Par exemple, si vous avez noté le nom complet de la ressource affectée, sélectionnez Ressource. Les types d'attributs de la catégorie Ressource s'affichent dans la colonne de droite, y compris l'attribut Nom complet.
Parmi les attributs affichés, sélectionnez le type d'attribut que vous avez noté dans le résultat de détection de menace. Un panneau de recherche de valeurs d'attribut s'ouvre à droite et affiche toutes les valeurs trouvées du type d'attribut sélectionné.
Dans le champ Filtre, collez la valeur de l'attribut que vous avez copiée à partir du résultat de détection de menace. La liste de valeurs affichée est mise à jour pour n'afficher que les valeurs correspondant à la valeur collée.
Dans la liste des valeurs affichées, sélectionnez une ou plusieurs valeurs, puis cliquez sur Appliquer. Le panneau Résultats de la requête de résultats est mis à jour pour n'afficher que les résultats correspondants.
Affiner les résultats par classe de résultat
Si un grand nombre de résultats s'affichent, filtrez-les en sélectionnant des filtres supplémentaires dans le panneau Filtres rapides.
Par exemple, pour n'afficher que les résultats de classe Vulnerability et Misconfiguration contenant les valeurs d'attribut sélectionnées, accédez à la section Classe de résultat du panneau Filtres rapides , puis sélectionnez Vulnerability et Misconfiguration.
Répondre à la menace
Après avoir examiné le résultat, consulté les conseils d'investigation et identifié les risques associés, vous devez répondre à la menace et gérer le cycle de vie du résultat dans Security Command Center.
Approche de la correction des résultats de détection de menaces
Contrairement aux résultats de détection de failles et d'erreurs de configuration, Security Command Center ne fournit pas de conseils officiels pour l'éradication des menaces. Les conseils informels fournis par Security Command Center ne sont pas garantis efficaces contre les menaces passées, actuelles ou futures.
Les erreurs de configuration et les violations de conformité identifient les faiblesses des ressources qui pourraient être exploitées. En règle générale, les erreurs de configuration ont des correctifs connus, tels que l'activation d'un pare-feu ou la rotation d'une clé de chiffrement.
Les menaces diffèrent des failles dans la mesure où elles sont dynamiques et indiquent une exploitation active possible sur une ou plusieurs ressources. Une recommandation de correction peut ne pas être efficace pour sécuriser vos ressources, car les méthodes exactes utilisées pour exploiter la faille peuvent ne pas être connues.
Par exemple, un résultat Added Binary Executed indique qu'un binaire non autorisé a été lancé dans un conteneur. Une recommandation de correction de base peut vous conseiller de mettre le conteneur en quarantaine et de supprimer le binaire, mais cela peut ne pas résoudre la cause racine sous-jacente qui a permis à l'attaquant d'exécuter le binaire. Vous devez déterminer comment l'image de conteneur a été corrompue pour corriger l'exploit. Pour déterminer si le fichier a été ajouté via un port mal configuré ou par un autre moyen, une enquête approfondie est nécessaire. Il peut s'avérer nécessaire de demander à un analyste ayant des connaissances approfondies de votre système d'en examiner les faiblesses.
Les acteurs malveillants attaquent des ressources à l'aide de différentes techniques. Par conséquent, l'application d'un correctif pour une attaque spécifique peut ne pas être efficace contre les variantes de cette attaque. Par exemple, en réponse à un résultat Brute Force: SSH, vous pouvez réduire les niveaux d'autorisation pour certains comptes utilisateur afin de limiter l'accès aux ressources. Toutefois, un mot de passe peu sécurisé peut tout de même fournir un vecteur d'attaque.
L'ampleur des vecteurs d'attaque ne permet pas de fournir des mesures correctives qui fonctionnent dans toutes les situations. Dans votre plan de sécurité cloud, Security Command Center identifie les ressources concernées quasiment en temps réel, vous indique les menaces auxquelles vous faites face et vous fournit des preuves et du contexte pour vous aider dans vos recherches. Toutefois, votre personnel de sécurité doit utiliser les informations détaillées des résultats de Security Command Center afin de déterminer les meilleurs moyens de résoudre les failles et de protéger les ressources contre les attaques futures.
Désactiver ou ignorer un résultat
Une fois que vous avez résolu un problème qui a déclenché un résultat de détection de menace, Security Command Center ne définit pas automatiquement l'état du résultat sur INACTIVE. L'état d'
un résultat de détection de menace reste ACTIVE sauf si vous le modifiez manuellement sur l'état du résultat de détection sur INACTIVE.
En cas de faux positif, envisagez de laisser l'état du résultat sur ACTIVE et
d'ignorer le résultat.
Pour les faux positifs persistants ou récurrents, créez une règle d'ignorance. La définition d'une règle d'ignorance peut réduire le nombre de résultats que vous devez gérer, ce qui facilite l'identification d'une véritable menace lorsqu'elle se produit.
Pour une menace réelle, avant de définir l'état du résultat sur INACTIVE, éliminez la menace et effectuez une investigation approfondie de la menace détectée, de l'étendue de l'intrusion et de tout autre résultat et problème associé.
Étape suivante
- Détection des menaces dans Security Command Center
- Index des résultats de détection de menace
- Menaces corrélées (aperçu)