Analisi e risposta alle minacce

Questo documento spiega come analizzare e rispondere ai risultati relativi alle minacce in Security Command Center. Per gestire una minaccia, in genere:

1. Esamina i dettagli del risultato.
2. Consulta le indicazioni disponibili.
3. Identifica i rischi correlati nel tuo ambiente.
4. Passa all'azione per risolvere la minaccia e proteggere le tue risorse.

Prima di iniziare

Per visualizzare o modificare i risultati e i log e modificare le risorse Google Cloud , devi disporre dei ruoli Identity and Access Management (IAM) richiesti. Se riscontri errori di accesso in Security Command Center, chiedi assistenza all'amministratore e consulta Controllo dell'accesso per scoprire di più sui ruoli. Per risolvere gli errori di risorse, leggi la documentazione relativa ai prodotti interessati.

Esaminare il risultato

Per iniziare a esaminare una minaccia, rivedi i dettagli forniti da Security Command Center nel risultato.

Per esaminare un risultato di minaccia:

1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

   Vai a Risultati

2. Se necessario, seleziona il progetto, la cartella o l'organizzazione. Google Cloud

3. Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato che ti serve nella tabella Risultati della query sui risultati. Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, nei risultati vengono visualizzati solo i risultati del servizio selezionato.

   La tabella viene compilata con i risultati per l'origine selezionata.

4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Category. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.

5. Per visualizzare la definizione JSON del problema, fai clic sulla scheda JSON.

I risultati forniscono i nomi e gli identificatori numerici delle risorse coinvolte in un incidente, insieme alle variabili di ambiente e alle proprietà delle risorse. Puoi utilizzare queste informazioni per isolare le risorse interessate e determinare l'ambito potenziale di un evento.

Per facilitare l'analisi, i risultati delle minacce contengono anche link alle seguenti risorse esterne:

• Voci del framework MITRE ATT&CK. Il framework spiega le tecniche di attacco alle risorse cloud e fornisce indicazioni per la correzione.

• VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file, URL, domini e indirizzi IP potenzialmente dannosi. Se disponibile, il campo Indicatore VirusTotal fornisce un link a VirusTotal per aiutarti a esaminare ulteriormente i potenziali problemi di sicurezza.

  VirusTotal è un'offerta con prezzi separati, limiti di utilizzo e funzionalità proprie. È tua responsabilità comprendere e rispettare le norme di utilizzo delle API di VirusTotal e tutti i costi associati. Per saperne di più, consulta la documentazione di VirusTotal.

Consulta le linee guida per le indagini

Dopo aver esaminato i dettagli del risultato, consulta i consigli per l'indagine e la risposta forniti da Security Command Center.

Security Command Center offre indicazioni informali per aiutarti a esaminare i risultati. Questi risultati identificano attività sospette nel tuo ambiente Google Cloud da potenziali autori di minacce. Seguire le indicazioni può aiutarti a capire cosa è successo durante un potenziale attacco e a sviluppare possibili risposte per le risorse interessate.

Per visualizzare i consigli di analisi e risposta per un risultato, individua il risultato nell'indice dei risultati delle minacce.

Puoi anche visualizzare consigli di risposta di alto livello per i seguenti tipi di risultati relativi alle minacce:

• Risultati delle minacce dell'AI
• Risultati delle minacce di Cloud Run
• Risultati delle minacce di Compute Engine
• Risultati delle minacce di Google Kubernetes Engine
• Risultati relativi alle minacce di Google Workspace
• Risultati relativi alle minacce di rete

Esaminare le minacce utilizzando la dashboard Minacce

La dashboard Minacce nella pagina Panoramica dei rischi ti aiuta a monitorare, dare la priorità e analizzare gli eventi potenzialmente dannosi nel tuo ambiente Google Cloud.

Per accedere alla dashboard Minacce:

1. Nella console Google Cloud , vai alla pagina Minacce di Security Command Center.

   Vai a Minacce

2. Se necessario, seleziona il progetto, la cartella o l'organizzazione. Google Cloud

Puoi utilizzare le seguenti sezioni per identificare e dare la priorità alle indagini sulle minacce:

• Nuove minacce nel tempo: mostra gli eventi potenzialmente dannosi nelle tue risorse in un periodo di tempo specificato. Il periodo di tempo predefinito è sette giorni. Per modificare il periodo di tempo specificato, utilizza il campo Intervallo di tempo. Questo riquadro ti aiuta a identificare picchi improvvisi nell'attività di minaccia.
• Principali minacce: mostra le seguenti informazioni per aiutarti a identificare problemi critici:
  • Minacce per gravità: mostra il numero di risultati di minacce in ogni livello di gravità (ad esempio CRITICAL, HIGH, MEDIUM o LOW). Se selezioni un livello di gravità, i risultati vengono filtrati in modo da poter concentrarti prima sui rischi con priorità più alta.
  • Minacce per categoria: mostra il numero di risultati classificati in base a tipi di minaccia specifici in tutti i progetti.
  • Minacce per progetto: mostra il numero di risultati per ogni progetto nella tua organizzazione. Ciò è utile per identificare i progetti che registrano la maggiore attività di minaccia.

Se fai clic sugli elementi di dati all'interno di questi riquadri, vengono applicati i filtri pertinenti e viene visualizzata la pagina Risultati, dove puoi continuare a esaminare più in dettaglio i risultati relativi a minacce specifiche.

Identificare i rischi correlati

Per aiutarti a comprendere il contesto di una minaccia e a evitare che si ripresenti, esamina e rispondi ai risultati correlati di vulnerabilità ed errori di configurazione. Questi risultati potrebbero indicare punti deboli della sicurezza che hanno permesso il verificarsi della minaccia o che potrebbero essere sfruttati in futuro.

Per individuare i risultati correlati a vulnerabilità ed errori di configurazione:

Individua l'attributo del risultato

1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

   Vai a Risultati

2. Esamina il risultato della minaccia e copia il valore di un attributo che probabilmente apparirà in qualsiasi risultato di vulnerabilità o errore di configurazione correlato, ad esempio l'indirizzo email principale o il nome della risorsa interessata.

Crea il filtro dei risultati

1. Nella pagina Risultati, apri l'editor di query facendo clic su Modifica query.
2. Fai clic su Aggiungi filtro. Si apre il menu Seleziona filtro.

3. Dall'elenco delle categorie di filtri sul lato sinistro del menu, seleziona la categoria che contiene l'attributo che hai annotato nel risultato della minaccia.

   Ad esempio, se hai annotato il nome completo della risorsa interessata, seleziona Risorsa. I tipi di attributo della categoria Risorsa vengono visualizzati nella colonna a destra, incluso l'attributo Nome completo.

4. Tra gli attributi visualizzati, seleziona il tipo di attributo che hai annotato nel risultato della minaccia. Si apre un riquadro di ricerca per i valori degli attributi a destra e vengono visualizzati tutti i valori trovati del tipo di attributo selezionato.

5. Nel campo Filtro, incolla il valore dell'attributo che hai copiato dal risultato di ricerca delle minacce. L'elenco dei valori visualizzato viene aggiornato per mostrare solo i valori che corrispondono a quello incollato.

6. Dall'elenco dei valori visualizzati, seleziona uno o più valori e fai clic su Applica. Il riquadro Risultati della query sui risultati si aggiorna per mostrare solo i risultati corrispondenti.

Perfeziona i risultati in base alla classe

Se nei risultati viene visualizzato un numero elevato di risultati, filtrali selezionando filtri aggiuntivi nel riquadro Filtri rapidi.

Ad esempio, per mostrare solo i risultati delle classi Vulnerability e Misconfiguration che contengono i valori degli attributi selezionati, vai alla sezione Classe di risultati del riquadro Filtri rapidi e seleziona Vulnerabilità e Errata configurazione.

Rispondere alla minaccia

Dopo aver esaminato il risultato, consulta le indicazioni per l'indagine e identifica i rischi correlati, devi rispondere alla minaccia e gestire il ciclo di vita del risultato in Security Command Center.

Approccio alla correzione del rilevamento delle minacce

A differenza dei risultati relativi a vulnerabilità ed errori di configurazione, Security Command Center non fornisce indicazioni ufficiali per la correzione dei risultati relativi alle minacce. Le indicazioni informali fornite da Security Command Center non garantiscono l'efficacia contro minacce precedenti, attuali o future.

Gli errori di configurazione e le violazioni della conformità identificano i punti deboli delle risorse che potrebbero essere sfruttati. In genere, gli errori di configurazione hanno correzioni note, come l'attivazione di un firewall o la rotazione di una chiave di crittografia.

Le minacce si differenziano dalle vulnerabilità in quanto sono dinamiche e indicano un possibile exploit attivo contro una o più risorse. Un consiglio di correzione potrebbe non essere efficace per proteggere le tue risorse perché potrebbero non essere noti i metodi esatti utilizzati per ottenere l'exploit.

Ad esempio, un risultato Added Binary Executed indica che è stato avviato un binario non autorizzato in un container. Un consiglio di correzione di base potrebbe consigliarti di mettere in quarantena il container ed eliminare il file binario, ma ciò potrebbe non risolvere la causa principale sottostante che ha consentito all'attaccante di accedere per eseguire il file binario. Per correggere l'exploit, devi scoprire come è stata danneggiata l'immagine container. Determinare se il file è stato aggiunto tramite una porta configurata in modo errato o con altri mezzi richiede un'indagine approfondita. Un analista con conoscenze a livello esperto del tuo sistema potrebbe doverlo esaminare per individuare le debolezze.

I malintenzionati attaccano le risorse utilizzando tecniche diverse, quindi l'applicazione di una correzione per un exploit specifico potrebbe non essere efficace contro le varianti di questo attacco. Ad esempio, in risposta a un risultato Brute Force: SSH, potresti ridurre i livelli di autorizzazione per alcuni account utente per limitare l'accesso alle risorse. Tuttavia, le password deboli potrebbero comunque fornire un percorso di attacco.

L'ampiezza dei vettori di attacco rende difficile fornire passaggi di correzione che funzionino in tutte le situazioni. Il ruolo di Security Command Center nel tuo piano di sicurezza cloud è quello di identificare le risorse interessate quasi in tempo reale, comunicarti le minacce che devi affrontare e fornire prove e contesto per facilitare le tue indagini. Tuttavia, il personale addetto alla sicurezza deve utilizzare le informazioni dettagliate nei risultati di Security Command Center per determinare i modi migliori per risolvere i problemi e proteggere le risorse da attacchi futuri.

Disattivare o disattivare l'audio di un risultato

Dopo aver risolto un problema che ha attivato un risultato di minaccia, Security Command Center non imposta automaticamente lo stato del risultato su INACTIVE. Lo stato di un risultato di minaccia rimane ACTIVE, a meno che tu non modifiche manualmente lo stato del risultato in INACTIVE.

Per un falso positivo, valuta la possibilità di lasciare lo stato del risultato come ACTIVE e disattivare il risultato.

Per i falsi positivi persistenti o ricorrenti, crea una regola di disattivazione. L'impostazione di una regola di disattivazione può ridurre il numero di risultati che devi gestire, il che semplifica l'identificazione di una minaccia reale quando si verifica.

Per una minaccia reale, prima di impostare lo stato del risultato su INACTIVE, elimina la minaccia e completa un'indagine approfondita sulla minaccia rilevata, sull'entità dell'intrusione e su eventuali altri risultati e problemi correlati.

Passaggi successivi

• Rilevamento delle minacce in Security Command Center
• Indice dei risultati delle minacce
• Minacce correlate (anteprima)