本文說明如何調查及回應 Security Command Center 中的威脅發現結果。如要處理威脅,通常需要採取下列做法:
- 查看發現項目的詳細資料。
- 請參閱可用的指南。
- 找出環境中的相關風險。
- 採取行動修正威脅,確保資源安全。
事前準備
您必須具備必要的 Identity and Access Management (IAM) 角色,才能查看或編輯調查結果和記錄,以及修改 Google Cloud 資源。如果在 Security Command Center 中遇到存取錯誤,請向管理員尋求協助,並參閱「存取權控管」一文瞭解角色。如要解決資源錯誤,請參閱受影響產品的說明文件。
查看發現項目
如要開始調查威脅,請查看 Security Command Center 在發現項目中提供的詳細資料。
如要查看威脅發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
如有需要,請選取 Google Cloud 專案、資料夾或機構。
在「快速篩選器」部分中,按一下適當的篩選器,即可在「發現項目查詢結果」表格中顯示所需發現項目。舉例來說,如果您在「來源顯示名稱」子部分中選取「事件威脅偵測」或「容器威脅偵測」,結果中只會顯示所選服務的發現項目。
表格會填入所選來源的發現項目。
如要查看特定發現項目的詳細資料,請按一下「
Category」下方的發現項目名稱。發現項目詳細資料窗格會展開,顯示發現項目詳細資料摘要。如要查看發現項目的 JSON 定義,請按一下「JSON」分頁標籤。
調查結果會提供事件中涉及的資源名稱和數字 ID,以及環境變數和資產屬性。您可以利用這項資訊找出受影響的資源,並判斷可能的事件影響範圍。
為協助您進行調查,威脅發現結果也包含下列外部資源的連結:
- MITRE ATT&CK 框架項目。這個框架說明針對雲端資源的攻擊技巧,並提供修復指引。
VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。如果有的話,「VirusTotal 指標」欄位會提供 VirusTotal 的連結,協助您進一步調查潛在的安全性問題。
VirusTotal 是另外計費的服務,有自己的使用限制和功能。您有責任瞭解並遵守 VirusTotal 的 API 使用政策和任何相關費用。詳情請參閱 VirusTotal 說明文件。
參閱調查指南
查看發現項目詳細資料後,請參閱 Security Command Center 提供的調查和因應建議。
Security Command Center 提供非正式的指引,協助您調查發現項目。這些發現項目會指出 Google Cloud 環境中可能來自惡意行為者的可疑活動。按照指引操作,有助於瞭解潛在攻擊期間發生的情況,並為受影響的資源制定可能的應變措施。
如要查看調查和回應建議,請在威脅發現項目索引中找出該發現項目。
您也可以查看下列類型威脅發現項目高層級的回應建議:
- AI 威脅發現
- Cloud Run 威脅發現
- Compute Engine 威脅發現
- Google Kubernetes Engine 威脅發現
- Google Workspace 威脅發現
- 網路威脅發現
使用「威脅」資訊主頁查看威脅
「風險總覽」頁面上的「威脅」資訊主頁可協助您監控、排定優先順序及調查 環境中可能有害的事件。 Google Cloud
如要存取「威脅」資訊主頁,請按照下列步驟操作:
前往 Google Cloud 控制台的 Security Command Center「威脅」頁面。
如有需要,請選取 Google Cloud 專案、資料夾或機構。
您可以透過下列專區找出並優先處理威脅調查:
- 過去一段時間出現的新威脅:顯示您指定時間範圍內,資源中可能有害的事件。預設時間範圍為七天。如要變更指定時間範圍,請使用「時間範圍」欄位。這個面板有助於找出威脅活動的突然激增。
- 主要威脅:顯示下列資訊,協助您找出重大問題:
- 依嚴重程度分類的威脅:顯示各嚴重程度的威脅發現項目數量 (例如
CRITICAL、HIGH、MEDIUM或LOW)。選取嚴重程度可篩選發現項目,方便您優先處理最高優先順序的風險。 - 依類別分類的威脅:顯示所有專案中,依特定威脅類型分類的發現項目數量。
- 按專案劃分的威脅:顯示貴機構中每個專案的發現項目數量。這有助於找出威脅活動最多的專案。
- 依嚴重程度分類的威脅:顯示各嚴重程度的威脅發現項目數量 (例如
點選這些面板中的資料元素,即可套用相關篩選條件,並重新導向至「發現」頁面,進一步調查特定威脅發現項目。
找出相關風險
為協助您瞭解威脅的脈絡,並防止威脅再次發生,請查看並回應相關的安全漏洞和設定錯誤發現。這些發現可能指出安全弱點,導致威脅發生或日後可能遭到利用。
如要找出相關的安全漏洞和設定錯誤發現項目,請按照下列步驟操作:
找出發現項目屬性
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
查看威脅發現項目,並複製可能出現在任何相關安全性弱點或錯誤設定發現項目中的屬性值,例如主體電子郵件地址或受影響資源的名稱。
建立發現項目篩選器
- 在「Findings」(發現) 頁面中,按一下「Edit query」(編輯查詢),開啟「Query editor」(查詢編輯器)。
- 按一下「新增篩選條件」,開啟「選取篩選條件」選單。
在選單左側的篩選條件類別清單中,選取包含您在威脅發現項目中記錄的屬性類別。
舉例來說,如果您記下受影響資源的完整名稱,請選取「資源」。右側欄會顯示「資源」類別的屬性類型,包括「完整名稱」屬性。
從顯示的屬性中,選取您在威脅發現項目中記錄的屬性類型。屬性值的搜尋面板會在右側開啟,並顯示所選屬性類型的所有找到的值。
在「篩選器」欄位中,貼上您從威脅發現項目複製的屬性值。顯示的值清單會更新,只顯示與貼上值相符的值。
從顯示的值清單中選取一或多個值,然後按一下「套用」。「發現項目查詢結果」面板會更新,只顯示相符的發現項目。
依發現項目類別修正結果
如果結果中出現大量發現項目,請從「快速篩選器」面板選取其他篩選器,篩選發現項目。
舉例來說,如要只顯示包含所選屬性值的 Vulnerability 和 Misconfiguration 類別發現項目,請前往「快速篩選器」面板的「發現項目類別」部分,然後選取「安全性弱點」和「設定錯誤」。
回應威脅
查看發現項目、參閱調查指南並找出相關風險後,您需要在 Security Command Center 中回應威脅,並管理發現項目的生命週期。
威脅發現項目修復方法
與安全漏洞和錯誤設定發現項目不同,Security Command Center 不會針對威脅發現項目提供正式的補救措施指引。Security Command Center 提供的非正式指引不保證能有效防範先前、目前或未來的任何威脅。
錯誤設定和違規情形會指出資源中可能遭利用的弱點。通常錯誤設定都有已知的修正方式,例如啟用防火牆或輪替加密金鑰。
威脅與安全漏洞不同,威脅是動態的,表示可能正在對一或多個資源進行攻擊。由於您可能不知道確切的攻擊手法,因此補救建議可能無法有效保護資源。
舉例來說,Added Binary Executed 發現項目指出容器中啟動了未經授權的二進位檔。基本補救建議可能會建議隔離容器並刪除二進位檔,但這可能無法解決根本原因,也就是允許攻擊者存取並執行二進位檔的原因。您需要找出容器映像檔遭到破壞的方式,才能修正漏洞攻擊。判斷檔案是透過設定錯誤的通訊埠新增,還是透過其他方式新增,需要進行深入調查。具備系統專業知識的分析師可能需要審查系統,找出弱點。
惡意行為者會使用不同技術攻擊資源,因此針對特定漏洞攻擊套用修正措施,可能無法有效防範該攻擊手法的變種。舉例來說,為因應 Brute Force: SSH 發現項目,您可能會降低部分使用者帳戶的權限等級,以限制資源存取權。不過,低強度密碼仍可能成為攻擊路徑。
由於攻擊媒介範圍廣泛,因此難以提供適用於所有情況的補救步驟。在雲端安全計畫中,Security Command Center 的作用是近乎即時地識別受影響的資源、告知您面臨的威脅,並提供證據和背景資訊來協助調查。不過,您的安全人員必須使用 Security Command Center 發現項目中的大量資訊,判斷解決問題的最佳方法,並保護資源免於未來攻擊。
停用或略過發現項目
解決觸發威脅發現項目的問題後,Security Command Center 不會自動將發現項目的狀態設為 INACTIVE。除非您手動將發現項目的狀態變更為 INACTIVE,否則威脅發現項目的狀態仍為 ACTIVE。
如果是偽陽性,請考慮將發現項目狀態保留為 ACTIVE,並忽略發現項目。
如要處理持續或重複發生的誤判情形,請建立靜音規則。設定靜音規則可減少需要管理的發現項目數量,有助於在發生真正威脅時輕鬆識別。
如果確實是威脅,請先消除威脅,並徹底調查偵測到的威脅、入侵程度,以及任何其他相關的發現和問題,再將發現項目的狀態設為 INACTIVE。