随着云采用的持续增长,云产生的安全威胁的数量也在增加。然而,云环境可以提供重要的机会来通过适当的工具和流程来提高安全性。
当涉及到云中有效的威胁检测、调查和响应 (TDIR) 时,现代解决方案必须确保整个安全操作工作流程——从数据分析到检测再到响应——协同工作以提供洞察力、上下文和流程网络防御者需要快速准确地应对威胁。
在谷歌云,我们认为现代安全运营应该减少对客户工程的依赖,而更多地依赖解决方案提供商提供的打包结果。考虑到这一点,我们很高兴今天在我们的年度安全峰会上宣布,Chronicle 安全运营现在为 Google Cloud 提供交钥匙 TDIR。通过与我们以云为中心的Security Command Center Premium (SCC) 和 Google Cloud 遥测集成,Chronicle 可以从 Google Cloud 收集和分析数据,检测和调查威胁,并自动响应以降低风险。
在我们最近的云威胁检测和响应调查状态中,71% 的受访者表示“通过迁移到云消除了所有类型的威胁”,82% 的受访者表示“云提供了处理更多数据的能力,包括-prem 数据,可以全面改进检测。”
为了充分利用云在安全方面的所有优势,组织应该做的不仅仅是将其现有的安全工具和流程“提升并转移”到云中。云呈现出不同的攻击面,通常跨越多个云服务和数据存储库,并且每个都有不同的攻击策略、潜在的错误配置和上下文。
Chronicle 的这次更新有助于使团队能够:
放心检测。由 Google 威胁研究人员开发的开箱即用的检测规则集可以揭示云攻击向量并提供高保真度、情境化警报,从而快速洞察您的 Google Cloud 环境中的潜在威胁。
在完整的上下文中进行调查。可视化威胁故事情节,以及与来自整个环境的其他数据和上下文相关的特定于云的上下文,以进行快速高效的调查。
快速准确地做出响应。借助专为 Google Cloud 设计的预建剧本和最佳实践,简化工作流程并自动执行响应操作。Chronicle SOAR 的案例管理和团队协作有助于确保快速及时的响应。
简化数据摄取。Chronicle 自动从各种 Google Cloud 服务(例如 Cloud Asset Inventory、Google Kubernetes Engine、Google Compute Engine、云审计日志和Cloud DLP)中提取、规范化和上下文化云遥测,从而减少对复杂且耗时的工程的需求。
让 Google Cloud TDIR 发挥作用
让我们仔细看看我们的端到端云 TDIR 工作流如何管理潜在的谷歌云攻击。
在 Chronicle 中设置云 TDIR 只需点击几下。Security Command Center 的内置威胁检测可识别针对 Google Cloud 资源的攻击。这些发现,以及审计、NAT、DNS 和防火墙日志,都被提取到 Chronicle 中,以提供对 Google Cloud 威胁的更多洞察和背景信息。
Chronicle 现在提供针对 Google Cloud 威胁的检测规则。这些规则将 SCC 发现与 Chronicle 的高级检测引擎相关联,以揭示恶意活动的广泛范围,让您能够了解环境中发生的事情并获得更多上下文信息。在我们的示例中,Chronicle 会针对可能表明试图从 BigQuery 泄露数据的可疑活动发出警报。
新的 Chronicle Alert Graph 会在几秒钟内显示您正在调查的主要警报的关键细节。结合云警报和遥测并将其与来自其他来源(例如用户数据、端点数据和威胁情报)的重要上下文相关联,您可以探索警报与其他警报和实体的关系的可视化表示,挖掘潜在的攻击路径,获取涉及的安全工件的快速摘要,并转向您的 Google Cloud Console 以更深入地了解可能受影响的资源。
在我们的示例中,我们可以看到与客户关联的 BigQuery 渗漏事件,并且它与绑定到 Google Cloud 组织的特定服务帐户相关联。下面的警报上下文告诉我们更多有关受影响的内容。它向我们展示了加密密钥和电子邮件地址形式的云凭证与事件相关联。
Chronicle 案例管理会自动将任何相关警报分组到以威胁为中心的案例中,将重要信息统一起来,让您可以轻松查看和了解事件的范围。
在我们的示例中,Chronicle 根据通用源地址和用户名将这些警报分组在一起,而案例墙提供了整个案例中发生的警报和操作的摘要。
专为 Google Cloud 设计的 Chronicle 剧本可自动执行您所需的响应流程。在我们的示例中,当生成警报时,剧本会自动运行预定义的步骤,这些步骤收集数据、充实并采取自动修复步骤以防止此服务帐户和实例继续运行。
准备好自信地进行检测、在广泛的背景下进行调查、快速准确地做出响应并简化数据摄取了吗?Chronicle Security Operations是您在 Google Cloud 上进行端到端威胁检测、调查和响应的统包工具。收听我们的安全峰会会议以了解更多信息并观看新的 Google Cloud TDIR 功能的演示。
