Controlli di rilevamento

Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che consentono di rilevare e rispondere agli eventi di sicurezza.

Logging centralizzato per sicurezza e audit

Il progetto configura le funzionalità di logging per monitorare e analizzare le modifiche alle risorse Google Cloud con i log aggregati a un singolo progetto.

Il seguente diagramma mostra in che modo il progetto base aggrega i log di più origini in più progetti in un sink di log centralizzato.

Il diagramma descrive quanto segue:

• I sink di log sono configurati nel nodo organizzazione per aggregare i log di tutti i progetti nella gerarchia delle risorse.
• Sono configurati più sink di log per inviare i log corrispondenti a un filtro a destinazioni diverse per l'archiviazione e l'analisi.
• Il progetto prj-c-logging contiene tutte le risorse per l'archiviazione e l'analisi dei log.
• Facoltativamente, puoi configurare strumenti aggiuntivi per esportare i log in un SIEM.

Il progetto base utilizza diverse origini log e li include nel filtro del sink di log, in modo che possano essere esportati in una destinazione centralizzata. La tabella seguente descrive le origini log.

Sorgente log	Descrizione
Audit log delle attività di amministrazione	Non puoi configurare, disabilitare o escludere gli audit log delle attività di amministrazione.
Audit log degli eventi di sistema	Non puoi configurare, disabilitare o escludere gli audit log degli eventi di sistema.
Audit log negati per i criteri	Non puoi configurare o disabilitare gli audit log relativi ai criteri negati, ma puoi facoltativamente escluderli con i filtri di esclusione.
Audit log degli accessi ai dati	Per impostazione predefinita, il progetto base non abilita i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se devi abilitare i log degli accessi ai dati, valuta dove i tuoi carichi di lavoro gestiscono i dati sensibili e valuta se hai l'obbligo di abilitare i log degli accessi ai dati per ogni servizio e ambiente che utilizza dati sensibili.
Log di flusso VPC	Il progetto abilita i log di flusso VPC per ogni subnet. Il progetto configura il campionamento dei log per campionare il 50% dei log e ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet.
Logging delle regole firewall	Il progetto base abilita il logging delle regole firewall per ogni regola del criterio firewall. Se crei regole dei criteri firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia abilitato per ogni nuova regola.
Logging di Cloud DNS	Il progetto consente di attivare i log di Cloud DNS per le zone gestite. Se crei zone gestite aggiuntive, devi abilitare questi log DNS.
Log di controllo di Google Workspace	Richiede un passaggio di abilitazione una tantum non automatizzato dal progetto. Per ulteriori informazioni, vedi Condividere dati con i servizi di Google Cloud.
Log di Access Transparency	Richiede un passaggio di abilitazione una tantum non automatizzato dal progetto. Per ulteriori informazioni, consulta Attivare Access Transparency.

La seguente tabella descrive i sink di log e il modo in cui vengono utilizzati con le destinazioni supportate nel progetto base.

Sink	Destinazione	Finalità
sk-c-logging-la	Log instradati ai bucket Cloud Logging con Analisi dei log e un set di dati BigQuery collegato abilitato	Analizzare attivamente i log. Esegui indagini ad hoc utilizzando Esplora log nella console oppure scrivi query, report e viste SQL utilizzando il set di dati BigQuery collegato.
sk-c-logging-bkt	Log instradati a Cloud Storage	Archivia i log a lungo termine per finalità di conformità, controllo e monitoraggio degli incidenti. Facoltativamente, se hai requisiti di conformità per la conservazione obbligatoria dei dati, ti consigliamo di configurare inoltre il blocco di bucket.
sk-c-logging-pub	Log con routing a Pub/Sub	Esporta i log su una piattaforma esterna come il tuo SIEM esistente. Questa operazione richiede attività aggiuntive per l'integrazione con il SIEM, come i seguenti meccanismi: Per molti strumenti, l'integrazione di terze parti con Pub/Sub è il metodo preferito per importare i log. Per Google Google Security Operations, puoi importare dati di Google Cloud in Google Security Operations senza eseguire il provisioning di un'infrastruttura aggiuntiva. Per Splunk, puoi eseguire il flusso di log da Google Cloud a Splunk utilizzando Dataflow.

Per indicazioni su come abilitare tipi di log aggiuntivi e scrivere filtri del sink di log, consulta lo strumento di definizione dell'ambito dei log.

Monitoraggio delle minacce con Security Command Center

Ti consigliamo di attivare Security Command Center Premium per la tua organizzazione per rilevare automaticamente minacce, vulnerabilità e configurazioni errate nelle risorse Google Cloud. Security Command Center crea risultati di sicurezza da più origini, tra cui:

• Security Health Analytics: rileva vulnerabilità e configurazioni errate comuni nelle risorse Google Cloud.
• Esposizione al percorso di attacco: mostra un percorso simulato di come un utente malintenzionato potrebbe sfruttare le tue risorse di alto valore, in base alle vulnerabilità e alle configurazioni errate rilevate da altre origini di Security Command Center.
• Event Threat Detection: applica la logica di rilevamento e l'intelligence sulle minacce proprietarie ai tuoi log per identificare le minacce quasi in tempo reale.
• Container Threat Detection: rileva gli attacchi comuni di runtime dei container.
• Virtual Machine Threat Detection: rileva le applicazioni potenzialmente dannose in esecuzione su macchine virtuali.
• Web Security Scanner: esegue la scansione delle dieci principali vulnerabilità OWASP nelle tue applicazioni per il web su Compute Engine, App Engine o Google Kubernetes Engine.

Per ulteriori informazioni sulle vulnerabilità e sulle minacce affrontate da Security Command Center, consulta le origini di Security Command Center.

Devi attivare Security Command Center dopo aver eseguito il deployment del progetto base. Per le istruzioni, vedi Attivare Security Command Center per un'organizzazione.

Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati prodotti da Security Command Center negli strumenti o nei processi esistenti per valutare e rispondere alle minacce. Il progetto crea il progetto prj-c-scc con un argomento Pub/Sub da utilizzare per questa integrazione. A seconda degli strumenti in uso, utilizza uno dei seguenti metodi per esportare i risultati:

• Se utilizzi la console per gestire i risultati sulla sicurezza direttamente in Security Command Center, configura i ruoli a livello di cartella e progetto per Security Command Center per consentire ai team di visualizzare e gestire i risultati sulla sicurezza solo per i progetti di cui sono responsabili.

• Se utilizzi Google SecOps come SIEM, importa i dati di Google Cloud in Google SecOps.

• Se utilizzi uno strumento SIEM o SOAR con integrazioni con Security Command Center, condividi i dati con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk o QRadar.

• Se utilizzi uno strumento esterno in grado di importare i risultati da Pub/Sub, configura le esportazioni continue in Pub/Sub e configura gli strumenti esistenti per importare i risultati dall'argomento Pub/Sub.

Avvisi sulle metriche basate su log e sulle prestazioni

Quando inizi a eseguire il deployment dei carichi di lavoro sulla base degli elementi di base, ti consigliamo di utilizzare Cloud Monitoring per misurare le metriche delle prestazioni.

Il progetto crea un progetto di monitoraggio come prj-p-monitoring per ogni ambiente. Questo progetto è configurato come progetto di ambito per raccogliere metriche aggregate sulle prestazioni di più progetti. Il progetto esegue il deployment di un esempio con metriche basate su log e un criterio di avviso per generare notifiche email in caso di modifiche al criterio IAM applicato ai bucket Cloud Storage. Ciò consente di monitorare le attività sospette su risorse sensibili come il bucket nel progetto prj-b-seed che contiene lo stato di Terraform.

Più in generale, puoi utilizzare Cloud Monitoring anche per misurare le metriche delle prestazioni e l'integrità delle applicazioni dei carichi di lavoro. A seconda della responsabilità operativa del supporto e del monitoraggio delle applicazioni nella tua organizzazione, potresti creare progetti di monitoraggio più granulari per team diversi. Utilizza questi progetti di monitoraggio per visualizzare le metriche delle prestazioni, creare dashboard di integrità delle applicazioni e attivare avvisi quando lo SLO previsto non viene soddisfatto.

Il seguente diagramma mostra una visione generale del modo in cui Cloud Monitoring aggrega le metriche sulle prestazioni.

Per indicazioni su come monitorare in modo efficace i carichi di lavoro per affidabilità e disponibilità, consulta il libro Site Reliability Engineering di Google, in particolare il capitolo sul monitoraggio dei sistemi distribuiti.

Soluzione personalizzata per l'analisi automatica dei log

Potresti avere requisiti per creare avvisi per eventi di sicurezza basati su query personalizzate sui log. Le query personalizzate possono contribuire a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud ed esportando solo gli eventi che meritano un'indagine, soprattutto se non disponi della capacità di esportare tutti i log del cloud nella tua piattaforma SIEM.

Il progetto consente di abilitare questa analisi dei log configurando un'origine centralizzata dei log su cui puoi eseguire query utilizzando un set di dati BigQuery collegato. Per automatizzare questa funzionalità, devi implementare l'esempio di codice in bq-log-alerting ed estendere le funzionalità di base. Il codice campione consente di eseguire regolarmente query su un'origine log e di inviare un risultato personalizzato a Security Command Center.

Il seguente diagramma presenta il flusso ad alto livello dell'analisi automatica dei log.

Il diagramma mostra i seguenti concetti di analisi automatizzata dei log:

• I log di varie origini vengono aggregati in un bucket di log centralizzato con analisi dei log e in un set di dati BigQuery collegato.
• Le viste BigQuery sono configurate per eseguire query sui log per l'evento di sicurezza che vuoi monitorare.
• Cloud Scheduler esegue il push di un evento in un argomento Pub/Sub ogni 15 minuti e attiva Cloud Functions.
• Cloud Functions esegue query sulle viste per verificare la presenza di nuovi eventi. Se trova eventi, li invia a Security Command Center come risultati personalizzati.
• Security Command Center pubblica notifiche sui nuovi risultati in un altro argomento Pub/Sub.
• Uno strumento esterno come SIEM sottoscrive l'argomento Pub/Sub per importare nuovi risultati.

Nell'esempio sono disponibili diversi casi d'uso per eseguire query relative a comportamenti potenzialmente sospetti. Alcuni esempi includono l'accesso da un elenco di super amministratori o altri account con privilegi elevati da te specificati, modifiche alle impostazioni di logging o alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni delle query in base ai tuoi requisiti. Scrivi le tue query o fai riferimento all'analisi dei log di sicurezza per una libreria di query SQL che ti aiutano ad analizzare i log di Google Cloud.

Soluzione personalizzata per rispondere alle modifiche agli asset

Per rispondere agli eventi in tempo reale, ti consigliamo di utilizzare Cloud Asset Inventory per monitorare le modifiche agli asset. In questa soluzione personalizzata, un feed di asset è configurato per attivare in tempo reale notifiche relative a modifiche alle risorse a Pub/Sub, dopodiché Cloud Functions esegue codice personalizzato per applicare la tua logica di business a seconda che la modifica debba essere consentita o meno.

Il progetto include un esempio di questa soluzione di governance personalizzata che monitora le modifiche IAM che aggiungono ruoli altamente sensibili, tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il diagramma seguente descrive questa soluzione.

Il diagramma precedente mostra i seguenti concetti:

• Vengono apportate modifiche a un criterio di autorizzazione.
• Il feed Cloud Asset Inventory invia a Pub/Sub una notifica in tempo reale sulla modifica del criterio di autorizzazione.
• Pub/Sub attiva una funzione.
• Cloud Functions esegue codice personalizzato per applicare i criteri. La funzione di esempio dispone di una logica per valutare se la modifica ha aggiunto i ruoli Amministratore, Proprietario o Editor dell'organizzazione a un criterio di autorizzazione. In tal caso, la funzione crea un risultato di sicurezza personalizzato e lo invia a Security Command Center.
• Facoltativamente, puoi utilizzare questo modello per automatizzare le attività di correzione. Scrivi una logica di business aggiuntiva in Cloud Functions per intervenire automaticamente sul risultato, ad esempio ripristinare lo stato precedente del criterio di autorizzazione.

Inoltre, puoi estendere l'infrastruttura e la logica utilizzate da questa soluzione di esempio per aggiungere risposte personalizzate ad altri eventi importanti per la tua attività.

Passaggi successivi

• Leggi ulteriori informazioni sui controlli preventivi (documento successivo di questa serie).