Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per l'implementazione del logging e dei controlli di rilevamento.
I controlli di rilevamento utilizzano la telemetria per rilevare errori di configurazione, vulnerabilità e attività potenzialmente dannose in un ambiente cloud. Google Cloud ti consente di creare controlli di monitoraggio e rilevamento personalizzati per il tuo ambiente. In questa sezione vengono descritte le funzionalità aggiuntive e i consigli per il loro utilizzo.
Monitorare le prestazioni della rete
Network Intelligence Center offre visibilità sulle prestazioni della topologia e dell'architettura di rete. È possibile ottenere insight dettagliati sulle prestazioni di rete e quindi utilizzare queste informazioni per ottimizzare il deployment eliminando i colli di bottiglia sui servizi. Connectivity Tests fornisce insight sulle regole e sui criteri firewall applicati al percorso di rete.
Monitorare e prevenire l'esfiltrazione dei dati.
L'esfiltrazione di dati è una preoccupazione fondamentale per le organizzazioni. In genere, si verifica quando una persona autorizzata estrae dati da un sistema protetto e poi li condivide con una parte non autorizzata o li sposta in un sistema non sicuro.
Google Cloud offre diverse funzionalità e strumenti che consentono di rilevare e prevenire l'esfiltrazione di dati. Per ulteriori informazioni, consulta Prevenire l'esfiltrazione di dati.
Centralizza il monitoraggio
Security Command Center offre visibilità sulle risorse presenti in Google Cloud e sul loro stato di sicurezza. Security Command Center ti aiuta a prevenire, rilevare e rispondere alle minacce. Fornisce una dashboard centralizzata che puoi utilizzare per identificare gli errori di configurazione della sicurezza nelle macchine virtuali, nelle reti, nelle applicazioni e nei bucket di archiviazione. Puoi risolvere questi problemi prima che causino danni o perdite all'azienda. Le funzionalità integrate di Security Command Center possono rilevare attività sospette nei log di sicurezza di Cloud Logging o indicare macchine virtuali compromesse.
Puoi rispondere alle minacce seguendo suggerimenti attuabili o esportando i log nel tuo sistema SIEM per ulteriori indagini. Per informazioni sull'utilizzo di un sistema SIEM con Google Cloud, vedi Analisi dei log di sicurezza in Google Cloud.
Security Command Center fornisce inoltre diversi rilevatori per aiutarti ad analizzare la sicurezza della tua infrastruttura. Questi rilevatori includono:
Anche altri servizi Google Cloud, come i log di Google Cloud Armor, forniscono risultati per la visualizzazione in Security Command Center.
Abilita i servizi necessari per i tuoi carichi di lavoro, quindi monitora e analizza solo i dati importanti. Per ulteriori informazioni sull'abilitazione del logging nei servizi, consulta la sezione Abilita i log in Analisi dei log di sicurezza in Google Cloud.
Monitora le minacce
Event Threat Detection è un servizio gestito opzionale di Security Command Center Premium che rileva le minacce nel flusso di log. Utilizzando Event Threat Detection, puoi rilevare minacce ad alto rischio e costose come malware, cryptomining, accessi non autorizzati alle risorse di Google Cloud, attacchi DDoS e attacchi di forza bruta SSH. Utilizzando le funzionalità dello strumento per sintetizzare volumi di dati di log, i team di sicurezza possono identificare rapidamente gli incidenti ad alto rischio e concentrarsi sulla correzione.
Per rilevare account utente potenzialmente compromessi nella tua organizzazione, utilizza i log di Cloud Platform per le azioni sensibili per identificare quando vengono intraprese azioni sensibili e per confermare che gli utenti validi hanno eseguito queste azioni per scopi validi. Un'azione sensibile è un'azione, ad esempio l'aggiunta di un ruolo con privilegi elevati, che potrebbe danneggiare l'attività se l'azione viene eseguita da un utente malintenzionato. Utilizza Cloud Logging per visualizzare, monitorare ed eseguire query sui log di Cloud Platform per le azioni sensibili. Puoi anche visualizzare le voci di log delle azioni sensibili con il servizio per le azioni sensibili, un servizio integrato di Security Command Center Premium.
Google Security Operations può archiviare e analizzare tutti i tuoi dati di sicurezza a livello centralizzato. Per aiutarti a visualizzare l'intero ambito di un attacco, Google SecOps può mappare i log in un modello comune, arricchirli e collegarli tra loro in linee temporali. Inoltre, puoi utilizzare Google SecOps per creare regole di rilevamento, configurare gli indicatori di corrispondenza di compromissione (IoC) ed eseguire attività di ricerca delle minacce. Scrivi le regole di rilevamento nel linguaggio YARA-L. Per esempi di regole di rilevamento delle minacce in YARA-L, consulta il repository Community Security Analytics (CSA). Oltre a scrivere le tue regole, puoi sfruttare i rilevamenti selezionati in Google SecOps. Questi rilevamenti selezionati sono un insieme di regole YARA-L predefinite e gestite che possono aiutarti a identificare le minacce.
Un'altra opzione per centralizzare i log per l'analisi, il controllo e l'indagine della sicurezza è l'utilizzo di BigQuery. In BigQuery, puoi monitorare le minacce o le configurazioni errate più comuni utilizzando query SQL (ad esempio quelle nel repository CSA) per analizzare le modifiche alle autorizzazioni, l'attività di provisioning, l'utilizzo dei carichi di lavoro, l'accesso ai dati e l'attività di rete. Per ulteriori informazioni sull'analisi dei log di sicurezza in BigQuery, dalla configurazione all'analisi, vedi Analisi dei log di sicurezza in Google Cloud.
Il seguente diagramma mostra come centralizzare il monitoraggio utilizzando sia le funzionalità di rilevamento delle minacce integrate di Security Command Center sia il rilevamento delle minacce che effettui in BigQuery, Google Security Operations o un SIEM di terze parti.
Come mostrato nel diagramma, esistono varie origini dati di sicurezza che dovresti monitorare. Queste origini dati includono log di Cloud Logging, modifiche agli asset da Cloud Asset Inventory, log di Google Workspace o eventi da hypervisor o kernel guest. Il diagramma mostra che puoi utilizzare Security Command Center per monitorare queste origini dati. Questo monitoraggio avviene automaticamente, a condizione che tu abbia abilitato le funzionalità e i rilevatori di minacce appropriati in Security Command Center. Il diagramma mostra che puoi anche monitorare le minacce esportando i dati sulla sicurezza e i risultati di Security Command Center in uno strumento di analisi come BigQuery, Google Security Operations o un SIEM di terze parti. Nel tuo strumento di analisi, il diagramma mostra che puoi eseguire ulteriori analisi e indagini utilizzando ed estendendo query e regole come quelle disponibili in CSA.
Passaggi successivi
Scopri di più sul logging e sul rilevamento con le risorse seguenti: