Google推出社群安全分析项目,可用于定义常见云计算威胁侦测规则

Google云计算发布社群安全分析(Community Security Analytics,CSA)项目,提供一组针对自助服务安全分析所设计的开源查询和规则,使用户能够在持续检测和持续回应工作流程中,侦测常见的云计算威胁。官方提到,通过在产品组合中,创建标准化和共享云计算安全分析生态系统,使得各组织研究人员、安全分析师和资料治理团队能够共同协作,将有助于提高侦测能力。

Google提到,他们已经在云计算提供一个安全基础,让用户可以直接控制,并且执行独立审核和验证,该机制的透明性和可审核性,供用户验证正确的访问权限,并在资料和工作负载出现问题之前,先行发现潜在威胁。

除了虚拟机日志、应用程序/容器日志和网络日志,Google云计算服务也会对管理员和用户的活动留下审核线索,但是因为这些日志资料非常庞大,因此用户除了收集和安全相关的日志之外,还需要进行一些工作,才能理解日志中的描述,找出其代表的意义。

而现在企业的安全运营团队,可以使用CSA分析Google云计算日志,以审核最近的行为,侦测工作负载面临的威胁。Google与MITRE Engenuity威胁情防御中心、CYDERES以及部分用户合作,启动一项社群开发计划,以发展一系列分析规则,通过集结社群的知识,使得企业能够利用这些查询,并根据需求自定义分析。

CSA的查询会对应到MITRE ATT&CK框架的战术、技术和程序,协助用户评估于自家环境的适用性,并将这些战术、技术和程序包含在威胁模型覆盖范围中。这些分析查询可以在云计算或是第三方分析工具中执行,初版的CSA以YARA-L规则的形式在Chronicle,还有在BigQuery中以SQL查询提供侦测,接下来会根据用户的反馈发布更多的形式。

官方提醒,因为CSA提供的侦测查询,由用户自己管理,因此用户可能需要进行调整,以减少不必要的警示噪声,而且规则与查询来自社群,也代表着没有成本估算和性能保证,但Google会与贡献者合作,共同改进该存储库。

另外,CSA也并非一套全面、受托管的威胁侦测,仅提供基于云计算技术的基本侦测,Google建议CSA应该与其他威胁侦测方案,还有威胁预防功能结合使用。

发表评论