SCC Premium 威脅檢測簡介
雖然 Security Health Analytics (SHA) 側重於 配置錯誤(預防端),但 SCC Premium 的威脅檢測模組則側重於 活動中的攻擊(檢測端)。對於 專業雲端安全工程師 (PSE) 來說,了解這些模組對於識別和響應實時安全漏洞至關重要。
SCC Premium 使用三個主要的引擎在不同層級檢測威脅:事件 (Event)、容器 (Container) 和 虛擬機 (Virtual Machine)。
白話文解釋
1. 審計軌跡監控員 (事件威脅檢測 - ETD)
想像一家銀行的帳本,記錄了每一筆交易。ETD 就像一位自動審計員,實時監看這本帳本。如果他們發現來自可疑國家的連續登錄失敗(暴力破解),或者大量資金流向未知的海外帳戶(數據外洩),他們會立即發出警報。
2. 監獄警衛 (容器威脅檢測 - CTD)
將容器想像成一個高安全性的監獄牢房。警衛 (CTD) 站在外面觀察囚犯的行為。如果囚犯試圖挖隧道(執行惡意二進制文件)或使用隱藏電話(建立反向 Shell),警衛會介入。CTD 監看容器內部的 運行時 (Runtime) 行為。
3. X 光機 (虛擬機威脅檢測 - VMTD)
想像醫生使用 X 光檢查病人的身體,而無需進行手術。VMTD 就像是您 VM 的 X 光機。它從外部(在 Hypervisor 層級)掃描 VM 的記憶體,以尋找隱藏的「腫瘤」,例如挖礦惡意軟體,而無需在 VM 內部安裝任何軟體或代理程序 (Agent)。
事件威脅檢測 (Event Threat Detection, ETD)
ETD 分析 Cloud Audit Logs 和 網絡日誌 來發現威脅。
- 基於日誌的分析: 它近乎實時地處理來自 Cloud Logging 的日誌。
- 檢測範例:
- 暴力破解 (Brute Force): 對服務帳戶進行反覆的登錄失敗。
- IAM 異常: 將高權限角色授予外部用戶。
- 數據外洩 (Data Exfiltration): 向外部存儲桶或 IP 地址傳輸大量數據。
- 持久化 (Persistence): 創建新的、未經授權的服務帳戶或金鑰。
事件威脅檢測 (ETD) 是一項託管服務,它監控日誌流以檢測 Google Cloud 組織內已知的入侵指標和可疑活動。
容器威脅檢測 (Container Threat Detection, CTD)
CTD 為 GKE (Google Kubernetes Engine) 提供運行時安全。
- 運行時可見性: 它監控容器和主機內核的內部狀態。
- 檢測範例:
- 新增二進制文件: 在容器內新增並運行了新的可執行文件(通常是漏洞利用的跡象)。
- 惡意腳本: 執行已知的惡意 Python 或 Shell 腳本。
- 反向 Shell (Reverse Shell): 容器建立與命令與控制 (C2) 服務器的出站連接。
CTD 專為 GKE 設計,需要啟用 SCC 代理程序或 GKE 集成。
虛擬機威脅檢測 (Virtual Machine Threat Detection, VMTD)
VMTD 是 Compute Engine 的「零代理程序 (Zero-agent)」檢測服務。
- 無代理掃描: 它從 Hypervisor 層級掃描正在運行的 VM 的 RAM。這意味著它不會被已經攻破 VM 操作系統的攻擊者所欺騙或禁用。
- 檢測範例:
- 加密貨幣挖礦 (Cryptomining): 檢測 XMRig 等挖礦軟體的特定記憶體特徵。
- 內核根管理程序 (Kernel Rootkits): 檢測對客戶機操作系統內核的修改。
由於 VMTD 在 Hypervisor 層級運行,它對正在運行的工作負載 零性能影響。
PSE 場景若提到 Compute Engine 上的 Root 權限被攻破、攻擊者隱藏進程,標準答案是 VMTD,不是 ETD 或 CTD —— 只有 VMTD 從 Hypervisor 掃描 VM RAM,能識別 XMRig 挖礦 的記憶體特徵與 kernel rootkit,這些是 in-guest agent 看不到的。當題目談到 IAM Anomalous Grant / Data Exfiltration 這類來自 Cloud Audit Logs 的 pattern 就選 ETD;當 finding category 是 GKE Pod 內的 Added Binary 或 Reverse Shell 就選 CTD。
SCC Premium 提供 100+ ETD 偵測器,Standard 只覆蓋基本日誌子集。三個引擎對應的 finding 來源要記牢:ETD → Cloud Audit Logs + 網路日誌(Brute Force、IAM Anomalous Grant、Persistence、Data Exfiltration)、CTD → GKE runtime(Added Binary、Malicious Script、連到 C2 的 Reverse Shell)、VMTD → Hypervisor 記憶體掃描(XMRig 特徵、kernel rootkit)。CTD 與 VMTD 是 Premium 限定,Standard 不包含。
SCC Premium 與標準版:威脅檢測對比
| 功能 | SCC 標準版 | SCC Premium |
|---|---|---|
| 事件威脅檢測 | 有限(基本日誌) | 高級(100+ 檢測器) |
| 容器威脅檢測 | 不提供 | 包含 |
| 虛擬機威脅檢測 | 不提供 | 包含 |
| 漏洞掃描 | 基本 | 持續且深入 |
分析與調查發現 (Findings)
當檢測到威脅時,SCC 會生成一個 發現 (Finding)。
分析發現
發現包含:
- 類別: 例如
Persistence: IAM Anomalous Grant。 - 來源: 由哪個模組檢測到(ETD, CTD, VMTD)。
- 資源: 受影響的特定 VM、專案或服務帳戶。
- 證據: 觸發警報的特定日誌條目或記憶體特徵。
使用 SCC API 進行調查
您可以使用 SCC API 將發現提取到您自己的工具中進行更深入的分析。
- 過濾: 使用 API 查找所有專案中的所有「關鍵」威脅。
- 自動化: 當發現特定的威脅類型時觸發 Python 腳本。
與 SIEM/SOAR (Chronicle) 集成
對於企業安全運營,應將 SCC 發現發送到 SIEM (安全信息和事件管理) 系統。
- Google Chronicle: SCC 與 Chronicle 有原生集成。發現會自動攝取,並結合全球威脅情報進行增強,並與其他數據源進行關聯。
- Pub/Sub 導出: 對於非 Google SIEM(如 Splunk 或 Sentinel),您可以將發現導出到 Pub/Sub 主題,然後使用匯流排 (Sink) 將其推送到您的工具。
配置威脅檢測模組
- 在組織層級啟用 SCC Premium。
- 激活模組: 在 SCC 設置中,確保 ETD、CTD 和 VMTD 均為「已啟用」。
- 配置日誌: 對於 ETD,確保為您要監控的服務啟用了「數據訪問審計日誌 (Data Access Audit Logs)」。
ETD 依賴於日誌。如果您尚未為某項服務(如 BigQuery)啟用 數據訪問審計日誌,ETD 將無法檢測到該服務的數據外洩。
PSE 安全最佳實踐
- 優先處理高嚴重性發現: 首先關注來自 VMTD 和 CTD 的「關鍵」和「高」發現,因為這些通常表示活動中的攻破。
- 與 Cloud IDS 結合使用: 在 SCC 的應用程序和主機級檢測之外,使用 Cloud IDS 進行網絡層威脅檢測 (IDS/IPS)。
- 自動化響應: 使用 SCC 通知配置 (Notification Configs) 立即將高嚴重性警報發送到 Slack 頻道或 PagerDuty。
- 使用 Chronicle 進行關聯: 不要孤立地查看 SCC 發現。使用 Chronicle 查看一個「低級」的 SCC 發現是否是更大規模、協同攻擊的一部分。
PSE 考試場景
場景 1:挖礦檢測
「一家組織懷疑攻擊者已經獲得了其 Compute Engine 實例的訪問權限,並且正在運行挖礦軟體。攻擊者擁有 Root 權限,並且很可能隱藏了他們的進程。檢測此活動的最佳方法是什麼?」 解答: 在 SCC Premium 中啟用 虛擬機威脅檢測 (VMTD)。由於 VMTD 從 Hypervisor 層級掃描 VM 記憶體,即使攻擊者擁有 Root 權限,也無法隱藏軟體的記憶體特徵。
場景 2:容器運行時安全
「DevOps 團隊想知道他們的 GKE 生產 Pod 內是否正在執行任何未經授權的代碼。他們擔心『零日漏洞』利用。他們應該使用哪種 SCC 功能?」 解答: 容器威脅檢測 (CTD)。它監控運行時行為,無論攻擊者是如何進入的,只要新增了未經授權的二進制文件或建立了反向 Shell,它就會觸發發現。
總結清單
- 區分 ETD、CTD 和 VMTD。
- 解釋為什麼 VMTD 是「無代理程序」的。
- 識別 ETD 運行所需的日誌。
- 描述將 SCC 發現發送到 SIEM 的工作流程。
- 了解 SCC Premium 對 GKE 和 Compute Engine 的影響。