Google推出社群安全分析項目，可用于定義常見云計算威脅偵測規(guī)則

Google云計算發(fā)布社群安全分析（Community Security Analytics，CSA）項目，提供一組針對自助服務安全分析所設計的開源查詢和規(guī)則，使用戶能夠在持續(xù)檢測和持續(xù)回應工作流程中，偵測常見的云計算威脅。官方提到，通過在產品組合中，創(chuàng)建標準化和共享云計算安全分析生態(tài)系統(tǒng)，使得各組織研究人員、安全分析師和資料治理團隊能夠共同協作，將有助于提高偵測能力。

Google提到，他們已經在云計算提供一個安全基礎，讓用戶可以直接控制，并且執(zhí)行獨立審核和驗證，該機制的透明性和可審核性，供用戶驗證正確的訪問權限，并在資料和工作負載出現問題之前，先行發(fā)現潛在威脅。

除了虛擬機日志、應用程序/容器日志和網絡日志，Google云計算服務也會對管理員和用戶的活動留下審核線索，但是因為這些日志資料非常龐大，因此用戶除了收集和安全相關的日志之外，還需要進行一些工作，才能理解日志中的描述，找出其代表的意義。

而現在企業(yè)的安全運營團隊，可以使用CSA分析Google云計算日志，以審核最近的行為，偵測工作負載面臨的威脅。Google與MITRE Engenuity威脅情防御中心、CYDERES以及部分用戶合作，啟動一項社群開發(fā)計劃，以發(fā)展一系列分析規(guī)則，通過集結社群的知識，使得企業(yè)能夠利用這些查詢，并根據需求自定義分析。

CSA的查詢會對應到MITRE ATT&CK框架的戰(zhàn)術、技術和程序，協助用戶評估于自家環(huán)境的適用性，并將這些戰(zhàn)術、技術和程序包含在威脅模型覆蓋范圍中。這些分析查詢可以在云計算或是第三方分析工具中執(zhí)行，初版的CSA以YARA-L規(guī)則的形式在Chronicle，還有在BigQuery中以SQL查詢提供偵測，接下來會根據用戶的反饋發(fā)布更多的形式。

官方提醒，因為CSA提供的偵測查詢，由用戶自己管理，因此用戶可能需要進行調整，以減少不必要的警示噪聲，而且規(guī)則與查詢來自社群，也代表著沒有成本估算和性能保證，但Google會與貢獻者合作，共同改進該存儲庫。

另外，CSA也并非一套全面、受托管的威脅偵測，僅提供基于云計算技術的基本偵測，Google建議CSA應該與其他威脅偵測方案，還有威脅預防功能結合使用。