Google推出社群安全分析項目，可用于定義常見云計算威脅偵測規(guī)則

Google云計算發(fā)布社群安全分析（Community Security Analytics，CSA）項目，提供一組針對自助服務(wù)安全分析所設(shè)計的開源查詢和規(guī)則，使用戶能夠在持續(xù)檢測和持續(xù)回應(yīng)工作流程中，偵測常見的云計算威脅。官方提到，通過在產(chǎn)品組合中，創(chuàng)建標(biāo)準(zhǔn)化和共享云計算安全分析生態(tài)系統(tǒng)，使得各組織研究人員、安全分析師和資料治理團隊能夠共同協(xié)作，將有助于提高偵測能力。

Google提到，他們已經(jīng)在云計算提供一個安全基礎(chǔ)，讓用戶可以直接控制，并且執(zhí)行獨立審核和驗證，該機制的透明性和可審核性，供用戶驗證正確的訪問權(quán)限，并在資料和工作負(fù)載出現(xiàn)問題之前，先行發(fā)現(xiàn)潛在威脅。

除了虛擬機日志、應(yīng)用程序/容器日志和網(wǎng)絡(luò)日志，Google云計算服務(wù)也會對管理員和用戶的活動留下審核線索，但是因為這些日志資料非常龐大，因此用戶除了收集和安全相關(guān)的日志之外，還需要進行一些工作，才能理解日志中的描述，找出其代表的意義。

而現(xiàn)在企業(yè)的安全運營團隊，可以使用CSA分析Google云計算日志，以審核最近的行為，偵測工作負(fù)載面臨的威脅。Google與MITRE Engenuity威脅情防御中心、CYDERES以及部分用戶合作，啟動一項社群開發(fā)計劃，以發(fā)展一系列分析規(guī)則，通過集結(jié)社群的知識，使得企業(yè)能夠利用這些查詢，并根據(jù)需求自定義分析。

CSA的查詢會對應(yīng)到MITRE ATT&CK框架的戰(zhàn)術(shù)、技術(shù)和程序，協(xié)助用戶評估于自家環(huán)境的適用性，并將這些戰(zhàn)術(shù)、技術(shù)和程序包含在威脅模型覆蓋范圍中。這些分析查詢可以在云計算或是第三方分析工具中執(zhí)行，初版的CSA以YARA-L規(guī)則的形式在Chronicle，還有在BigQuery中以SQL查詢提供偵測，接下來會根據(jù)用戶的反饋發(fā)布更多的形式。

官方提醒，因為CSA提供的偵測查詢，由用戶自己管理，因此用戶可能需要進行調(diào)整，以減少不必要的警示噪聲，而且規(guī)則與查詢來自社群，也代表著沒有成本估算和性能保證，但Google會與貢獻(xiàn)者合作，共同改進該存儲庫。

另外，CSA也并非一套全面、受托管的威脅偵測，僅提供基于云計算技術(shù)的基本偵測，Google建議CSA應(yīng)該與其他威脅偵測方案，還有威脅預(yù)防功能結(jié)合使用。