Google推出社群安全分析項(xiàng)目，可用于定義常見(jiàn)云計(jì)算威脅偵測(cè)規(guī)則

Google云計(jì)算發(fā)布社群安全分析（Community Security Analytics，CSA）項(xiàng)目，提供一組針對(duì)自助服務(wù)安全分析所設(shè)計(jì)的開(kāi)源查詢和規(guī)則，使用戶能夠在持續(xù)檢測(cè)和持續(xù)回應(yīng)工作流程中，偵測(cè)常見(jiàn)的云計(jì)算威脅。官方提到，通過(guò)在產(chǎn)品組合中，創(chuàng)建標(biāo)準(zhǔn)化和共享云計(jì)算安全分析生態(tài)系統(tǒng)，使得各組織研究人員、安全分析師和資料治理團(tuán)隊(duì)能夠共同協(xié)作，將有助于提高偵測(cè)能力。

Google提到，他們已經(jīng)在云計(jì)算提供一個(gè)安全基礎(chǔ)，讓用戶可以直接控制，并且執(zhí)行獨(dú)立審核和驗(yàn)證，該機(jī)制的透明性和可審核性，供用戶驗(yàn)證正確的訪問(wèn)權(quán)限，并在資料和工作負(fù)載出現(xiàn)問(wèn)題之前，先行發(fā)現(xiàn)潛在威脅。

除了虛擬機(jī)日志、應(yīng)用程序/容器日志和網(wǎng)絡(luò)日志，Google云計(jì)算服務(wù)也會(huì)對(duì)管理員和用戶的活動(dòng)留下審核線索，但是因?yàn)檫@些日志資料非常龐大，因此用戶除了收集和安全相關(guān)的日志之外，還需要進(jìn)行一些工作，才能理解日志中的描述，找出其代表的意義。

而現(xiàn)在企業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)，可以使用CSA分析Google云計(jì)算日志，以審核最近的行為，偵測(cè)工作負(fù)載面臨的威脅。Google與MITRE Engenuity威脅情防御中心、CYDERES以及部分用戶合作，啟動(dòng)一項(xiàng)社群開(kāi)發(fā)計(jì)劃，以發(fā)展一系列分析規(guī)則，通過(guò)集結(jié)社群的知識(shí)，使得企業(yè)能夠利用這些查詢，并根據(jù)需求自定義分析。

CSA的查詢會(huì)對(duì)應(yīng)到MITRE ATT&CK框架的戰(zhàn)術(shù)、技術(shù)和程序，協(xié)助用戶評(píng)估于自家環(huán)境的適用性，并將這些戰(zhàn)術(shù)、技術(shù)和程序包含在威脅模型覆蓋范圍中。這些分析查詢可以在云計(jì)算或是第三方分析工具中執(zhí)行，初版的CSA以YARA-L規(guī)則的形式在Chronicle，還有在BigQuery中以SQL查詢提供偵測(cè)，接下來(lái)會(huì)根據(jù)用戶的反饋發(fā)布更多的形式。

官方提醒，因?yàn)镃SA提供的偵測(cè)查詢，由用戶自己管理，因此用戶可能需要進(jìn)行調(diào)整，以減少不必要的警示噪聲，而且規(guī)則與查詢來(lái)自社群，也代表著沒(méi)有成本估算和性能保證，但Google會(huì)與貢獻(xiàn)者合作，共同改進(jìn)該存儲(chǔ)庫(kù)。

另外，CSA也并非一套全面、受托管的威脅偵測(cè)，僅提供基于云計(jì)算技術(shù)的基本偵測(cè)，Google建議CSA應(yīng)該與其他威脅偵測(cè)方案，還有威脅預(yù)防功能結(jié)合使用。