Ringkasan Kategori Ancaman Cloud

Didukung di:

Dokumen ini memberikan ringkasan kumpulan aturan dalam kategori Cloud Threats, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud dan di lingkungan AWS menggunakan data AWS.

Deskripsi kumpulan aturan

Kumpulan aturan berikut tersedia di kategori Cloud Threats.

Singkatan CDIR adalah singkatan dari Cloud Detection, Investigation, and Response.

Deteksi pilihan untuk data Google Cloud

Kumpulan aturan Google Cloud membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data peristiwa dan konteks, serta menyertakan kumpulan aturan berikut:

  • Tindakan Admin: Aktivitas yang terkait dengan tindakan administratif, yang dianggap mencurigakan, tetapi berpotensi sah, bergantung pada penggunaan organisasi.
  • Pemindahan Tidak Sah yang Ditingkatkan SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Pemindahan Tidak Sah Security Command Center dengan sumber log lainnya, seperti log Cloud Audit Logs, konteks Sensitive Data Protection, konteks BigQuery, dan log Konfigurasi Salah Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: Berisi aturan berbasis konteks yang menghubungkan temuan Evasion atau Defense Evasion Security Command Center dengan data dari sumber data Google Cloud lainnya seperti Cloud Audit Logs.
  • Malware Enhanced CDIR SCC: Berisi aturan berbasis konteks yang menghubungkan temuan Malware Security Command Center dengan data seperti kemunculan alamat IP dan domain serta skor prevalensi, selain sumber data lainnya seperti log Cloud DNS.
  • Persistensi yang Ditingkatkan SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Persistensi Security Command Center dengan data dari sumber seperti log Cloud DNS dan log analisis IAM.
  • CDIR SCC Enhanced Privilege Escalation: Berisi aturan berbasis konteks yang menghubungkan temuan Eskalasi hak istimewa Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs.
  • CDIR SCC Credential Access: Berisi aturan kontekstual yang menghubungkan temuan Akses Kredensial Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs
  • CDIR SCC Enhanced Discovery: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Penemuan Security Command Center dengan data dari sumber seperti layanan Google Cloud dan Cloud Audit Logs.
  • CDIR SCC Brute Force: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Brute Force Security Command Center dengan data seperti log Cloud DNS.
  • CDIR SCC Data Destruction: Berisi aturan berbasis konteks yang menghubungkan temuan eskalasi Penghancuran Data Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: Berisi aturan berbasis konteks yang menghubungkan temuan Security Command Center Inhibit System Recovery dengan data dari beberapa sumber data lainnya seperti Cloud Audit Logs.
  • Eksekusi SCC CDIR: Berisi aturan berbasis konteks yang menghubungkan temuan Eksekusi Security Command Center dengan data dari beberapa sumber data lainnya seperti Cloud Audit Logs.
  • Akses Awal CDIR SCC: Berisi aturan berbasis konteks yang menghubungkan temuan Akses Awal Security Command Center dengan data dari beberapa sumber data lainnya seperti Log Audit Cloud.
  • CDIR SCC Impair Defenses: Berisi aturan berbasis konteks yang menghubungkan temuan Impair Defenses Security Command Center dengan data dari beberapa sumber data lain seperti Cloud Audit Logs.
  • Dampak SCC CDIR: Berisi aturan yang mendeteksi temuan Dampak dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
  • CDIR SCC Cloud IDS: Berisi aturan yang mendeteksi temuan Cloud Intrusion Detection System dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
  • CDIR SCC Cloud Armor: Berisi aturan yang mendeteksi temuan Google Cloud Armor dari Security Command Center.
  • Modul Kustom CDIR SCC: Berisi aturan yang mendeteksi temuan modul kustom Event Threat Detection dari Security Command Center.
  • Cloud Hacktool: Aktivitas yang terdeteksi dari platform keamanan ofensif yang diketahui atau dari alat atau software ofensif yang digunakan secara bebas oleh pelaku ancaman yang secara khusus menargetkan resource cloud.
  • Pencurian Data Cloud SQL: Mendeteksi aktivitas yang terkait dengan eksfiltrasi atau pencurian data dalam database Cloud SQL.
  • Alat Mencurigakan Kubernetes: Mendeteksi perilaku pengintaian dan eksploitasi dari alat Kubernetes open source.
  • Penyalahgunaan RBAC Kubernetes: Mendeteksi aktivitas Kubernetes yang terkait dengan penyalahgunaan kontrol akses berbasis peran (RBAC) yang mencoba eskalasi hak istimewa atau pergerakan lateral.
  • Tindakan Sensitif Sertifikat Kubernetes: Mendeteksi tindakan Sertifikat Kubernetes dan Permintaan Penandatanganan Sertifikat (CSR) yang dapat digunakan untuk membuat persistensi atau mengeskalasi hak istimewa.
  • Penyalahgunaan IAM: Aktivitas yang terkait dengan penyalahgunaan peran dan izin IAM untuk meningkatkan hak istimewa atau berpindah secara lateral dalam project Cloud tertentu atau di seluruh organisasi Cloud.
  • Potensi Aktivitas Eksfiltrasi: Mendeteksi aktivitas yang terkait dengan potensi eksfiltrasi data.
  • Penyamaran Resource: Mendeteksi resource Google Cloud yang dibuat dengan nama atau karakteristik resource atau jenis resource lain. Hal ini dapat digunakan untuk menyamarkan aktivitas berbahaya yang dilakukan oleh atau dalam resource, dengan niat untuk tampak sah.
  • Serverless Threats : Mendeteksi aktivitas yang terkait dengan potensi kompromi atau penyalahgunaan resource Serverless di Google Cloud, seperti Cloud Run dan fungsi Cloud Run.
  • Gangguan Layanan: Mendeteksi tindakan destruktif atau mengganggu yang, jika dilakukan di lingkungan produksi yang berfungsi, dapat menyebabkan penonaktifan yang signifikan. Perilaku yang terdeteksi umum terjadi dan kemungkinan tidak berbahaya di lingkungan pengujian dan pengembangan.
  • Perilaku Mencurigakan: Aktivitas yang dianggap tidak biasa dan mencurigakan di sebagian besar lingkungan.
  • Perubahan Infrastruktur yang Mencurigakan: Mendeteksi modifikasi pada infrastruktur produksi yang selaras dengan taktik persistensi yang diketahui
  • Konfigurasi yang Dilemahkan: Aktivitas yang terkait dengan melemahkan atau menurunkan kualitas kontrol keamanan. Dianggap mencurigakan, berpotensi sah, bergantung pada penggunaan organisasi.
  • Potensi Pemindahan Data Pihak Internal dari Chrome: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal seperti pemindahan data atau kehilangan data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Chrome yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pemindahan Data Pihak Internal dari Drive: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal seperti pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Drive yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pemindahan Data Pihak Internal dari Gmail: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman pihak internal seperti pemindahan data atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Gmail yang dianggap anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Penyusupan Akun Workspace: Mendeteksi perilaku ancaman pihak internal yang menunjukkan bahwa akun tersebut berpotensi disusupi dan dapat menyebabkan upaya eskalasi hak istimewa atau upaya pergerakan lateral dalam organisasi Google Workspace. Hal ini akan mencakup perilaku yang dianggap jarang atau anomali dibandingkan dengan dasar pengukuran 30 hari.
  • Tindakan Administratif Workspace yang Mencurigakan: Mendeteksi perilaku yang menunjukkan potensi pengelakan, penurunan keamanan, atau perilaku langka dan anomali yang belum pernah terlihat dalam 30 hari terakhir dari pengguna dengan hak istimewa yang lebih tinggi seperti administrator.

Singkatan CDIR adalah singkatan dari Cloud Detection, Investigation, and Response.

Perangkat dan jenis log yang didukung

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan dalam kategori Cloud Threats.

Untuk menyerap data dari layanan Google Cloud, lihat Menyerap log Cloud ke Google Security Operations. Hubungi perwakilan Google Security Operations jika Anda perlu mengumpulkan log ini menggunakan mekanisme yang berbeda.

Google Security Operations menyediakan parser default yang mengurai dan menormalisasi log mentah dari layanan Google Cloud untuk membuat data UDM dengan data yang diperlukan oleh kumpulan aturan ini.

Untuk daftar semua sumber data yang didukung Google Security Operations, lihat Parser default yang didukung.

Semua kumpulan aturan

Untuk menggunakan kumpulan aturan apa pun, sebaiknya kumpulkan Log Audit Cloud Google Cloud. Aturan tertentu mewajibkan pelanggan mengaktifkan logging Cloud DNS. Pastikan layanan Google Cloud dikonfigurasi untuk mencatat data ke log berikut:

Kumpulan aturan Ransom Cloud SQL

Untuk menggunakan kumpulan aturan Pencurian Data Cloud SQL, sebaiknya kumpulkan data Google Cloud berikut:

Kumpulan aturan Enhanced SCC CDIR

Semua kumpulan aturan yang dimulai dengan nama CDIR SCC Enhanced menggunakan temuan Security Command Center Premium yang dikontekstualisasikan dengan beberapa sumber log Google Cloud lainnya, termasuk yang berikut:

  • Cloud Audit Logs
  • Log Cloud DNS
  • Analisis Identity and Access Management (IAM)
  • Konteks Sensitive Data Protection
  • Konteks BigQuery
  • Konteks Compute Engine

Untuk menggunakan kumpulan aturan CDIR SCC Enhanced, sebaiknya kumpulkan data Google Cloud berikut:

  • Data log yang tercantum di bagian Semua set aturan.

  • Data log berikut, yang tercantum berdasarkan nama produk dan label penyerapan Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Perlindungan Data Sensitif (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Aktivitas Google Workspace (WORKSPACE_ACTIVITY)
    • Kueri Cloud DNS (GCP_DNS)

  • Kelas temuan Security Command Center berikut, yang tercantum berdasarkan ID findingClass dan label penyerapan Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Kumpulan aturan CDIR SCC Enhanced juga bergantung pada data dari layanan Google Cloud. Untuk mengirim data yang diperlukan ke Google Security Operations, pastikan Anda menyelesaikan hal berikut:

Kumpulan aturan berikut akan membuat deteksi saat temuan dari Event Threat Detection Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service, dan Modul kustom untuk Event Threat Detection diidentifikasi:

  • Cloud IDS CDIR SCC
  • Cloud Armor CDIR SCC
  • Dampak SCC CDIR
  • Persistensi yang Ditingkatkan CDIR SCC
  • Penghindaran Pertahanan yang Ditingkatkan SCC CDIR
  • Modul Kustom CDIR SCC

Kumpulan aturan Alat Mencurigakan Kubernetes

Untuk menggunakan kumpulan aturan Alat Mencurigakan Kubernetes, sebaiknya kumpulkan data yang tercantum di bagian Semua kumpulan aturan. Pastikan layanan Google Cloud dikonfigurasi untuk mencatat data ke Log Node Google Kubernetes Engine (GKE)

Kumpulan aturan Penyalahgunaan RBAC Kubernetes

Untuk menggunakan kumpulan aturan Penyalahgunaan RBAC Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes

Untuk menggunakan kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan terkait Google Workspace

Set aturan berikut mendeteksi pola dalam data Google Workspace:

  • Potensi Pemindahan Data dari Pihak Internal dari Chrome
  • Potensi Pemindahan Data Pihak Internal yang Tidak Sah dari Drive
  • Potensi Pemindahan Data Orang Dalam dari Gmail
  • Kemungkinan Penyusupan Akun Workspace
  • Tindakan Administratif Workspace yang Mencurigakan

Kumpulan aturan ini memerlukan jenis log berikut, yang tercantum berdasarkan nama produk dan label penyerapan Google Security Operations:

  • Aktivitas Ruang Kerja (WORKSPACE_ACTIVITY)
  • Notifikasi Workspace (WORKSPACE_ALERTS)
  • Perangkat ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Perangkat Seluler Workspace (WORKSPACE_MOBILE)
  • Pengguna Workspace (WORKSPACE_USERS)
  • Pengelolaan Cloud Browser Google Chrome (CHROME_MANAGEMENT)
  • Log Gmail (GMAIL_LOGS)

Untuk menyerap data yang diperlukan, lakukan hal berikut:

Kumpulan aturan Serverless Threats

Log Cloud Run mencakup Log permintaan dan log Penampung yang diserap sebagai jenis log GCP_RUN di Google Security Operations. Log GCP_RUN dapat diserap menggunakan penyerapan langsung atau menggunakan Feed dan Cloud Storage. Untuk filter log tertentu dan detail penyerapan selengkapnya, lihat Mengekspor Log Google Cloud ke Google Security Operations. Filter ekspor berikut mengekspor log Google Cloud Cloud Run (GCP_RUN), selain log default melalui mekanisme penyerapan langsung serta melalui Cloud Storage dan Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteksi pilihan untuk kumpulan aturan AWS

Kumpulan aturan AWS dalam kategori ini membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks, serta mencakup kumpulan aturan berikut:

  • AWS - Compute: Mendeteksi aktivitas abnormal seputar resource komputasi AWS seperti EC2 dan Lambda.
  • AWS - Data: Mendeteksi aktivitas AWS yang terkait dengan resource data seperti ringkasan RDS atau bucket S3 yang tersedia untuk publik.
  • AWS - GuardDuty: Notifikasi AWS GuardDuty yang kontekstual untuk Perilaku, Akses Kredensial, Cryptomining, Penemuan, Pengelakan, Eksekusi, Eksfiltrasi, Dampak, Akses Awal, Malware, Pengujian Penembusan, Persistensi, Kebijakan, Eskalasi Hak Istimewa, dan Akses Tidak Sah.
  • AWS - Hacktools: Mendeteksi penggunaan Hacktools di lingkungan AWS seperti pemindai, toolkit, dan framework.
  • AWS - Identity: Deteksi untuk aktivitas AWS yang terkait dengan aktivitas IAM dan autentikasi seperti login yang tidak biasa dari beberapa lokasi geografis, pembuatan peran yang terlalu permisif, atau aktivitas IAM dari alat yang mencurigakan.
  • AWS - Logging and Monitoring: Mendeteksi aktivitas AWS yang terkait dengan penonaktifan layanan logging dan pemantauan, seperti CloudTrail, CloudWatch, dan GuardDuty.
  • AWS - Jaringan: Mendeteksi perubahan yang tidak aman pada setelan jaringan AWS seperti grup keamanan dan firewall.
  • AWS - Organisasi: Mendeteksi aktivitas AWS yang terkait dengan organisasi Anda, seperti penambahan atau penghapusan akun, dan peristiwa tak terduga yang terkait dengan penggunaan region.
  • AWS - Secrets: Mendeteksi aktivitas AWS yang terkait dengan secret, token, dan sandi, seperti penghapusan secret KMS atau secret Secrets Manager.

Perangkat dan jenis log yang didukung

Kumpulan aturan ini telah diuji dan didukung dengan sumber data Google Security Operations berikut, yang tercantum berdasarkan nama produk dan label penyerapan.

Lihat Mengonfigurasi penyerapan data AWS untuk mengetahui informasi tentang menyiapkan penyerapan data AWS.

Untuk daftar semua sumber data yang didukung, lihat Parser default yang didukung.

Bagian berikut menjelaskan data yang diperlukan oleh kumpulan aturan yang mengidentifikasi pola dalam data.

Anda dapat menyerap data AWS menggunakan bucket Amazon Simple Storage Service (Amazon S3) sebagai jenis sumber atau, secara opsional, menggunakan Amazon S3 dengan Amazon Simple Queue Service (Amazon SQS). Pada level yang tinggi, Anda harus melakukan hal berikut:

  • Konfigurasikan Amazon S3 atau Amazon S3 dengan Amazon SQS untuk mengumpulkan data log.
  • Mengonfigurasi Feed Operasi Keamanan Google untuk menyerap data dari Amazon S3 atau Amazon SQS

Lihat Menyerap log AWS ke Google Security Operations untuk mengetahui langkah-langkah mendetail yang diperlukan untuk mengonfigurasi layanan AWS dan mengonfigurasi Feed Google Security Operations untuk menyerap data AWS.

Anda dapat menggunakan aturan pengujian AWS Managed Detection Testing untuk memverifikasi bahwa data AWS ditransfer ke SIEM Google Security Operations. Aturan pengujian ini membantu memverifikasi apakah data log AWS diserap seperti yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

Lihat Memverifikasi penyerapan data AWS untuk kategori Cloud Threats untuk mengetahui informasi tentang cara memverifikasi penyerapan data AWS menggunakan aturan pengujian AWS Managed Detection Testing.

Menyesuaikan pemberitahuan yang ditampilkan oleh kumpulan aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Langkah selanjutnya