Panoramica della categoria Cloud Threats

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce cloud, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ciascun insieme di regole. Questi insiemi di regole consentono di identificare le minacce negli ambienti Google Cloud che utilizzano i dati di Google Cloud e negli ambienti AWS che utilizzano i dati AWS.

Descrizioni delle serie di regole

Nella categoria Minacce cloud sono disponibili i seguenti insiemi di regole.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Rilevamenti selezionati per i dati di Google Cloud

I set di regole di Google Cloud aiutano a identificare le minacce negli ambienti Google Cloud utilizzando i dati sugli eventi e sul contesto e includono i seguenti set di regole:

  • Azione amministratore: attività associata ad azioni amministrative, considerate sospette ma potenzialmente legittime in base all'uso dell'organizzazione.
  • Esfiltrazione avanzata SCC CDIR: contiene regole sensibili al contesto correlate Risultati dell'esfiltrazione di Security Command Center con altre origini log, come Cloud Audit Logs log, contesto di Sensitive Data Protection, contesto di BigQuery e Security Command Center Log di configurazione errata.
  • CDIR SCC Maggiore evasione della difesa: contiene regole sensibili al contesto correlate Risultati relativi a evasione o evasione di difesa di Security Command Center con dati di altri Origini dati di Google Cloud come Cloud Audit Logs.
  • CDIR SCC Enhanced Malware: contiene regole basate sul contesto che correlano i risultati relativi al malware di Security Command Center con dati quali l'occorrenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati come i log di Cloud DNS.
  • CDIR SCC Enhanced Persistence: contiene regole basate sul contesto che correlano i risultati della persistenza di Security Command Center con i dati di origini come i log di Cloud DNS e i log di analisi IAM.
  • Escalation avanzato dei privilegi SCC CDIR: contiene regole sensibili al contesto correlate Risultati dell'escalation dei privilegi di Security Command Center con dati di diversi altri come Cloud Audit Logs.
  • Accesso alle credenziali SCC CDIR: contiene regole sensibili al contesto che correlano i risultati relativi all'accesso alle credenziali di Security Command Center con i dati di diverse altre origini dati, come gli audit log di Cloud
  • Rilevamento avanzato CDIR SCC: contiene regole basate sul contesto che correlano i risultati della riassegnazione del rilevamento di Security Command Center con i dati di origini come i servizi Google Cloud e Cloud Audit Logs.
  • CDIR SCC Brute Force: contiene regole sensibili al contesto che correlano i risultati di riassegnazione per attacco di forza bruta di Security Command Center con dati quali i log di Cloud DNS.
  • Distruzione dei dati SCC CDIR: contiene regole sensibili al contesto che correlano Security Command Center Risultati dell'escalation di distruzione di dati con dati provenienti da diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contiene regole basate sul contesto che correlano i risultati di Inhibit System Recovery di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Execution: contiene regole basate sul contesto che correlano i risultati di esecuzione di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Accesso iniziale: contiene regole sensibili al contesto che correlano i risultati di Accesso iniziale di Security Command Center con i dati di diverse altre origini dati, come gli audit log Cloud.
  • CDIR SCC Impair Defenses: contiene regole sensibili al contesto che correlano Security Command Center. I risultati di compromissione di Defenses con dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Impact: contiene regole che rilevano i risultati Impact di Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati di Cloud Intrusion Detection System da Security Command Center. con una classificazione di gravità critica, alta, media e bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • Modulo personalizzato CDIR SCC: contiene regole che rilevano i risultati del modulo personalizzato Event Threat Detection da Security Command Center.
  • Hacktool cloud: attività rilevate da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in modo non controllato da utenti malintenzionati che hanno come target specifico le risorse cloud.
  • Riscatto Cloud SQL: rileva l'attività associata all'esfiltrazione o al riscatto di all'interno dei database Cloud SQL.
  • Strumenti Kubernetes sospetti: rileva il comportamento di ricognizione ed esecuzione di exploit da parte degli strumenti Kubernetes open source.
  • Abuso del RBAC di Kubernetes: rileva l'attività di Kubernetes associata all'abuso del controllo degli accessi basato su ruoli (RBAC) che tenta l'escalation dei privilegi o il movimento laterale.
  • Azioni sensibili dei certificati Kubernetes: rileva le azioni dei certificati Kubernetes e delle richieste di firma del certificato (CSR) che potrebbero essere utilizzate per stabilire la persistenza o la riassegnazione dei privilegi.
  • Abuso IAM: attività associata all'abuso di ruoli e autorizzazioni IAM per l'utilizzo di potenzialmente riassegnare i privilegi o spostarsi lateralmente all'interno di un determinato cloud o all'interno di un'organizzazione Cloud.
  • Potenziale attività di esfilazione: rileva le attività associate ai potenziali l'esfiltrazione dei dati.
  • Mascariatura delle risorse: rileva le risorse Google Cloud create con nomi o caratteristiche di un'altra risorsa o di un altro tipo di risorsa. Questo potrebbe essere utilizzato per mascherare attività dannose eseguite dalla risorsa o al suo interno, con l'intenzione di apparire legittime.
  • Minacce serverless: rileva le attività associate a potenziali compromessi o abusi delle risorse serverless in Google Cloud, come Cloud Run e le funzioni Cloud Run.
  • Interruzione del servizio: rileva le azioni distruttive o di disturbo che, se eseguite in un ambiente di produzione funzionante, può causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente benigno nei ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenute insolite e sospette nella maggior parte degli ambienti.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche apportate alla produzione un'infrastruttura allineata alle tattiche di persistenza note
  • Configurazione indebolita: attività associata all'indebolimento o al peggioramento di una un controllo di sicurezza. Ritenuto sospetto, potenzialmente legittimo in base all'uso organizzativo.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Chrome: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a un periodo di riferimento di 30 giorni.
  • Possibile esfiltrazione di dati degli addetti ai lavori da Drive: rileva le attività associate a potenziali comportamenti di minaccia degli addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a un valore basale di 30 giorni.
  • Potenziale esfiltrazione di dati da parte di addetti ai lavori da Gmail: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti Gmail ha considerato un risultato anomalo rispetto al valore basale di 30 giorni.
  • Potenziale compromissione dell'account Workspace: rileva comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e che potrebbero verificarsi tentativi di riassegnazione dei privilegi o di spostamento laterale all'interno di un'organizzazione Google Workspace. Sono inclusi i comportamenti considerati rari o anomali rispetto a un valore di riferimento di 30 giorni.
  • Azioni amministrative sospette: rileva comportamenti che indicano potenziali elusioni, il downgrade della sicurezza o comportamenti rari e anomali mai rilevati nei ultimi 30 giorni da utenti con privilegi più elevati, come gli amministratori.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Dispositivi e tipi di log supportati

Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole nella categoria Cloud Threats.

Per importare i dati dai servizi Google Cloud, consulta Importare i log di Cloud in Google Security Operations. Contatta il tuo rappresentante di Google Security Operations se devi raccogliere questi log utilizzando un altro meccanismo.

Google Security Operations fornisce analizzatori predefiniti che analizzano e normalizzano i log non elaborati dai servizi Google Cloud per creare record UDM con i dati richiesti da questi insiemi di regole.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Tutte le serie di regole

Per utilizzare qualsiasi serie di regole, consigliamo di raccogliere le risorse Google Cloud Cloud Audit Logs. Alcune regole richiedono che i clienti abilitino il logging di Cloud DNS. Assicurati che i servizi Google Cloud siano configurati per registrare ai seguenti log:

Set di regole Ransom per Cloud SQL

Per utilizzare il set di regole Ransom Cloud SQL, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

Serie di regole avanzate SCC CDIR

Tutte le serie di regole che iniziano con il nome CDIR SCC Advanced utilizzano Security Command Center Premium risultati contestualizzati con diverse altre origini log di Google Cloud, tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto di Compute Engine

Per utilizzare i set di regole CDIR SCC Enhanced, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

  • Dati dei log elencati nella sezione Tutti gli insieme di regole.

  • I seguenti dati dei log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Sensitive Data Protection (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Le seguenti classi di risultati di Security Command Center, elencate per identificatore findingClass ed etichetta di importazione di Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Gli insiemi di regole CDIR SCC Enhanced dipendono anche dai dati dei servizi Google Cloud. Per inviare i dati richiesti a Google Security Operations, assicurati di completare quanto segue:

I seguenti insiemi di regole creano un rilevamento quando vengono identificati risultati di Event Threat Detection di Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service e moduli personalizzati per Event Threat Detection:

  • Cloud IDS di CDIR SCC
  • CDIR SCC Cloud Armor
  • Impatto SCC CDIR
  • Persistenza avanzata SCC del CDIR
  • CDIR SCC Enhanced Defense Evasion
  • CDIR - Modulo personalizzato SCC

Set di regole per gli strumenti sospetti di Kubernetes

Per utilizzare l'insieme di regole Strumenti sospetti Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutti gli insiemi di regole. Assicurati che i servizi Google Cloud siano configurati per registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)

Set di regole relative agli abusi di Kubernetes RBAC

Per utilizzare la serie di regole Utilizzo illecito di Kubernetes RBAC, ti consigliamo di raccogliere Cloud Audit Logs, elencate nella sezione Tutte le serie di regole.

Set di regole per le azioni sensibili per i certificati Kubernetes

Per utilizzare il set di regole Azioni sensibili ai certificati Kubernetes, ti consigliamo di raccogliere Cloud Audit Logs, elencate nella sezione Tutte le serie di regole.

Serie di regole correlate a Google Workspace

I seguenti insiemi di regole rilevano schemi nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati interni da Chrome
  • Potenziale esfiltrazione di dati da parte di addetti ai lavori da Drive
  • Possibile esfiltrazione di dati interni da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative di Workspace sospette

Questi insiemi di regole richiedono i seguenti tipi di log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

  • Attività di Workspace (WORKSPACE_ACTIVITY)
  • Avvisi di Workspace (WORKSPACE_ALERTS)
  • Dispositivi ChromeOS di Workspace (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Set di regole per le minacce serverless

I log di Cloud Run includono log delle richieste e log dei container che vengono importati come tipo di log GCP_RUN in Google Security Operations. GCP_RUN log possono essere importati tramite l'importazione diretta oppure utilizzando i feed e Cloud Storage. Per filtri di log specifici e altre importazioni vedi Esportazione dei log di Google Cloud in Google Security Operations. Il seguente filtro di esportazione esporta i log di Google Cloud Cloud Run (GCP_RUN), oltre ai log predefiniti sia tramite il meccanismo di importazione diretta sia tramite Cloud Storage e i sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per le serie di regole AWS

I set di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando i dati sugli eventi e sul contesto e includono i seguenti set di regole:

  • AWS - Compute: rileva attività anomale relative alle risorse di calcolo AWS come EC2 e Lambda.
  • AWS - Dati: rileva l'attività AWS associata alle risorse di dati come gli snapshot RDS o i bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per il comportamento. accesso alle credenziali, cryptomining, scoperta, evasione, esecuzione, esfiltrazione, Impatto, Accesso iniziale, Malware, Test di penetrazione, Persistenza, Norme, Escalation dei privilegi e accesso non autorizzato.
  • AWS - Hacktools: rileva l'utilizzo di Hacktools in un ambiente AWS, ad esempio come scanner, toolkit e framework.
  • AWS - Identity: rilevamenti per attività AWS associate ad attività IAM e di autenticazione, come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissivi o attività IAM da strumenti sospetti.
  • AWS - Logging e monitoraggio: rileva l'attività AWS relativa alla disattivazione di servizi di logging e monitoraggio, come CloudTrail, CloudWatch e GuardDuty.
  • AWS - Rete: rileva le modifiche non sicure alle impostazioni di rete AWS, ad esempio come gruppi di sicurezza e firewall.
  • AWS - Organization: rileva l'attività AWS associata alla tua organizzazione, come l'aggiunta o la rimozione di account ed eventi imprevisti relativi all'utilizzo della regione.
  • AWS - Secret: rileva l'attività AWS associata a secret, token e password, ad esempio l'eliminazione di secret KMS o secret di Secret Manager.

Dispositivi e tipi di log supportati

Queste serie di regole sono state testate e sono supportate con le seguenti operazioni di sicurezza di Google e le origini dati, elencate per nome del prodotto ed etichetta di importazione.

Consulta Configurare l'importazione di AWS dati per trovare informazioni sulla configurazione dell'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, consulta Parsatori predefiniti supportati.

Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole che identificano i pattern nei dati.

Puoi importare i dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). In linea generale, dovrai:

Consulta Importare i log AWS in Google Security Operations per i passaggi dettagliati necessari per configurare i servizi AWS Feed Google Security Operations per importare i dati AWS.

Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS siano importati nel SIEM di Google Security Operations. Queste regole di test consentono di verificare se AWS i dati di log vengono importati come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

Consulta Verificare l'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test di AWS Managed Detection Testing.

Avvisi di ottimizzazione restituiti dalle serie di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni al riguardo, consulta Configurare le esclusioni delle regole.

Passaggi successivi