Visão geral da categoria "Ameaças na nuvem"

Compatível com:

Este documento fornece uma visão geral dos conjuntos de regras na categoria Ameaças do Cloud, as fontes de dados necessárias e a configuração que pode ser usada para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças em ambientes do Google Cloud usando dados do Google Cloud e em ambientes da AWS usando dados da AWS.

Descrições do conjunto de regras

Os conjuntos de regras a seguir estão disponíveis na categoria "Ameaças na nuvem".

A abreviação CDIR significa Detecção, investigação e resposta na nuvem.

Detecções selecionadas para dados do Google Cloud

Os conjuntos de regras do Google Cloud ajudam a identificar ameaças em ambientes do Google Cloud usando dados de eventos e contexto e incluem os seguintes conjuntos de regras:

  • Ação do administrador: atividade associada a ações administrativas, considerada suspeita, mas potencialmente legítima, dependendo do uso organizacional.
  • Exfiltração aprimorada do CDIR SCC: contém regras com reconhecimento de contexto que correlacionam as descobertas de exfiltração do Security Command Center com outras origens de registro, como registros do Registros de auditoria do Cloud, contexto de Proteção de Dados Sensíveis, contexto do BigQuery e registros de configuração incorreta do Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contém regras com base no contexto que correlacionam as descobertas de Evasion ou Defense Evasion do Security Command Center com dados de outras fontes de dados do Google Cloud, como os Registros de auditoria do Cloud.
  • Malware aprimorado do CDIR SCC: contém regras sensíveis ao contexto que correlacionam as descobertas de malware do Security Command Center com dados como a ocorrência de endereços IP e domínios e as pontuações de prevalência, além de outras fontes de dados, como registros Cloud DNS.
  • Persistência aprimorada do CDIR SCC: contém regras com reconhecimento de contexto que correlacionam as descobertas de persistência do Security Command Center com dados de fontes como registros do Cloud DNS e registros de análise do IAM.
  • Escalação de privilégios aprimorada do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de elevação de privilégios do Security Command Center com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
  • Acesso a credenciais do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de acesso a credenciais do Security Command Center com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
  • Descoberta aprimorada do CDIR SCC: contém regras sensíveis ao contexto que correlacionam as descobertas de escalonamento do Security Command Center com dados de fontes como os serviços do Google Cloud e os registros de auditoria do Cloud.
  • Força bruta do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de escalonamento de força bruta do Security Command Center com dados, como registros do Cloud DNS.
  • Destruição de dados do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de escalonamento de destruição de dados do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
  • CDIR SCC Inhibit System Recovery: contém regras com base no contexto que correlacionam as descobertas do Security Command Center Inhibit System Recovery com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
  • Execução do CDIR SCC: contém regras sensíveis ao contexto que correlacionam as descobertas de execução do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
  • CDIR SCC Initial Access: contém regras sensíveis ao contexto que correlacionam as descobertas do Initial Access do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
  • CDIR SCC Impair Defenses: contém regras com base no contexto que correlacionam as descobertas do Security Command Center Impair Defenses com dados de várias outras fontes, como os registros de auditoria do Cloud.
  • Impacto do CDIR SCC: contém regras que detectam descobertas de impacto do Security Command Center com classificação de gravidade crítica, alta, média e baixa.
  • CDIR SCC Cloud IDS: contém regras que detectam descobertas do sistema de detecção de intrusões do Cloud do Security Command Center com classificação de severidade crítica, alta, média e baixa.
  • CDIR SCC Cloud Armor: contém regras que detectam as descobertas do Google Cloud Armor no Security Command Center.
  • Módulo personalizado do CDIR SCC: contém regras que detectam descobertas do módulo personalizado do Event Threat Detection no Security Command Center.
  • Cloud Hacktool: atividade detectada em plataformas de segurança ofensivas conhecidas ou em ferramentas ou softwares ofensivos usados por agentes de ameaças que visam especificamente recursos de nuvem.
  • Resgate do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de dados nos bancos de dados do Cloud SQL.
  • Ferramentas suspeitas do Kubernetes: detecta o comportamento de reconhecimento e exploração de ferramentas de código aberto do Kubernetes.
  • Abuso do RBAC do Kubernetes: detecta a atividade do Kubernetes associada ao abuso de controles de acesso baseados em função (RBAC, na sigla em inglês) que tentam privilégios de escalonamento ou movimento lateral.
  • Ações sensíveis a certificados do Kubernetes: detecta ações de certificados e solicitações de assinatura de certificado (CSR) do Kubernetes que podem ser usadas para estabelecer persistência ou escalonar privilégios.
  • Abuso de IAM: atividade associada ao abuso de papéis e permissões do IAM para potencialmente elevar privilégios ou mover lateralmente em um determinado projeto do Cloud ou em uma organização do Cloud.
  • Possível atividade de exfiltração: detecta atividades associadas a possíveis exfiltrações de dados.
  • Mascaramento de recursos: detecta recursos do Google Cloud criados com nomes ou características de outro recurso ou tipo de recurso. Isso pode ser usado para mascarar atividades maliciosas realizadas pelo recurso ou dentro dele, com a intenção de parecer legítimo.
  • Ameaças sem servidor : detecta atividades associadas a possíveis comprometimentos ou abusos de recursos sem servidor no Google Cloud, como o Cloud Run e as funções do Cloud Run.
  • Interrupção do serviço: detecta ações destrutivas ou prejudiciais que, se realizadas em um ambiente de produção funcional, podem causar uma interrupção significativa. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
  • Comportamento suspeito: atividade que é considerada incomum e suspeita na maioria dos ambientes.
  • Mudança de infraestrutura suspeita: detecta modificações na infraestrutura de produção que estão alinhadas a táticas de persistência conhecidas.
  • Configuração enfraquecida: atividade associada ao enfraquecimento ou à degradação de um controle de segurança. Considerado suspeito, potencialmente legítimo, dependendo do uso organizacional.
  • Possível exfiltração de dados de pessoas com informações privilegiadas do Chrome: detecta atividades associadas a possíveis comportamentos de ameaça de pessoas com informações privilegiadas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Chrome considerados anormais em comparação com um período de referência de 30 dias.
  • Possível exfiltração de dados de pessoas com informações privilegiadas do Drive: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Drive considerados anormais em comparação com um período de referência de 30 dias.
  • Possível exfiltração de dados internos do Gmail: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Gmail considerados anormais em comparação com um período de referência de 30 dias.
  • Possível comprometimento da conta do Workspace: detecta comportamentos de ameaça interna que indicam que a conta pode ter sido comprometida e pode levar a tentativas de elevação de privilégios ou de movimentação lateral em uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anormais em comparação com um período de referência de 30 dias.
  • Ações administrativas suspeitas do Workspace: detecte comportamentos que indicam possíveis evasões, downgrades de segurança ou comportamentos raros e anormais nunca vistos nos últimos 30 dias de usuários com privilégios mais altos, como administradores.

A abreviação CDIR significa Detecção, investigação e resposta na nuvem.

Dispositivos e tipos de registro compatíveis

As seções a seguir descrevem os dados necessários para os conjuntos de regras na categoria Ameaças do Cloud.

Para ingerir dados dos serviços do Google Cloud, consulte Ingestão de registros do Cloud para as operações de segurança do Google. Entre em contato com seu representante do Google Security Operations se precisar coletar esses registros usando um mecanismo diferente.

O Google Security Operations oferece analisadores padrão que analisam e normalizam registros brutos dos serviços do Google Cloud para criar registros UDM com dados exigidos por esses conjuntos de regras.

Para conferir uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Todos os conjuntos de regras

Para usar qualquer conjunto de regras, recomendamos que você colete os registros de auditoria do Google Cloud. Algumas regras exigem que os clientes ativem o registro do Cloud DNS. Verifique se os serviços do Google Cloud estão configurados para registrar dados nos seguintes registros:

Conjunto de regras de resgate do Cloud SQL

Para usar o conjunto de regras Cloud SQL Ransom, recomendamos que você colete os seguintes dados do Google Cloud:

Conjuntos de regras aprimoradas do SCC do CDIR

Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam as descobertas do Security Command Center Premium contextualizadas com várias outras fontes de registro do Google Cloud, incluindo:

  • Registros de auditoria do Cloud
  • Registros do Cloud DNS
  • Análise do Identity and Access Management (IAM)
  • Contexto da Proteção de Dados Sensíveis
  • Contexto do BigQuery
  • Contexto do Compute Engine

Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados do Google Cloud:

  • Dados de registro listados na seção Todos os conjuntos de regras.

  • Os dados de registro a seguir, listados por nome do produto e rótulo de ingestão do Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Proteção de dados sensíveis (GCP_DLP_CONTEXT)
    • Registros de auditoria do Cloud (GCP_CLOUDAUDIT)
    • Atividade do Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas do Cloud DNS (GCP_DNS)

  • As seguintes classes de descobertas do Security Command Center, listadas pelo identificador findingClass e pelo rótulo de transferência do Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Os conjuntos de regras do CDIR SCC Enhanced também dependem de dados dos serviços do Google Cloud. Para enviar os dados necessários ao Google Security Operations, siga estas etapas:

Os conjuntos de regras a seguir criam uma detecção quando as descobertas do Event Threat Detection do Security Command Center, do Google Cloud Armor, do Serviço de ações sensíveis do Security Command Center e dos módulos personalizados do Event Threat Detection são identificadas:

  • Cloud IDS do CDIR SCC
  • Cloud Armor do CDIR SCC
  • Impacto do SCC do CDIR
  • Persistência aprimorada do CDIR SCC
  • Evasão de defesa aprimorada do CDIR SCC
  • Módulo personalizado do CDIR SCC

Conjunto de regras de ferramentas suspeitas do Kubernetes

Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos que você colete os dados listados na seção Todos os conjuntos de regras. Verifique se os serviços do Google Cloud estão configurados para registrar dados nos Registros de nó do Google Kubernetes Engine (GKE).

Conjunto de regras de abuso do RBAC do Kubernetes

Para usar o conjunto de regras de abuso do RBAC do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjunto de regras de ações sensíveis a certificados do Kubernetes

Para usar o conjunto de regras Ações sensíveis a certificados do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjuntos de regras relacionados ao Google Workspace

Os seguintes conjuntos de regras detectam padrões nos dados do Google Workspace:

  • Possível exfiltração de dados internos do Chrome
  • Possível exfiltração de dados internos do Drive
  • Possível exfiltração de dados internos do Gmail
  • Possível comprometimento da conta do Workspace
  • Ações administrativas suspeitas no Workspace

Esses conjuntos de regras exigem os seguintes tipos de registro, listados por nome do produto e rótulo de transferência do Google Security Operations:

  • Atividades do Workspace (WORKSPACE_ACTIVITY)
  • Alertas do Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS do Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móveis do Workspace (WORKSPACE_MOBILE)
  • Usuários do Workspace (WORKSPACE_USERS)
  • Gerenciamento de nuvem do navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros do Gmail (GMAIL_LOGS)

Para transferir os dados necessários, faça o seguinte:

Conjunto de regras de ameaças sem servidor

Os registros do Cloud Run incluem registros de solicitação e de contêiner, que são processados como o tipo de registro GCP_RUN no Google Security Operations. Os registros GCP_RUN podem ser ingeridos usando a ingestão direta ou usando feeds e o Cloud Storage. Para filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para o Google Security Operations. O filtro de exportação a seguir exporta registros do Google Cloud Cloud Run (GCP_RUN), além dos registros padrão, usando o mecanismo de ingestão direta, o Cloud Storage e os Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteções selecionadas para conjuntos de regras da AWS

Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS usando dados de eventos e contexto e incluem os seguintes conjuntos de regras:

  • AWS - Compute: detecta atividades anormais em recursos de computação da AWS, como EC2 e Lambda.
  • AWS - Data: detecta a atividade da AWS associada a recursos de dados, como snapshots do RDS ou buckets do S3 disponibilizados publicamente.
  • AWS - GuardDuty: alertas do AWS GuardDuty com base no contexto para comportamento, acesso a credenciais, mineração de criptomoedas, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, escalonamento de privilégios e acesso não autorizado.
  • AWS - Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como scanners, kits de ferramentas e frameworks.
  • AWS - Identidade: detecções de atividade da AWS associadas ao IAM e à atividade de autenticação, como logins incomuns de vários locais geográficos, criação de funções excessivamente permissivas ou atividade do IAM de ferramentas suspeitas.
  • AWS: geração de registros e monitoramento: detecta a atividade da AWS relacionada à desativação de serviços de geração de registros e monitoramento, como CloudTrail, CloudWatch e GuardDuty.
  • AWS: rede: detecta alterações não seguras nas configurações de rede da AWS, como grupos de segurança e firewalls.
  • AWS – Organização: detecta a atividade da AWS associada à sua organização, como adição ou remoção de contas e eventos inesperados relacionados ao uso da região.
  • AWS Secrets: detecta a atividade da AWS associada a segredos, tokens e senhas, como a exclusão de segredos do KMS ou do Secrets Manager.

Dispositivos e tipos de registro compatíveis

Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados do Google Security Operations, listadas por nome do produto e rótulo de transferência:

Consulte Configurar a transferência de dados da AWS para informações sobre como configurar a transferência de dados da AWS.

Para conferir uma lista de todas as fontes de dados com suporte, consulte Analisadores padrão compatíveis.

As seções a seguir descrevem os dados necessários para conjuntos de regras que identificam padrões nos dados.

É possível transferir dados da AWS usando um bucket do Amazon Simple Storage Service (Amazon S3) como um tipo de origem ou, opcionalmente, usando o Amazon S3 com o Amazon Simple Queue Service (Amazon SQS). Em um nível alto, você precisa fazer o seguinte:

Consulte Ingerir logs da AWS no Google Security Operations para ver as etapas detalhadas necessárias para configurar os serviços da AWS e um feed do Google Security Operations para ingerir dados da AWS.

É possível usar as regras de teste do AWS Managed Detection Testing para verificar se os dados da AWS estão sendo transferidos para o SIEM de operações de segurança do Google. Essas regras de teste ajudam a verificar se os dados de registro da AWS estão sendo ingeridos conforme o esperado. Depois de configurar a ingestão de dados da AWS, você realiza ações na AWS que acionam as regras de teste.

Consulte Verificar a ingestão de dados da AWS para a categoria Ameaças à Nuvem para informações sobre como verificar a ingestão de dados da AWS usando as regras de teste do Teste de Detecção Gerenciada da AWS.

Como ajustar os alertas retornados pelos conjuntos de regras

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.

A seguir