Cloud Threats-Kategorie – Übersicht

Unterstützt in:

In diesem Dokument finden Sie einen Überblick über die Regelsätze in der Kategorie „Cloud-Bedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von den einzelnen Regelsätzen generierten Benachrichtigungen optimieren können. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud Umgebungen mit Google Cloud-Daten und AWS-Umgebungen mit AWS-Daten.

Beschreibungen von Regelsätzen

Die folgenden Regelsätze sind in der Kategorie „Cloud-Bedrohungen“ verfügbar.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Cloud-Erkennung, Untersuchung und Reaktion).

Ausgewählte Erkennungen für Google Cloud-Daten

Google Cloud-Regelsätze unterstützen die Identifizierung von Bedrohungen in Google Cloud-Umgebungen anhand von Ereignissen und Kontextdaten und umfasst die folgenden Regelsätze:

  • Administratoraktion: Aktivitäten im Zusammenhang mit Verwaltungsmaßnahmen, die als verdächtigen, aber potenziell legitimen, je nach Verwendung im Unternehmen.
  • CDIR SCC Enhanced Exfiltration: Enthält kontextbezogene Regeln, die Ergebnisse zur Datenexfiltration in Security Command Center mit anderen Protokollquellen in Beziehung setzen, z. B. Cloud Audit Logs, Sensitive Data Protection-Kontext, BigQuery-Kontext und Security Command Center-Protokolle zu Fehlkonfigurationen.
  • CDIR SCC Enhanced Defense Evasion: Enthält kontextbezogene Regeln, die Ergebnisse zu Umgehung oder Abwehr von Schutzmaßnahmen aus Security Command Center mit Daten aus anderen Google Cloud-Datenquellen wie Cloud Audit Logs in Beziehung setzen.
  • Erweiterte Malware für CDIR SCC: Enthält kontextsensitive Regeln, Security Command Center Malware-Ergebnisse mit Daten wie dem Vorkommen von IP-Adressen Adressen und Domains und deren Prävalenzwerte sowie weitere Daten wie Cloud DNS-Logs.
  • Verbesserte Persistenz gemäß CDIR SCC: Enthält kontextsensitive Regeln, die Security Command Center-Persistenzergebnisse mit Daten aus Quellen wie Cloud DNS Logs und IAM-Analyselogs.
  • Erweiterte Ausweitung der Rechteausweitung gemäß CDIR SCC: Enthält kontextsensitive Regeln, die Ergebnisse der Ausweitung der Security Command Center-Rechte mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs.
  • CDIR SCC-Anmeldedatenzugriff: Enthält kontextsensitive Regeln, die Security Command Center-Anmeldedatenzugriff auf Ergebnisse mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs
  • CDIR SCC Enhanced Discovery: Enthält kontextsensitive Regeln, die Die Eskalationsergebnisse von Security Command Center Discovery mit Daten aus Quellen wie als Google Cloud-Dienste und Cloud-Audit-Logs.
  • CDIR SCC Brute Force: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Brute-Force-Eskalationsergebnisse mit Daten wie Cloud DNS-Logs.
  • CDIR SCC-Datenvernichtung: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Ergebnisse der Eskalation zum Löschen von Daten mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs.
  • CDIR SCC: Systemwiederherstellung verhindern: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Die Ergebnisse der Systemwiederherstellung durch Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs verhindern.
  • CDIR SCC-Ausführung: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Ausführungsergebnisse mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs.
  • CDIR SCC Initial Access: Enthält kontextbezogene Regeln, die Ergebnisse zu Erstzugriff aus Security Command Center mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs in Beziehung setzen.
  • CDIR SCC: Impair Defenses (CDIR-SCC): Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Beeinträchtigen Sie Abwehrergebnisse mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs.
  • Auswirkungen von CDIR-SCC: Enthält Regeln, die Ergebnisse vom Typ Auswirkung von Security Command Center mit der Klassifizierung „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkennen.
  • CDIR SCC Cloud IDS: Enthält Regeln, die Ergebnisse des Cloud Intrusion Detection System aus Security Command Center erkennen als „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“.
  • CDIR SCC Cloud Armor: Enthält Regeln, die Google Cloud Armor-Ergebnisse aus Security Command Center erkennen.
  • Benutzerdefiniertes Modul für CDIR SCC: Enthält Regeln, die Ergebnisse des benutzerdefinierten Event Threat Detection-Moduls aus Security Command Center erkennen.
  • Cloud-Hacktool: Aktivität, die von bekannten offensiven Sicherheitsplattformen oder von offensiven Tools oder Software stammt, die von Angreifern in der Praxis verwendet werden und speziell auf Cloud-Ressourcen abzielen.
  • Cloud SQL-Erpressung: Erkennt Aktivitäten im Zusammenhang mit der Datenexfiltration oder Erpressung von Daten in Cloud SQL-Datenbanken.
  • Verdächtige Kubernetes-Tools: Erkennt Erkundungs- und Ausnutzungsverhalten von Open-Source-Kubernetes-Tools.
  • Kubernetes-RBAC-Missbrauch: Erkennt Kubernetes-Aktivitäten, die mit dem Missbrauch von Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), bei der Rechteausweitung oder seitliche Bewegung versucht wird.
  • Kubernetes Certificate Sensitive Actions (Zertifikatsbezogene Aktionen für Kubernetes): Erkennt Aktionen mit Kubernetes-Zertifikaten und Anfragen zur Zertifikatssignierung (Certificate Signing Requests, CSRs), die zum Herstellen von Persistenz oder zum Eskalieren von Berechtigungen verwendet werden könnten.
  • IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und ‑Berechtigungen, um potenziell Berechtigungen zu eskalieren oder sich innerhalb eines bestimmten Cloud-Projekts oder einer Cloud-Organisation lateral zu bewegen.
  • Potenzielle Exfiltrationsaktivität: Erkennt Aktivitäten im Zusammenhang mit einer potenziellen Daten-Exfiltration.
  • Ressourcen-Masquerading: Erkennt Google Cloud-Ressourcen, die mit Namen oder Merkmalen einer anderen Ressource oder eines anderen Ressourcentyps erstellt wurden. Dabei kann es sich um wird verwendet, um schädliche Aktivitäten zu verbergen, die von oder in der Ressource ausgeführt werden, mit dem legitim erscheinen.
  • Serverlose Bedrohungen : Erkennt Aktivitäten, die mit einer potenziellen Gefährdung oder einem Missbrauch serverloser Lösungen in Verbindung stehen Ressourcen in Google Cloud, z. B. Cloud Run- und Cloud Run-Funktionen.
  • Dienststörung: Erkennt destruktive oder störende Aktionen, wenn in einer funktionierenden Produktionsumgebung ausgeführt werden, erheblicher Ausfall. Das erkannte Verhalten ist häufig und wahrscheinlich harmlos in Test- und Entwicklungsumgebungen.
  • Verdächtiges Verhalten: Aktivitäten, die in in den meisten Umgebungen.
  • Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktion die den bekannten Persistenztaktiken entsprechen,
  • Geschwächte Konfiguration: Aktivität, die mit der Schwächung oder Beeinträchtigung einer Sicherheitskontrolle in Verbindung steht. Als verdächtig oder möglicherweise legitim eingestuft, für die Unternehmensnutzung.
  • Potenzielle Exfiltration von Insider-Daten durch Chrome: Erkennt Aktivitäten im Zusammenhang mit mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensible Daten außerhalb einer Google Workspace-Organisation. Dazu gehören auch Verhaltensweisen in Chrome, die im Vergleich zu einem 30-tägigen Referenzzeitraum als anormal eingestuft werden.
  • Potenzielle Exfiltration von Insider-Daten aus Google Drive: Erkennt Aktivitäten im Zusammenhang mit mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensible Daten außerhalb einer Google Workspace-Organisation. Dazu gehören von Drive als im Vergleich zu einem 30-Tage-Baseline als anomal eingestuft wird.
  • Potenzielle Datenexfiltration durch Insider aus Gmail: Hiermit werden Aktivitäten erkannt, die mit potenziellen Insiderbedrohungen wie Datenexfiltration oder Verlust potenziell vertraulicher Daten außerhalb einer Google Workspace-Organisation in Verbindung stehen. Dazu gehören Verhaltensweisen von Gmail wird im Vergleich zu einem 30-tägigen Normalbereich als anomal eingestuft.
  • Potenzielle Manipulation von Google Workspace-Konten: Erkennt Verhaltensweisen von Insidern, die darauf hinweisen Das Konto könnte potenziell manipuliert worden sein und zu Berechtigungen führen Eskalationsversuche oder laterale Ausbreitungsversuche innerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen, die im Vergleich zu einem 30-Tage-Baseline als selten oder anomal eingestuft werden.
  • Verdächtige Workspace-Verwaltungsaktionen: Erkennt Verhaltensweisen, die auf potenzielle Kunden hinweisen Sicherheits- oder Sicherheitsherabstufungen oder seltene und ungewöhnliche Verhaltensweisen, die letzten 30 Tage von Nutzern mit höheren Berechtigungen entfernt wurden, z. B. Administratoren.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Cloud-Erkennung, Untersuchung und Reaktion).

Unterstützte Geräte und Protokolltypen

In den folgenden Abschnitten werden die Daten beschrieben, die für Regelsätze in der Cloud erforderlich sind. Kategorie „Bedrohungen“.

Informationen zur Aufnahme von Daten aus Google Cloud-Diensten finden Sie unter Cloud-Logs in Google Security Operations aufnehmen. Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, wenn Sie diese Protokolle benötigen mit einem anderen Mechanismus.

Google Security Operations bietet Standardparser zum Parsen und Normalisieren von Rohprotokollen. von Google Cloud-Diensten aus, um UDM-Einträge mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Alle Regelsätze

Zur Verwendung eines Regelsatzes sollten Sie Google Cloud erfassen Cloud-Audit-Logs. Kunden müssen Cloud DNS für bestimmte Regeln aktivieren Logging. Achten Sie darauf, dass Google Cloud-Dienste zum Aufzeichnen konfiguriert sind Daten in folgende Logs speichern:

Cloud SQL-Ransom-Regelsatz

Wenn Sie den Regelsatz Cloud SQL-Erpressung verwenden möchten, empfehlen wir, die folgenden Google Cloud-Daten zu erfassen:

Erweiterte CDIR-SCC-Regelsätze

Alle Regelsätze, die mit CDIR SCC Enhanced beginnen, verwenden Security Command Center Premium Ergebnisse, die mit mehreren anderen Logquellen von Google Cloud kontextualisiert wurden, darunter:

  • Cloud-Audit-Logs
  • Cloud DNS-Logs
  • Analyse der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
  • Kontext zum Schutz sensibler Daten
  • BigQuery-Kontext
  • Compute Engine-Kontext

Wir empfehlen Ihnen, die folgenden Google Cloud-Daten zu erfassen, um Regelsätze mit erweiterten CDIR SCC zu verwenden:

  • Die Protokolldaten, die in der Regel Alle set hinzu.

  • Die folgenden Logdaten werden nach Produktname und Aufnahmelabel für Google Security Operations aufgelistet:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Schutz sensibler Daten (GCP_DLP_CONTEXT)
    • Cloud-Audit-Logs (GCP_CLOUDAUDIT)
    • Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
    • Cloud DNS-Abfragen (GCP_DNS)

  • Die folgenden Security Command Center-Ergebnisklassen, aufgelistet nach findingClass-ID und Google Security Operations-Aufnahmelabel:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Die Regelsätze CDIR SCC Enhanced hängen auch von Daten aus Google Cloud-Diensten ab. Damit Sie die erforderlichen Daten an Google Security Operations senden können, müssen Sie Folgendes:

Die folgenden Regelsätze erstellen eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service und benutzerdefinierte Module für Event Threat Detection werden identifiziert:

  • CDIR SCC-Cloud-IDS
  • CDIR SCC-Cloud Armor
  • Auswirkungen des CDIR-SCC
  • Verbesserte Persistenz gemäß CDIR SCC
  • CDIR SCC Enhanced Defense Evasion
  • Benutzerdefiniertes CDIR-SCC-Modul

Regelsatz für Kubernetes verdächtige Tools

Wenn Sie den Regelsatz Kubernetes verdächtige Tools verwenden möchten, sollten Sie Folgendes erfassen: die im Bereich Alle Regelsätze aufgeführten Daten. Google Cloud-Dienste müssen so konfiguriert sein, dass Daten in Google Kubernetes Engine (GKE)-Knotenprotokollen aufgezeichnet werden.

Kubernetes-RBAC-Regelsatz zum Missbrauch von Apps

Wenn Sie den Regelsatz Missbrauch von Kubernetes RBAC verwenden möchten, empfehlen wir, Cloud-Audit-Logs zu erfassen, die im Abschnitt Alle Regelsätze aufgeführt sind.

Regelsatz für vertrauliche Aktionen mit Kubernetes-Zertifikaten

Zur Verwendung des Regelsatzes Sensible Aktionen für Kubernetes-Zertifikate sollten Sie Cloud-Audit-Logs erfassen. im Bereich Alle Regelsätze aufgeführt.

Google Workspace-bezogene Regelsätze

Die folgenden Regelsätze erkennen Muster in Google Workspace-Daten:

  • Potenzielle Daten-Exfiltration durch Insider aus Chrome
  • Mögliche Exfiltration von Insiderdaten durch Drive
  • Potenzielle Exfiltration von Insider-Daten durch Gmail
  • Potenziell manipuliertes Workspace-Konto
  • Verdächtige Workspace-Verwaltungsaktionen

Für diese Regelsätze sind die folgenden Protokolltypen erforderlich, aufgelistet nach Produktname und Google Security Operations-Aufnahmelabel:

  • Arbeitsbereichsaktivitäten (WORKSPACE_ACTIVITY)
  • Workspace-Benachrichtigungen (WORKSPACE_ALERTS)
  • Workspace-ChromeOS-Geräte (WORKSPACE_CHROMEOS)
  • Workspace-Mobilgeräte (WORKSPACE_MOBILE)
  • Workspace-Nutzer (WORKSPACE_USERS)
  • Google Chrome-Verwaltung über die Cloud (CHROME_MANAGEMENT)
  • Gmail-Protokolle (GMAIL_LOGS)

So nehmen Sie die erforderlichen Daten auf:

Regelsatz für serverlose Bedrohungen

Cloud Run-Logs umfassen Anfragelogs und Container Logs, die als Logtyp GCP_RUN aufgenommen werden Google Security Operations GCP_RUN Logs können über die direkte Aufnahme aufgenommen werden oder mithilfe von Feeds und Cloud Storage. Für bestimmte Logfilter und mehr Datenaufnahme Weitere Informationen finden Sie unter Google Cloud-Logs in Google Security Operations exportieren. Mit dem folgenden Exportfilter werden Google Cloud Cloud Run-Logs (GCP_RUN) zusätzlich zu den Standardlogs sowohl über den direkten Aufnahmemechanismus als auch über Cloud Storage und Senken exportiert:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Ausgewählte Erkennungen für AWS-Regelsätze

AWS-Regelsätze in dieser Kategorie helfen bei der Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten und umfasst die folgenden Regelsätze:

  • AWS – Computing: Erkennt anomale Aktivitäten rund um AWS-Computing wie EC2 und Lambda.
  • AWS – Daten: Erkennt AWS-Aktivitäten im Zusammenhang mit Datenressourcen wie RDS-Snapshots oder S3-Buckets, die öffentlich verfügbar gemacht werden.
  • AWS – GuardDuty: Kontextsensitive AWS GuardDuty-Warnungen in Bezug auf Verhalten, Zugriff auf Anmeldedaten, Cryptomining, Erkennung, Umgehung, Ausführung, Exfiltration Auswirkungen, erster Zugriff, Malware, Penetrationstests, Persistenz, Richtlinie Rechteausweitung und unbefugter Zugriff.
  • AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung wie als Scanner, Toolkits und Frameworks.
  • AWS – Identität: Erkennungen für AWS-Aktivitäten im Zusammenhang mit IAM und Authentifizierungsaktivitäten wie ungewöhnliche Anmeldungen von mehreren Standorten aus, Erstellen von zu moderaten Rollen oder IAM-Aktivitäten von verdächtigen Tools
  • AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit Logging- und Monitoring-Dienste wie CloudTrail, CloudWatch, und GuardDuty.
  • AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie wie Sicherheitsgruppen und Firewalls.
  • AWS – Organisation: Erkennt mit Ihrer Organisation verknüpfte AWS-Aktivitäten wie das Hinzufügen oder Entfernen von Konten und unerwartete Ereignisse im Zusammenhang mit Regionsnutzung.
  • AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und (z. B. das Löschen von KMS-Secrets oder Secrets Manager-Secrets).

Unterstützte Geräte und Protokolltypen

Diese Regelsätze wurden getestet und werden mit den folgenden Google Security Operations-Elementen unterstützt Datenquellen, aufgelistet nach Produktname und Aufnahmelabel.

Siehe Aufnahme von AWS konfigurieren Daten finden Sie weitere Informationen zur Einrichtung der Aufnahme von AWS-Daten.

Eine Liste aller unterstützten Datenquellen Siehe Unterstützte Standardparser.

In den folgenden Abschnitten werden die Daten beschrieben, die von Regelsätzen benötigt werden, die Muster in Daten zu erkennen.

Sie können AWS-Daten mit einem Amazon Simple Storage Service (Amazon S3) aufnehmen Bucket als Quelltyp verwenden oder optional Amazon S3 mit Amazon Simple Queue verwenden Dienst (Amazon SQS) Auf übergeordneter Ebene müssen Sie Folgendes tun:

  • Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Protokolldaten zu erfassen.
  • Konfigurieren Sie einen Google Security Operations-Feed. um Daten aus Amazon S3 oder Amazon SQS aufzunehmen,

Siehe AWS-Logs in Google Security Operations aufnehmen finden Sie eine detaillierte Anleitung zum Konfigurieren von AWS-Diensten und zum Konfigurieren eines Google Security Operations-Feed zur Aufnahme von AWS-Daten.

Sie können mit AWS Managed Detection Testing Testregeln überprüfen, ob AWS-Daten in Google Security Operations SIEM aufgenommen wird. Mit diesen Testregeln können Sie prüfen, ob AWS-Protokolldaten wie erwartet aufgenommen werden. Nach der Einrichtung der AWS-Aufnahme führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.

Siehe AWS-Datenaufnahme für die Cloud Threats-Kategorie prüfen finden Sie weitere Informationen dazu, wie Sie die Aufnahme von AWS-Daten mithilfe von AWS Managed Detection Testing-Testregeln verifizieren.

Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen

Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis von der Auswertung durch Regelsatz oder nach bestimmten Regeln im Regelsatz erfolgen. Einen oder mehrere Regelausschlüsse erstellen um die Anzahl der Erkennungsmechanismen zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte