云威胁类别概览

本文档简要介绍了“云威胁”类别中的规则集、所需的数据源，以及可用于调整每个规则集生成的提醒的配置。这些规则集有助于识别使用 Google Cloud 数据的 Google Cloud 环境和使用 AWS 数据的 AWS 环境中的威胁。

规则集说明

以下规则集位于“云威胁”类别中。

• Google Cloud 数据的规则集

• AWS 数据规则集

CDIR 是 Cloud Detection, Investigation, and Response（云检测、调查和响应）的缩写。

针对 Google Cloud 数据的精选检测

Google Cloud 规则集有助于使用事件和上下文数据识别 Google Cloud 环境中的威胁，该规则集包含以下规则集：

• 管理员操作：与管理操作相关的活动，被认定为可疑但可能合法（具体取决于组织用途）。
• CDIR SCC 增强型渗漏：包含将 Security Command Center 渗漏发现结果与其他日志源（例如 Cloud Audit Logs 日志、Sensitive Data Protection 上下文、BigQuery 上下文和 Security Command Center 错误配置日志）相关联的情境感知规则。
• CDIR SCC 增强型防护规避：包含情境感知规则，将 Security Command Center 规避或防御规避发现结果与来自其他 Google Cloud 数据源（例如 Cloud Audit Logs）的数据相关联。
• CDIR SCC 增强型恶意软件：包含情境感知规则，将 Security Command Center 恶意软件发现结果与 IP 地址和网域的出现情况及其普遍性分数等数据以及 Cloud DNS 日志等其他数据源相关联。
• CDIR SCC 增强型持久性：包含将 Security Command Center 持久性发现结果与 Cloud DNS 日志和 IAM 分析日志等来源的数据相关联的情境感知规则。
• CDIR SCC 增强型权限提升：包含情境感知规则，将 Security Command Center 提权发现结果与来自其他多个数据源（如 Cloud Audit Logs）的数据相关联。
• CDIR SCC 凭据访问：包含情境感知规则，将 Security Command Center 凭据访问发现结果与来自其他多个数据源（例如 Cloud Audit Logs）的数据相关联
• CDIR SCC 增强的发现功能：包含情境感知规则，将 Security Command Center Discovery 上报结果与来自 Google Cloud 服务和 Cloud Audit Logs 等来源的数据相关联。
• CDIR SCC 暴力破解：包含情境感知规则，将 Security Command Center 暴力破解上报发现结果与 Cloud DNS 日志等数据相关联。
• CDIR SCC 数据销毁：包含情境感知规则，将 Security Command Center 数据销毁上报发现结果与来自其他多个数据源（如 Cloud Audit Logs）的数据相关联。
• CDIR SCC 禁止系统恢复：包含情境感知规则，将 Security Command Center 禁止系统恢复发现结果与来自其他多个数据源（如 Cloud Audit Logs）的数据相关联。
• CDIR SCC 执行：包含情境感知规则，将 Security Command Center Execution 发现结果与来自其他多个数据源（如 Cloud Audit Logs）的数据相关联。
• CDIR SCC 初始访问权限：包含情境感知规则，将 Security Command Center 初始访问发现结果与来自其他多个数据源（如 Cloud Audit Logs）的数据相关联。
• CDIR SCC 损害防御：包含将 Security Command Center 损害防御发现结果与来自其他多个数据源（如 Cloud Audit Logs）的数据的情境感知规则。
• CDIR SCC 影响：包含从 Security Command Center 检测严重程度为“严重”“高”“中”和“低”的影响发现结果的规则。
• CDIR SCC Cloud IDS：包含用于从 Security Command Center 检测 Cloud Intrusion Detection System 发现结果的规则，这些发现结果具有“严重”“高”“中”和“低”严重级别。
• CDIR SCC Cloud Armor：包含从 Security Command Center 检测 Google Cloud Armor 发现结果的规则。
• CDIR SCC 自定义模块：包含用于从 Security Command Center 检测事件威胁检测自定义模块发现结果的规则。
• Cloud Hacktool：通过已知的攻击性安全平台或者攻击者专门针对云资源的攻击性工具或公共使用的攻击性软件检测到的活动。
• Cloud SQL 赎金：检测与 Cloud SQL 数据库中的数据渗漏或赎金相关的活动。
• Kubernetes 可疑工具：检测开源 Kubernetes 工具中的侦察和利用行为。
• Kubernetes RBAC 滥用：检测与滥用基于角色的访问权限控制 (RBAC) （尝试提升提权或横向移动）相关的 Kubernetes 活动。
• Kubernetes 证书敏感操作：检测可用于建立持久性或提升权限的 Kubernetes 证书和证书签名请求 (CSR) 操作。
• IAM 滥用：与滥用 IAM 角色和权限相关的活动，这些角色和权限可能会在给定 Cloud 项目或整个 Cloud 组织内进行特权升级或横向移动。
• 潜在渗漏活动：检测与数据潜在渗漏相关的活动。
• 资源伪装：检测使用其他资源或资源类型的名称或特征创建的 Google Cloud 资源。这可用于掩盖由资源或资源内部执行的恶意活动，企图看似合法。
• 无服务器威胁：检测与 Google Cloud 中无服务器资源（例如 Cloud Run 和 Cloud Functions）的潜在被破解或滥用相关的活动。
• 服务故障：检测如果在正常运行的生产环境中执行的破坏性或中断性操作，可能会导致重大中断。检测到的行为在测试和开发环境中很常见，可能是良性的。
• 可疑行为：在大多数环境中被认为不常见和可疑的活动。
• 可疑的基础架构更改：检测与已知持久化策略一致的生产基础架构修改
• 弱化配置：与弱化或降级安全控件相关的活动。被认定为可疑，可能合法，具体取决于组织用途。
• Chrome 中潜在的内部人员数据渗漏：检测与潜在内部威胁行为（例如数据渗漏或 Google Workspace 组织外部的潜在敏感数据丢失）相关的活动。其中包括 Chrome 中的异常行为（与 30 天的基准相比）。
• 云端硬盘中的潜在内部人员数据渗漏：检测与潜在内部威胁行为（例如数据渗漏或 Google Workspace 组织外部的潜在敏感数据丢失）相关的活动。其中包括云端硬盘中的异常行为（与 30 天的基准相比）。
• Gmail 中潜在的内部人员数据渗漏：检测与潜在的内部威胁行为（例如数据渗漏或 Google Workspace 组织外部的潜在敏感数据丢失）相关的活动。这包括与 30 天基准相比，被认为存在异常的 Gmail 行为。
• 潜在的 Workspace 账号被盗用：检测表明账号可能已被盗用的内部威胁行为，并可能导致试图在 Google Workspace 组织内进行提权或横向移动。其中包括与 30 天基准相比被认为罕见或异常的行为。
• 可疑的 Workspace 管理操作：检测具有更高权限的用户（如管理员）在最近 30 天内未发现过的可能规避、安全降级或罕见和异常行为的行为。

CDIR 是 Cloud Detection, Investigation, and Response（云检测、调查和响应）的缩写。

支持的设备和日志类型

以下部分介绍了“云威胁”类别中的规则集所需的数据。

如需从 Google Cloud 服务中提取数据，请参阅将 Cloud 日志注入 Google Security Operations。如果您需要使用其他机制收集这些日志，请与您的 Google Security Operations 代表联系。

Google Security Operations 提供了默认解析器，用于对来自 Google Cloud 服务的原始日志进行解析和标准化，以便使用这些规则集所需的数据创建 UDM 记录。

如需查看 Google Security Operations 支持的所有数据源的列表，请参阅支持的默认解析器。

所有规则集

如需使用任何规则集，我们建议您收集 Google Cloud Cloud Audit Logs。某些规则要求客户启用 Cloud DNS 日志记录。确保将 Google Cloud 服务配置为将数据记录到以下日志：

• Cloud Audit Logs
• Cloud DNS 日志

Cloud SQL 赎金规则集

如需使用 Cloud SQL Ransom 规则集，我们建议您收集以下 Google Cloud 数据：

• 所有规则集部分列出的日志数据。
• Cloud SQL 日志。

CDIR SCC 增强型规则集

所有以名称 CDIR SCC Enhanced 开头的规则集都使用与其他几个 Google Cloud 日志源关联的 Security Command Center 高级方案，这些日志源包括：

• Cloud Audit Logs
• Cloud DNS 日志
• Identity and Access Management (IAM) 分析
• Sensitive Data Protection 上下文
• BigQuery 上下文
• Compute Engine 上下文

如需使用 CDIR SCC 增强规则集，我们建议您收集以下 Google Cloud 数据：

• 所有规则集部分列出的日志数据。

• 以下日志数据（按产品名称和 Google Security Operations 注入标签列出）：

  • BigQuery (GCP_BIGQUERY_CONTEXT)
  • Compute Engine (GCP_COMPUTE_CONTEXT)
  • IAM (GCP_IAM_CONTEXT)
  • 敏感数据保护 (GCP_DLP_CONTEXT)
  • Cloud Audit Logs (GCP_CLOUDAUDIT)
  • Google Workspace 活动记录 (WORKSPACE_ACTIVITY)
  • Cloud DNS 查询 (GCP_DNS)

• 以下 Security Command Center 发现结果类（按 findingClass 标识符和 Google Security Operations 提取标签列出）：

  • Threat (GCP_SECURITYCENTER_THREAT)
  • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
  • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
  • SCC Error (GCP_SECURITYCENTER_ERROR)

CDIR SCC 增强规则集还依赖于 Google Cloud 服务中的数据。 如需将所需的数据发送到 Google Security Operations，请务必完成以下步骤：

• 为所需的 Google Cloud 产品和服务启用日志记录功能。
• 启用 Security Command Center 高级方案和相关服务。
• 配置 Google Cloud 日志提取到 Google Security Operations。
• 配置将 Event Threat Detection 发现结果导出到 Google Security Operations 的功能。默认情况下，系统会注入所有 Security Command Center 发现结果。如需详细了解 Google Security Operations 默认解析器如何映射数据字段，请参阅导出 Security Command Center 发现结果。
• 启用 Cloud Audit Logs 并配置将 Cloud Audit Logs 导出到 Google Security Operations 的功能。如需了解详情，请参阅收集 Cloud Audit Logs。
• 启用 Google Workspace 日志并将这些日志发送到 Google Security Operations。如需了解详情，请参阅收集 Google Workspace 日志。
• 配置将 Google Cloud 资产元数据和上下文相关数据导出到 Google Security Operations 的功能。如需了解详情，请参阅将 Google Cloud 资产元数据导出到 Google Security Operations 和将敏感数据保护数据导出到 Google Security Operations。

当发现 Security Command Center Event Threat Detection、Google Cloud Armor、Security Command Center Sensitive Actions Service 和 Event Threat Detection 的自定义模块中的发现结果时，以下规则集会创建检测：

• CDIR SCC Cloud IDS
• CDIR SCC Cloud Armor
• CDIR SCC 影响
• CDIR SCC 增强持久性
• CDIR SCC 增强防御规避
• CDIR SCC 自定义模块

Kubernetes 可疑工具规则集

如需使用 Kubernetes 可疑工具规则集，我们建议您收集所有规则集部分中列出的数据。确保将 Google Cloud 服务配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志

Kubernetes RBAC 滥用行为规则集

如需使用 Kubernetes RBAC Abuse 规则集，我们建议您收集所有规则集部分中列出的 Cloud Audit Logs。

Kubernetes 证书敏感操作规则集

如需使用 Kubernetes 证书敏感操作规则集，我们建议您收集所有规则集部分中列出的 Cloud Audit Logs。

与 Google Workspace 相关的规则集

以下规则用于设置 Google Workspace 数据中的模式：

• Chrome 可能发生内部人员数据渗漏
• 云端硬盘中可能发生内部人员数据渗漏
• Gmail 中可能发生内部人员数据渗漏
• Workspace 账号可能遭到入侵
• 可疑的 Workspace 管理操作

这些规则集需要以下日志类型（按产品名称和 Google Security Operations 注入标签列出）：

• Workspace 活动记录 (WORKSPACE_ACTIVITY)
• Workspace 提醒（WORKSPACE_ALERTS 条）
• Workspace ChromeOS 设备 (WORKSPACE_CHROMEOS)
• Workspace 移动设备 (WORKSPACE_MOBILE)
• Workspace 用户 (WORKSPACE_USERS)
• Google Chrome 浏览器云管理 (CHROME_MANAGEMENT)
• Gmail 日志 (GMAIL_LOGS)

如需注入所需的数据，请执行以下操作：

• 收集本文档的所有规则集部分列出的数据。

• 请参阅将 Google Workspace 数据注入 Google Security Operations以收集 WORKSPACE_ACTIVITY、WORKSPACE_CHROMEOS、CHROME_MANAGEMENT 和 GMAIL 日志。

• 请参阅收集 Google Workspace 日志以注入以下日志：

  • WORKSPACE_ALERTS
  • WORKSPACE_MOBILE
  • WORKSPACE_USERS

无服务器威胁规则集

• 收集本文档的所有规则集部分列出的数据。
• Cloud Run 日志 (GCP_RUN)。

Cloud Run 日志包括请求日志和容器日志，它们在 Google Security Operations 中以 GCP_RUN 日志类型的形式提取。您可以通过直接提取或使用 Feed 和 Cloud Storage 来提取 GCP_RUN 日志。如需了解具体的日志过滤条件和更多提取详情，请参阅将 Google Cloud 日志导出到 Google Security Operations。以下导出过滤条件除了通过直接提取机制以及 Cloud Storage 和接收器导出默认日志之外，还导出 Google Cloud Run (GCP_RUN) 日志：

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS 规则集的精选检测

此类别的 AWS 规则集有助于使用事件和上下文数据识别 AWS 环境中的威胁，并且包括以下规则集：

• AWS - 计算：检测围绕 AWS 计算资源（如 EC2 和 Lambda）的异常活动。
• AWS - 数据：检测与数据资源（例如公开提供的 RDS 快照或 S3 存储分区）关联的 AWS 活动。
• AWS - GuardDuty：针对行为、凭据访问、加密货币挖矿、发现、规避、执行、渗漏、影响、初始访问、恶意软件、渗透测试、持久性、政策、权限提升和未经授权的访问的情境感知 AWS GuardDuty 提醒。
• AWS - Hacktools：检测 Hacktools 在 AWS 环境中的使用情况，例如扫描程序、工具包和框架。
• AWS - Identity：检测与 IAM 和身份验证活动相关联的 AWS 活动，例如来自多个地理位置的异常登录、过于宽松的角色创建或通过可疑工具进行的 IAM 活动。
• AWS - 日志记录和监控：检测与停用日志记录和监控服务（如 CloudTrail、CloudWatch 和 GuardDuty）相关的 AWS 活动。
• AWS - 网络：检测对 AWS 网络设置的不安全更改，例如安全组和防火墙。
• AWS - 组织：检测与您的组织关联的 AWS 活动（例如添加或移除帐号）以及与区域使用相关的意外事件。
• AWS - Secrets：检测与 Secret、令牌和密码关联的 AWS 活动，例如删除 KMS Secret 或 Secrets Manager Secret。

支持的设备和日志类型

这些规则集已经过测试，受以下 Google Security Operations 数据源支持（按产品名称和提取标签列出）。

• AWS CloudTrail (AWS_CLOUDTRAIL)
• AWS GuardDuty (GUARDDUTY)
• AWS EC2 主机 (AWS_EC2_HOSTS)
• AWS EC2 实例 (AWS_EC2_INSTANCES)
• AWS EC2 VPC (AWS_EC2_VPCS)
• AWS Identity and Access Management (IAM) (AWS_IAM)

如需了解如何设置 AWS 数据的提取，请参阅配置 AWS 数据的提取。

如需查看所有支持的数据源的列表，请参阅支持的默认解析器。

以下各部分介绍了识别数据模式的规则集所需的所需数据。

您可以使用 Amazon Simple Storage Service (Amazon S3) 存储桶作为来源类型，或视情况使用 Amazon S3 和 Amazon Simple Queue Service (Amazon SQS) 来注入 AWS 数据。概括来讲，您需要执行以下操作：

• 使用 Amazon SQS 配置 Amazon S3 或 Amazon S3 以收集日志数据。
• 配置 Google Security Operations Feed 以从 Amazon S3 或 Amazon SQS 注入数据

如需了解配置 AWS 服务和 Google Security Operations Feed 以提取 AWS 数据所需的详细步骤，请参阅将 AWS 日志注入 Google Security Operations。

您可以使用 AWS Managed Detection Testing 测试规则验证 AWS 数据是否正在注入到 Google Security Operations SIEM。这些测试规则有助于验证系统是否按预期提取了 AWS 日志数据。设置好 AWS 数据的注入后，您可以在 AWS 中执行应触发测试规则的操作。

如需了解如何使用 AWS Managed Detection Testing 测试规则验证 AWS 数据的提取，请参阅验证 Cloud Threats 类别的 AWS 数据注入。

调整规则集返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除项定义了用于将事件排除在规则集或规则集中特定规则评估范围之外的条件。创建一个或多个规则排除项有助于减少检测量。请参阅配置规则排除项，了解如何操作。

后续步骤

• 注入 Google Cloud 日志
• 注入 AWS 日志
• 调查提醒