Panoramica della categoria Cloud Threats

Questo documento fornisce una panoramica delle serie di regole della categoria Cloud Threats, le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni set di regole. Queste serie di regole consentono di identificare le minacce negli ambienti Google Cloud utilizzando i dati di Google Cloud e negli ambienti AWS utilizzando i dati AWS.

Descrizioni delle serie di regole

Le seguenti serie di regole sono disponibili nella categoria Cloud Threats.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Rilevamenti selezionati per i dati di Google Cloud

Le serie di regole di Google Cloud consentono di identificare le minacce negli ambienti Google Cloud utilizzando dati di eventi e contesto e includono le seguenti serie di regole:

  • Azione di amministrazione: attività associata ad azioni amministrative, considerate sospette ma potenzialmente legittime in base all'uso dell'organizzazione.
  • Esfiltrazione avanzata di CDIR SCC: contiene regole sensibili al contesto che correlano i risultati dell'esfiltrazione di Security Command Center con altre origini log, come i log di Cloud Audit Logs, il contesto di Sensitive Data Protection, il contesto di BigQuery e i log di configurazione errata di Security Command Center.
  • CDIR SCC Advanced Defense Evasion: contiene regole sensibili al contesto che correlano i risultati relativi all'evasione o all'evasione della difesa di Security Command Center con i dati di altre origini dati di Google Cloud come Cloud Audit Logs.
  • CDIR SCC Advanced Malware: contiene regole sensibili al contesto che correlano i risultati del malware di Security Command Center con dati quali l'occorrenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati come i log di Cloud DNS.
  • Persistenza avanzata SCC CDIR: contiene regole sensibili al contesto che correlano i risultati della persistenza di Security Command Center con i dati provenienti da origini come i log di Cloud DNS e i log di analisi IAM.
  • Escalation avanzata dei privilegi CDIR SCC: contiene regole sensibili al contesto che correlano i risultati relativi all'escalation dei privilegi di Security Command Center con i dati provenienti da diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Credential Access (Accesso alle credenziali SCC CDIR): contiene regole sensibili al contesto che correlano i risultati dell'accesso alle credenziali di Security Command Center con i dati provenienti da diverse altre origini dati, come Cloud Audit Logs
  • CDIR SCC Advanced Discovery: contiene regole sensibili al contesto che correlano i risultati dell'escalation di Security Command Center Discovery con i dati provenienti da origini come i servizi Google Cloud e Cloud Audit Logs.
  • CDIR SCC Brute Force: contiene regole sensibili al contesto che correlano i risultati dell'escalation della forza bruta di Security Command Center con dati come i log di Cloud DNS.
  • Distruzione dei dati SCC CDIR: contiene regole sensibili al contesto che correlano i risultati dell'escalation della distruzione dei dati di Security Command Center con i dati provenienti da diverse altre origini dati, come gli Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contiene regole sensibili al contesto che correlano i risultati del ripristino del sistema di Security Command Center con i dati di diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Execution: contiene regole sensibili al contesto che correlano i risultati dell'esecuzione di Security Command Center con i dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Initial Access: contiene regole sensibili al contesto che correlano i risultati dell'accesso iniziale di Security Command Center con i dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Impair Defenses con i dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Impact (Impatto SCC CDIR): contiene regole che rilevano i risultati relativi all'impatto di Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati di Cloud Intrusion Detection System da Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • CDIR SCC Custom Module (Modulo personalizzato SCC CDIR): contiene regole che rilevano i risultati del modulo personalizzato Event Threat Detection da Security Command Center.
  • Cloud Hacktool: attività rilevata da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in circolazione da aggressori che prendono di mira in modo specifico le risorse cloud.
  • Riscatto Cloud SQL: rileva l'attività associata all'esfiltrazione o al riscatto di dati all'interno dei database Cloud SQL.
  • Strumenti sospetti per Kubernetes: rileva il comportamento di ricognizione e sfruttamento dagli strumenti Kubernetes open source.
  • Abuso di RBAC in Kubernetes: rileva l'attività Kubernetes associata all'abuso dei controlli di accesso basati su ruoli (RBAC) che tentano di escalation dei privilegi o di effettuare spostamenti laterali.
  • Azioni sensibili ai certificati Kubernetes: rileva le azioni di certificati e richieste di firma di certificato (CSR) di Kubernetes che possono essere utilizzate per stabilire la persistenza o aumentare i privilegi.
  • Abuso di IAM: attività associata all'abuso di ruoli e autorizzazioni IAM per eseguire potenzialmente la riassegnazione dei privilegi o lo spostamento laterale all'interno di un determinato progetto Cloud o in un'organizzazione Cloud.
  • Potenziale attività di esfiltrazione: rileva l'attività associata alla potenziale esfiltrazione di dati.
  • Accesso mascherato delle risorse: rileva le risorse Google Cloud create con nomi o caratteristiche di un'altra risorsa o un altro tipo di risorsa. Questo potrebbe essere usato per mascherare le attività dannose effettuate dalla risorsa o al suo interno, con l'intento di sembrare legittima.
  • Minacce serverless : rileva l'attività associata a potenziali compromissioni o abusi delle risorse serverless in Google Cloud, come Cloud Run e Cloud Functions.
  • Interruzione del servizio: rileva le azioni distruttive o di disturbo che, se eseguite in un ambiente di produzione funzionante, potrebbero causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente benigno negli ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenute insolite e sospette nella maggior parte degli ambienti.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche all'infrastruttura di produzione che sono in linea con le tattiche di persistenza note
  • Configurazione indebolita: attività associata all'indebolimento o al peggioramento di un controllo di sicurezza. È considerata sospetta, ma potenzialmente legittima in base all'uso dell'organizzazione.
  • Potenziale esfiltrazione di dati interni da Chrome: rileva le attività associate a potenziali comportamenti di minacce interne, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a un periodo di riferimento di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Drive: rileva le attività associate a potenziali comportamenti di minacce interne, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a un valore di riferimento di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Gmail: rileva le attività associate ai potenziali comportamenti di minacce interne, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Gmail considerati anomali rispetto a un periodo di riferimento di 30 giorni.
  • Potenziale compromissione dell'account Workspace: rileva i comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e potrebbe portare a tentativi di escalation dei privilegi o tentativi di movimento laterale all'interno di un'organizzazione Google Workspace. Sono inclusi comportamenti considerati rari o anomali rispetto a un valore basale di 30 giorni.
  • Azioni amministrative sospette in Workspace: rileva comportamenti che indicano una potenziale evasione, downgrade della sicurezza o comportamenti rari e anomali mai rilevati negli ultimi 30 giorni da parte di utenti con privilegi più elevati, ad esempio gli amministratori.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Dispositivi e tipi di log supportati

Le seguenti sezioni descrivono i dati richiesti richiesti dalle serie di regole della categoria Cloud Threat.

Per importare i dati dai servizi Google Cloud, consulta Importare i log di Cloud in Google Security Operations. Contatta il tuo rappresentante Google Security Operations se devi raccogliere questi log utilizzando un meccanismo diverso.

Google Security Operations fornisce parser predefiniti che analizzano e normalizzano i log non elaborati dei servizi Google Cloud per creare record UDM con i dati richiesti da queste serie di regole.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta parser predefiniti supportati.

Tutte le serie di regole

Per utilizzare qualsiasi serie di regole, consigliamo di raccogliere gli audit log di Google Cloud Cloud. Alcune regole richiedono che i clienti abilitino il logging di Cloud DNS. Assicurati che i servizi Google Cloud siano configurati in modo da registrare i dati nei seguenti log:

Set di regole di ransomware di Cloud SQL

Per utilizzare la serie di regole Cloud SQL Ransom, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

Serie di regole avanzate SCC CDIR

Tutte le serie di regole che iniziano con il nome CDIR SCC Advanced utilizzano i risultati di Security Command Center Premium contestualizzati con diverse altre origini log di Google Cloud, tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto di Compute Engine

Per utilizzare le serie di regole CDIR SCC avanzate, consigliamo di raccogliere i seguenti dati di Google Cloud:

  • I dati dei log elencati nella sezione Tutte le serie di regole.

  • I seguenti dati di log, elencati per nome del prodotto e etichetta di importazione di Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protezione dei dati sensibili (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Le seguenti classi di rilevamento di Security Command Center, elencate tramite l'identificatore findingClass e l'etichetta di importazione di Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Le serie di regole CDIR SCC avanzate dipendono anche dai dati provenienti dai servizi Google Cloud. Per inviare i dati richiesti a Google Security Operations, assicurati di completare quanto segue:

Le seguenti serie di regole creano un rilevamento quando vengono identificati i risultati di Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service e i moduli personalizzati per Event Threat Detection:

  • ID cloud SCC CDIR
  • Cloud Armor SCC CDIR
  • Impatto SCC CDIR
  • Persistenza avanzata SCC del CDIR
  • Evasione della difesa avanzata SCC del CDIR
  • CDIR - Modulo personalizzato SCC

Set di regole degli strumenti sospetti Kubernetes

Per utilizzare il set di regole Strumenti sospetti di Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutte le serie di regole. Assicurati che i servizi Google Cloud siano configurati in modo da registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)

Set di regole di abuso RBAC di Kubernetes

Per utilizzare la serie di regole Utilizzo illecito di Kubernetes RBAC, ti consigliamo di raccogliere gli audit log di Cloud, elencati nella sezione Tutte le serie di regole.

Set di regole per le azioni sensibili dei certificati Kubernetes

Per utilizzare la serie di regole Azioni sensibili ai certificati Kubernetes, ti consigliamo di raccogliere gli audit log di Cloud, elencati nella sezione Tutte le serie di regole.

Serie di regole correlate a Google Workspace

Le seguenti serie di regole rilevano pattern nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati interni da Chrome
  • Potenziale esfiltrazione di dati interni da Drive
  • Potenziale esfiltrazione di dati interni da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative sospette nell'area di lavoro

Queste serie di regole richiedono i seguenti tipi di log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

  • Attività area di lavoro (WORKSPACE_ACTIVITY)
  • Avvisi di Workspace (WORKSPACE_ALERTS)
  • Dispositivi ChromeOS di Workspace (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Set di regole per le minacce serverless

I log di Cloud Run includono Log delle richieste e Log dei container che vengono importati come tipo di log GCP_RUN in Google Security Operations. I log GCP_RUN possono essere importati tramite l'importazione diretta o utilizzando i feed e Cloud Storage. Per filtri di log specifici e altri dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Google Security Operations. Il seguente filtro di esportazione esporta i log di Google Cloud Run (GCP_RUN), in aggiunta a quelli predefiniti, sia tramite il meccanismo di importazione diretta che tramite Cloud Storage e Sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per le serie di regole AWS

Le serie di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando dati di eventi e contesto e includono le seguenti serie di regole:

  • AWS - Computing: rileva l'attività anomala relativa alle risorse di computing AWS, come EC2 e Lambda.
  • AWS - Dati: rileva l'attività AWS associata a risorse di dati come snapshot RDS o bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per comportamento, accesso alle credenziali, cryptomining, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, escalation dei privilegi e accesso non autorizzato.
  • AWS - Hacktools: rileva l'utilizzo di Hacktools in un ambiente AWS come scanner, toolkit e framework.
  • AWS - Identità: rileva l'attività AWS associata ad attività IAM e di autenticazione, come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissiva o attività IAM da strumenti sospetti.
  • AWS - Logging e monitoraggio: rileva l'attività AWS relativa alla disattivazione dei servizi di logging e monitoraggio come CloudTrail, CloudWatch e GuardDuty.
  • AWS - Rete: rileva le modifiche non sicure alle impostazioni di rete AWS, come gruppi di sicurezza e firewall.
  • AWS - Organizzazione: rileva l'attività di AWS associata alla tua organizzazione, come l'aggiunta o la rimozione di account, e gli eventi imprevisti relativi all'utilizzo della regione.
  • AWS - Secrets: rileva l'attività AWS associata a secret, token e password, come l'eliminazione di secret KMS o secret di Secrets Manager.

Dispositivi e tipi di log supportati

Queste serie di regole sono state testate e sono supportate con le seguenti origini dati di Google Security Operations, elencate per nome del prodotto ed etichetta di importazione.

Consulta Configurare l'importazione dei dati AWS per informazioni su come configurare l'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, consulta Analizzatori predefiniti supportati.

Le seguenti sezioni descrivono i dati richiesti dalle serie di regole che identificano i pattern nei dati.

Puoi importare i dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). A livello generale, dovrai:

  • Configura Amazon S3 o Amazon S3 con Amazon SQS per raccogliere i dati di log.
  • Configura un feed Google Security Operations per importare i dati da Amazon S3 o Amazon SQS

Consulta Importare i log AWS in Google Security Operations per i passaggi dettagliati necessari per configurare i servizi AWS e configurare un feed Google Security Operations per importare dati AWS.

Puoi utilizzare le regole di test di AWS Managed Detection Testing per verificare che i dati AWS vengano importati nel Google Security Operations SIEM. Queste regole di test consentono di verificare se i dati di log AWS vengono importati come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui in AWS delle azioni che dovrebbero attivare le regole di test.

Consulta Verifica l'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test di AWS Managed Detection Testing.

Avvisi di ottimizzazione restituiti dalle serie di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione dalla serie di regole o da regole specifiche della serie. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni al riguardo, consulta Configurare le esclusioni delle regole.

Passaggi successivi