Cloud Threats-Kategorie – Übersicht

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Cloud Threats“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von jedem Regelsatz generierten Benachrichtigungen optimieren können. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud-Umgebungen mit Google Cloud-Daten und in AWS-Umgebungen mit AWS-Daten.

Regelsatzbeschreibungen

Die folgenden Regelsätze sind in der Kategorie „Cloud Threats“ verfügbar.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Cloud-Erkennung, Untersuchung und Reaktion).

Ausgewählte Erkennungen für Google Cloud-Daten

Mit Google Cloud-Regelsätzen können Bedrohungen in Google Cloud-Umgebungen anhand von Ereignis- und Kontextdaten identifiziert werden. Dazu gehören die folgenden Regelsätze:

  • Administratoraktion: Aktivitäten im Zusammenhang mit administrativen Aktionen, die je nach Verwendung in der Organisation als verdächtig, aber möglicherweise legitim eingestuft werden.
  • Erweiterte CDIR SCC-Exfiltration: Enthält kontextsensitive Regeln, die Ergebnisse der Security Command Center-Exfiltration mit anderen Logquellen wie Cloud-Audit-Logs, Sensitive Data Protection-Kontext, BigQuery-Kontext und Security Command Center-Logs zur Fehlkonfiguration korrelieren.
  • CDIR SCC – Erweiterte Umgehung von Abwehrmaßnahmen: Enthält kontextsensitive Regeln, die Ergebnisse zur Umgehung von Security Command Center oder von Abwehrumgehungen mit Daten aus anderen Google Cloud-Datenquellen wie Cloud-Audit-Logs korrelieren.
  • Erweiterte Malware für CDIR SCC: Enthält kontextsensitive Regeln, die Ergebnisse von Security Command Center Malware mit Daten wie dem Vorkommen von IP-Adressen und Domains und deren Prävalenzwerten sowie mit anderen Datenquellen wie Cloud DNS-Logs korrelieren.
  • Verbesserte Persistenz gemäß CDIR SCC: Enthält kontextsensitive Regeln, die Ergebnisse der Security Command Center-Persistenz mit Daten aus Quellen wie Cloud DNS-Logs und IAM-Analyselogs korrelieren.
  • Erweiterte Rechteausweitung gemäß CDIR SCC enthält kontextsensitive Regeln, die die Ergebnisse der Ausweitung der Security Command Center-Berechtigungen mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR SCC-Anmeldedatenzugriff: Enthält kontextsensitive Regeln, die Ergebnisse für den Zugriff auf Security Command Center-Anmeldedaten mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR SCC Enhanced Discovery enthält kontextsensitive Regeln, die Eskalationsergebnisse für Security Command Center Discovery mit Daten aus Quellen wie Google Cloud-Diensten und Cloud-Audit-Logs korrelieren.
  • CDIR SCC Brute Force: Enthält kontextsensitive Regeln, die Ergebnisse von Security Command Center Brute Force-Eskalationen mit Daten wie Cloud DNS-Logs korrelieren.
  • CDIR SCC-Datenvernichtung: Enthält kontextsensitive Regeln, die die Eskalationsergebnisse zum Löschen von Security Command Center-Daten mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR SCC Inhibit System Recovery: Enthält kontextsensitive Regeln, die Ergebnisse der Security Command Center Inhibit System Recovery mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR-SCC-Ausführung: Enthält kontextsensitive Regeln, die Ergebnisse der Security Command Center-Ausführung mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • Anfänglicher CDIR-SCC-Zugriff: Enthält kontextsensitive Regeln, die Ergebnisse des anfänglichen Zugriffs von Security Command Center mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR SCC Impair Defense: Enthält kontextsensitive Regeln, die Ergebnisse von Security Command Center Impair Defenses mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • Auswirkungen von CDIR-SCC: Enthält Regeln, die Ergebnisse vom Typ Auswirkung von Security Command Center mit der Klassifizierung „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkennen.
  • CDIR SCC Cloud IDS: Enthält Regeln, die Ergebnisse des Cloud Intrusion Detection System aus Security Command Center mit einer Klassifizierung als „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkennen.
  • CDIR SCC Cloud Armor: Enthält Regeln, die Google Cloud Armor-Ergebnisse aus Security Command Center erkennen.
  • Benutzerdefiniertes Modul für CDIR SCC: Enthält Regeln, die Ergebnisse des benutzerdefinierten Event Threat Detection-Moduls aus Security Command Center erkennen.
  • Cloud-Hacktool: Aktivitäten, die von bekannten anstößigen Sicherheitsplattformen oder von anstößigen Tools oder Software erkannt werden, die weltweit von Angreifern verwendet werden und speziell auf Cloud-Ressourcen abzielen.
  • Cloud SQL Ransom: Erkennt Aktivitäten im Zusammenhang mit der Daten-Exfiltration oder -Lösegeldforderungen in Cloud SQL-Datenbanken.
  • Kubernetes verdächtige Tools: Erkennt Ausspähung und Sicherheitslücken in Open-Source-Kubernetes-Tools.
  • Missbrauch von Kubernetes-RBAC: Erkennt Kubernetes-Aktivitäten, die mit dem Missbrauch von rollenbasierten Zugriffssteuerungen (Role-Based Access Control, RBAC) verbunden sind, bei denen eine Rechteausweitung oder seitliche Bewegung versucht wird.
  • Sensible Aktionen für Kubernetes-Zertifikate: Erkennt Aktionen von Kubernetes-Zertifikaten und -Anfragen zur Zertifikatssignierung (Certificate Signing Request, CSR), die verwendet werden können, um Persistenz zu schaffen oder Berechtigungen auszuweiten.
  • IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und -Berechtigungen, um privilegierte oder seitliche Verschiebungen innerhalb eines bestimmten Cloud-Projekts oder innerhalb einer Cloud-Organisation durchzuführen.
  • Potenzielle Exfil-Aktivitäten: Erkennt Aktivitäten im Zusammenhang mit einer potenziellen Exfiltration von Daten.
  • Ressourcen-Masquerading: Erkennt Google Cloud-Ressourcen, die mit Namen oder Eigenschaften einer anderen Ressource oder eines anderen Ressourcentyps erstellt wurden. Damit könnten schädliche Aktivitäten verschleiert werden, die von oder innerhalb der Ressource ausgeführt werden, um legitim zu erscheinen.
  • Serverlose Bedrohungen : Erkennt Aktivitäten, die mit einer potenziellen Kompromittierung oder dem Missbrauch von serverlosen Ressourcen in Google Cloud wie Cloud Run und Cloud Functions verbunden sind.
  • Dienststörung: Erkennt destruktive oder störende Aktionen, die bei Ausführung in einer funktionierenden Produktionsumgebung zu einem erheblichen Ausfall führen können. Das erkannte Verhalten ist in Test- und Entwicklungsumgebungen üblich und wahrscheinlich harmlos.
  • Verdächtiges Verhalten: Aktivitäten, die in den meisten Umgebungen als ungewöhnlich und verdächtig eingestuft werden.
  • Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktionsinfrastruktur, die mit bekannten Persistenztaktiken übereinstimmen.
  • Geschwächte Konfiguration: Aktivitäten im Zusammenhang mit der Schwächung oder Verschlechterung einer Sicherheitskontrolle. Wird je nach organisatorischer Verwendung als verdächtig und potenziell legitim eingestuft.
  • Potenzielle Insider-Daten-Exfiltration durch Chrome: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören auch Verhaltensweisen von Chrome, die im Vergleich zu einem 30-Tage-Baseline als anomal eingestuft werden.
  • Potenzielle Insider-Daten-Exfiltration aus Drive: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören auch Verhaltensweisen von Drive, die im Vergleich zu einem 30-Tage-Baseline als anomal eingestuft werden.
  • Potenzielle Insider-Daten-Exfiltration durch Gmail: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insider-Bedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehören auch Verhaltensweisen von Gmail, die im Vergleich zu einem 30-Tage-Baseline als anomal eingestuft werden.
  • Potenzielle Manipulation von Workspace-Konten: Erkennt Verhaltensweisen von Insidern, die darauf hinweisen, dass das Konto potenziell manipuliert worden sein könnte. Dies kann zu Ausweitung der Zugriffs- oder Ausbreitungsversuche innerhalb einer Google Workspace-Organisation führen. Dazu gehören Verhaltensweisen, die im Vergleich zu einem 30-Tage-Baseline als selten oder anomal eingestuft werden.
  • Verdächtige Workspace-Administratoraktionen: Erkennt Verhaltensweisen, die auf potenzielle Umgehungen, Sicherheitsherabstufungen oder seltene und ungewöhnliche Verhaltensweisen hinweisen, die in den letzten 30 Tagen von Nutzern mit höheren Berechtigungen wie Administratoren nicht aufgetreten sind.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Cloud-Erkennung, Untersuchung und Reaktion).

Unterstützte Geräte und Protokolltypen

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die für Regelsätze in der Kategorie „Cloudbedrohungen“ erforderlich sind.

Informationen zur Aufnahme von Daten aus Google Cloud-Diensten finden Sie unter Cloud-Logs in Google Security Operations aufnehmen. Wenden Sie sich an Ihren Google Security Operations-Ansprechpartner, wenn Sie diese Logs mit einem anderen Mechanismus erfassen müssen.

Google Security Operations bietet Standardparser, die Rohlogs aus Google Cloud-Diensten parsen und normalisieren, um UDM-Einträge mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Alle Regelsätze

Zur Verwendung eines Regelsatzes empfehlen wir, Google Cloud-Audit-Logs zu erfassen. Bestimmte Regeln erfordern, dass Kunden das Cloud DNS-Logging aktivieren. Die Google Cloud-Dienste müssen so konfiguriert sein, dass Daten in den folgenden Logs aufgezeichnet werden:

Cloud SQL-Ransom-Regelsatz

Zur Verwendung des Regelsatzes Cloud SQL Ransom empfiehlt es sich, die folgenden Google Cloud-Daten zu erfassen:

Erweiterte CDIR-SCC-Regelsätze

Alle Regelsätze, die mit CDIR SCC Enhanced beginnen, verwenden Security Command Center Premium-Ergebnisse, die mit mehreren anderen Google Cloud-Logquellen kontextualisiert werden, darunter:

  • Cloud-Audit-Logs
  • Cloud DNS-Logs
  • Analyse der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
  • Kontext zum Schutz sensibler Daten
  • BigQuery-Kontext
  • Compute Engine-Kontext

Wir empfehlen Ihnen, die folgenden Google Cloud-Daten zu erfassen, um Regelsätze mit erweiterten CDIR SCC zu verwenden:

  • Logdaten, die im Abschnitt Alle Regelsätze aufgeführt sind.

  • Die folgenden Logdaten werden nach Produktname und Aufnahmelabel für Google Security Operations aufgelistet:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Schutz sensibler Daten (GCP_DLP_CONTEXT)
    • Cloud-Audit-Logs (GCP_CLOUDAUDIT)
    • Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
    • Cloud DNS-Abfragen (GCP_DNS)

  • Die folgenden Security Command Center-Ergebnisklassen, aufgelistet nach findingClass-Kennung und Google Security Operations-Aufnahmelabel:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Die Regelsätze CDIR SCC Enhanced hängen auch von Daten aus Google Cloud-Diensten ab. Führen Sie die folgenden Schritte aus, um die erforderlichen Daten an Google Security Operations zu senden:

Die folgenden Regelsätze erstellen eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service und benutzerdefinierte Module für Event Threat Detection erkannt werden:

  • CDIR SCC-Cloud-IDS
  • CDIR SCC-Cloud Armor
  • Auswirkungen des CDIR-SCC
  • Verbesserte Persistenz gemäß CDIR SCC
  • CDIR SCC: Erweiterte Umgehung von Abwehrmaßnahmen
  • Benutzerdefiniertes CDIR-SCC-Modul

Regelsatz für Kubernetes verdächtige Tools

Zur Verwendung des Regelsatzes Kubernetes verdächtige Tools empfehlen wir, die im Abschnitt Alle Regelsätze aufgeführten Daten zu erfassen. Achten Sie darauf, dass Google Cloud-Dienste so konfiguriert sind, dass Daten in GKE-Knotenlogs (Google Kubernetes Engine) aufgezeichnet werden.

Kubernetes-RBAC-Regelsatz zum Missbrauch von Apps

Zur Verwendung des Regelsatzes zum Missbrauch von Kubernetes-RBAC empfehlen wir, Cloud-Audit-Logs zu erfassen, die im Abschnitt Alle Regelsätze aufgeführt sind.

Regelsatz für vertrauliche Aktionen des Kubernetes-Zertifikats

Wenn Sie den Regelsatz Sensible Aktionen für Kubernetes-Zertifikate verwenden möchten, sollten Sie Cloud-Audit-Logs erfassen, die im Bereich Alle Regelsätze aufgeführt sind.

Google Workspace-bezogene Regelsätze

Die folgenden Regelsätze erkennen Muster in Google Workspace-Daten:

  • Mögliche Exfiltration von Insider-Daten durch Chrome
  • Mögliche Exfiltration von Insiderdaten durch Drive
  • Potenzielle Exfiltration von Insider-Daten durch Gmail
  • Mögliche Manipulation von Google Workspace-Konten
  • Verdächtige Workspace-Verwaltungsaktionen

Für diese Regelsätze sind die folgenden Logtypen erforderlich, die nach Produktnamen und Google Security Operations-Aufnahmelabel aufgeführt sind:

  • Arbeitsbereichsaktivitäten (WORKSPACE_ACTIVITY)
  • Workspace-Benachrichtigungen (WORKSPACE_ALERTS)
  • Workspace-ChromeOS-Geräte (WORKSPACE_CHROMEOS)
  • Workspace-Mobilgeräte (WORKSPACE_MOBILE)
  • Workspace-Nutzer (WORKSPACE_USERS)
  • Google Chrome-Verwaltung über die Cloud (CHROME_MANAGEMENT)
  • Gmail-Protokolle (GMAIL_LOGS)

So nehmen Sie die erforderlichen Daten auf:

Regelsatz für serverlose Bedrohungen

Cloud Run-Logs umfassen Anfrage- und Containerlogs, die als GCP_RUN-Logtyp in Google Security Operations aufgenommen werden. GCP_RUN-Logs können über die direkte Aufnahme oder über Feeds und Cloud Storage aufgenommen werden. Weitere Informationen zu bestimmten Logfiltern und weiteren Details zur Datenaufnahme finden Sie unter Google Cloud-Logs in Google Security Operations exportieren. Mit dem folgenden Exportfilter werden Google Cloud Run-Logs (GCP_RUN) zusätzlich zu den Standardlogs sowohl über den Mechanismus für die direkte Aufnahme als auch über Cloud Storage und Senken exportiert:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Ausgewählte Erkennungen für AWS-Regelsätze

AWS-Regelsätze in dieser Kategorie helfen bei der Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten und umfassen die folgenden Regelsätze:

  • AWS – Compute: Erkennt anomale Aktivitäten rund um AWS-Computing-Ressourcen wie EC2 und Lambda.
  • AWS – Daten: Erkennt AWS-Aktivitäten im Zusammenhang mit Datenressourcen wie RDS-Snapshots oder S3-Buckets, die öffentlich verfügbar gemacht werden.
  • AWS – GuardDuty: Kontextsensitive AWS GuardDuty-Benachrichtigungen in Bezug auf Verhalten, Zugriff auf Anmeldedaten, Kryptomining, Erkennung, Umgehung, Ausführung, Exfiltration, Auswirkungen, erster Zugriff, Malware, Penetrationstests, Persistenz, Richtlinie, Rechteausweitung und nicht autorisierter Zugriff.
  • AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung wie Scanner, Toolkits und Frameworks.
  • AWS – Identität: Erkennung von AWS-Aktivitäten im Zusammenhang mit IAM- und Authentifizierungsaktivitäten, z. B. ungewöhnliche Anmeldungen von mehreren Standorten, zu moderate Rollenerstellung oder IAM-Aktivitäten von verdächtigen Tools.
  • AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit der Deaktivierung von Logging- und Monitoringdiensten wie CloudTrail, CloudWatch und GuardDuty.
  • AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie Sicherheitsgruppen und Firewalls.
  • AWS – Organisation: Erkennt AWS-Aktivitäten im Zusammenhang mit Ihrer Organisation, z. B. das Hinzufügen oder Entfernen von Konten, sowie unerwartete Ereignisse im Zusammenhang mit der regionalen Nutzung.
  • AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, z. B. das Löschen von KMS-Secrets oder Secrets Manager-Secrets.

Unterstützte Geräte und Protokolltypen

Diese Regelsätze wurden mit den folgenden Google Security Operations-Datenquellen getestet und werden nach Produktname und Aufnahmelabel aufgelistet.

Informationen zum Einrichten der Aufnahme von AWS-Daten finden Sie unter Aufnahme von AWS-Daten konfigurieren.

Eine Liste aller unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die für Regelsätze benötigt werden, die Muster in Daten identifizieren.

Sie können AWS-Daten mit einem Amazon Simple Storage Service-Bucket (Amazon S3) als Quelltyp oder optional mit Amazon S3 mit Amazon Simple Queue Service (Amazon SQS) aufnehmen. Auf übergeordneter Ebene müssen Sie Folgendes tun:

  • Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Protokolldaten zu erfassen.
  • Konfigurieren Sie einen Google Security Operations-Feed, um Daten aus Amazon S3 oder Amazon SQS aufzunehmen.

Unter AWS-Logs in Google Security Operations aufnehmen finden Sie die detaillierten Schritte, die zum Konfigurieren von AWS-Diensten und zum Konfigurieren eines Google Security Operations-Feeds zur Aufnahme von AWS-Daten erforderlich sind.

Mit Testregeln für AWS Managed Detection Testing können Sie prüfen, ob AWS-Daten in Google Security Operations SIEM aufgenommen werden. Mit diesen Testregeln können Sie überprüfen, ob AWS-Logdaten wie erwartet aufgenommen werden. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie in AWS Aktionen aus, die die Testregeln auslösen sollen.

Informationen dazu, wie Sie die Aufnahme von AWS-Daten mithilfe von AWS Managed Detection Testing-Testregeln prüfen, finden Sie unter AWS-Datenaufnahme für Cloud Threats prüfen.

Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen

Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der Erkennungen zu verringern. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte