云威胁类别概览

本文档简要介绍了云威胁类别中的规则集, 所需的数据源,以及可用于调整生成的提醒的配置 每个规则集都存在哪些差异这些规则集有助于识别 Google Cloud 中的威胁 使用 Google Cloud 数据的环境,以及在使用 AWS 数据的 AWS 环境中。

规则集说明

以下规则集位于“云威胁”类别中。

CDIRCloud Detection, Investigation, and Response(云检测、调查和响应)的缩写。

针对 Google Cloud 数据的精选检测

Google Cloud 规则集利用事件帮助识别 Google Cloud 环境中的威胁 和上下文数据,并包含以下规则集:

  • 管理员操作:与管理操作相关的活动,被视为 可疑,但可能合法,具体取决于组织用途。
  • CDIR SCC 增强型外泄:包含与 使用其他日志源(例如 Cloud Audit Logs)的 Security Command Center 渗漏发现结果 日志、Sensitive Data Protection 上下文、BigQuery 上下文和 Security Command Center 错误配置日志。
  • CDIR SCC 增强的防御规避:包含 Security Command Center Evasion 或 Defense Evasion 发现结果,以及其他来源的数据 Google Cloud 数据源,例如 Cloud Audit Logs。
  • CDIR SCC 增强型恶意软件:包含 Security Command Center 恶意软件发现结果,以及 IP 出现次数等数据 地址和域名及其普遍性得分,以及其他数据 例如 Cloud DNS 日志
  • CDIR SCC 增强持久性:包含 使用来自 Cloud DNS 等来源的数据的 Security Command Center 持久性发现结果 日志和 IAM 分析日志
  • CDIR SCC 增强型权限提升:包含 Security Command Center 权限提升发现结果,以及其他一些数据 数据源,例如 Cloud Audit Logs。
  • CDIR SCC 凭据访问:包含与 Security Command Center 凭据访问发现结果使用来自多个其他工具的数据 数据源,例如 Cloud Audit Logs
  • CDIR SCC 增强的发现功能:包含与 使用来自以下来源的数据的 Security Command Center Discovery 上报发现结果 Google Cloud 服务和 Cloud Audit Logs
  • CDIR SCC 暴力破解:包含与 Security Command Center 相关联的情境感知规则 针对 Cloud DNS 日志等数据进行暴力升级的发现结果。
  • CDIR SCC 数据销毁:包含与 Security Command Center 相关联的情境感知规则 使用来自其他多个数据源(例如 Cloud Audit Logs)的数据的“数据销毁”上报发现结果。
  • CDIR SCC 禁止系统恢复:包含与 Security Command Center 相关联的情境感知规则 禁止使用来自其他多个数据源(例如 Cloud Audit Logs)的数据,禁止系统恢复发现结果。
  • CDIR SCC 执行:包含与 Security Command Center 相关的情境感知规则 使用来自其他多个数据源(例如 Cloud Audit Logs)的数据执行发现结果。
  • CDIR SCC 初始访问权限:包含与 Security Command Center 相关的情境感知规则 来自多个其他数据源(例如 Cloud Audit Logs)的数据的初始访问发现结果。
  • CDIR SCC 损害防御:包含与 Security Command Center 相关联的情境感知规则 使用来自其他多个数据源(例如 Cloud Audit Logs)的数据损害防御发现结果。
  • CDIR SCC 影响:包含从 Security Command Center 检测严重程度为“严重”“高”“中”和“低”的影响发现结果的规则。
  • CDIR SCC Cloud IDS:包含用于从 Security Command Center 检测 Cloud Intrusion Detection System 发现结果的规则 严重程度分为“严重”“高”“中”和“低”
  • CDIR SCC Cloud Armor:包含从 Security Command Center 检测 Google Cloud Armor 发现结果的规则。
  • CDIR SCC 自定义模块:包含用于从 Security Command Center 检测事件威胁检测自定义模块发现结果的规则。
  • Cloud Hacktool:从已知的攻击性安全平台或 来自攻击性工具或软件的攻击, 以云资源为目标
  • Cloud SQL Ransom:检测与 Cloud SQL 的渗漏或赎金相关的活动 Cloud SQL 数据库中的数据。
  • Kubernetes 可疑活动:可检测来自以下来源的侦察和利用行为: 来源 Kubernetes 工具。
  • Kubernetes RBAC 滥用行为:检测与滥用以下内容相关的 Kubernetes 活动 尝试提升权限或横向移动的基于角色的访问权限控制 (RBAC)。
  • Kubernetes 证书敏感操作:检测可用于建立持久性或提升权限的 Kubernetes 证书和证书签名请求 (CSR) 操作。
  • IAM 滥用:与滥用 IAM 角色和权限相关的活动 在给定云中可能实现特权升级或横向移动 跨项目或整个 Cloud 组织。
  • 潜在渗漏活动:检测与潜在泄漏相关的活动 数据渗漏。
  • 资源伪装:检测使用名称或 其他资源或资源类型的特征。可以是 来掩盖由资源或资源内部实施的恶意活动, 意图显得合法。
  • 无服务器威胁:检测与潜在危害或滥用无服务器相关的活动 资源,例如 Cloud Run 和 Cloud Functions。
  • 服务故障:检测造成以下后果的破坏性或干扰性操作: 在正常运行的生产环境中执行的任务,可能会导致 重大服务中断检测到的行为是常见且可能是良性的 测试和开发环境
  • 可疑行为:在下列国家/地区被认为不常见和可疑的活动 大多数环境中都存在此问题。
  • 可疑的基础架构更改:检测对生产环境的修改 符合已知持久化策略的基础架构
  • 弱化配置:与弱化或降级 安全控制被认定为可疑,可能合法, 组织用途。
  • Chrome 中可能发生内部人员数据渗漏:检测相关活动 等潜在的内部威胁行为,如数据渗漏或数据泄露, Google Workspace 组织外部的潜在敏感数据。这包括 与 30 天的基准相比,Chrome 中的行为异常。
  • 云端硬盘中可能发生内部人员数据渗漏:检测相关活动 等潜在的内部威胁行为,如数据渗漏或数据泄露, Google Workspace 组织外部的潜在敏感数据。这包括 与 30 天的基准相比,云端硬盘中的行为异常。
  • Gmail 中可能发生内部人员外泄数据渗漏:检测与以下内容相关的活动: 数据渗漏或数据泄露等潜在的内部威胁行为, 存储在 Google Workspace 组织外部。这包括 与 30 天的基准相比,Gmail 被认为存在异常。
  • 潜在 Workspace 账号被盗用:检测表明内部威胁行为 该账号可能已被盗用,并可能导致 在 Google Workspace 组织内尝试上报或横向移动。 其中包括与 30 天基准相比被认为罕见或异常的行为。
  • 可疑的 Workspace 管理员操作:检测表明潜在原因的行为 风险、安全、风险和道德问题 管理员等拥有较高权限的用户

CDIRCloud Detection, Investigation, and Response(云检测、调查和响应)的缩写。

支持的设备和日志类型

以下各部分介绍了 Google Cloud 规则集所需的 威胁类别。

如需从 Google Cloud 服务注入数据,请参阅将云日志注入 Google Security Operations。 如果您需要收集这些日志,请与您的 Google Security Operations 代表联系 其他机制

Google Security Operations 提供默认解析器,可解析原始日志并进行标准化 来创建包含这些规则集所需数据的 UDM 记录。

如需查看 Google Security Operations 支持的所有数据源的列表,请参阅 支持的默认解析器

所有规则集

要使用任何规则集,我们建议您收集 Google Cloud Cloud Audit Logs。某些规则要求客户启用 Cloud DNS 日志记录。确保将 Google Cloud 服务配置为记录 将数据复制到以下日志:

Cloud SQL 赎金规则集

如需使用 Cloud SQL Ransom 规则集,我们建议您收集以下 Google Cloud 数据:

CDIR SCC 增强型规则集

所有以 CDIR SCC Enhanced 名称开头的规则集都使用 Security Command Center 高级方案 与多个其他 Google Cloud 日志源关联的结果,包括:

  • Cloud Audit Logs
  • Cloud DNS 日志
  • Identity and Access Management (IAM) 分析
  • Sensitive Data Protection 上下文
  • BigQuery 上下文
  • Compute Engine 上下文

如需使用 CDIR SCC 增强规则集,我们建议您收集以下 Google Cloud 数据:

  • 全部规则 集部分。

  • 以下日志数据(按产品名称和 Google Security Operations 注入标签列出):

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • 敏感数据保护 (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Google Workspace 活动记录 (WORKSPACE_ACTIVITY)
    • Cloud DNS 查询 (GCP_DNS)

  • 以下 Security Command Center 发现结果 类findingClass标识符和 Google Security Operations 注入标签:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

CDIR SCC 增强规则集还依赖于 Google Cloud 服务中的数据。 如需将所需的数据发送给 Google Security Operations,请确保您已完成 以下:

Security Command Center Event Threat Detection 中的发现结果、 已确定 Google Cloud ArmorSecurity Command Center Sensitive Actions Service用于事件威胁检测的自定义模块

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC 影响
  • CDIR SCC 增强持久性
  • CDIR SCC 增强防御规避
  • CDIR SCC 自定义模块

Kubernetes 可疑工具规则集

如需使用 Kubernetes 可疑工具规则集,我们建议您收集 所有规则集部分列出的数据。确保 Google Cloud 服务配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志

Kubernetes RBAC 滥用行为规则集

如需使用 Kubernetes RBAC Abuse 规则集,我们建议您收集 Cloud Audit Logs所有规则集部分中列出的规则。

Kubernetes 证书敏感操作规则集

如需使用 Kubernetes 证书敏感操作规则集,我们建议您收集 Cloud Audit Logs所有规则集部分中列出的规则。

与 Google Workspace 相关的规则集

以下规则用于设置 Google Workspace 数据中的模式:

  • Chrome 可能发生内部人员数据渗漏
  • 云端硬盘中可能发生内部人员数据渗漏
  • Gmail 中可能发生内部人员数据渗漏
  • Workspace 账号可能遭到入侵
  • 可疑的 Workspace 管理操作

这些规则集需要以下日志类型,按产品名称和 Google Security Operations 注入标签:

  • Workspace 活动记录 (WORKSPACE_ACTIVITY)
  • Workspace 提醒(WORKSPACE_ALERTS 条)
  • Workspace ChromeOS 设备 (WORKSPACE_CHROMEOS)
  • Workspace 移动设备 (WORKSPACE_MOBILE)
  • Workspace 用户 (WORKSPACE_USERS)
  • Google Chrome 浏览器云管理 (CHROME_MANAGEMENT)
  • Gmail 日志 (GMAIL_LOGS)

如需注入所需的数据,请执行以下操作:

无服务器威胁规则集

Cloud Run 日志包括请求日志和容器 以 GCP_RUN 日志类型的形式注入日志 Google Security Operations,GCP_RUN 日志可通过直接注入或 使用 Feed 和 Cloud Storage 存储数据针对特定的日志过滤条件和更多提取 如需了解详情,请参阅将 Google Cloud 日志导出到 Google Security Operations。以下 导出过滤条件用于导出 Google Cloud Run (GCP_RUN) 日志 通过直接提取机制以及 Cloud Storage 和 接收器

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS 规则集的精选检测

此类别的 AWS 规则集使用 事件数据和情境数据,还包括以下规则集:

  • AWS - 计算:检测围绕 AWS 计算的异常活动 例如 EC2 和 Lambda。
  • AWS - 数据:检测与数据资源(例如 公开提供的 RDS 快照或 S3 存储分区。
  • AWS - GuardDuty:针对行为的情境感知 AWS GuardDuty 提醒。 凭据访问、加密货币挖矿、发现、规避、执行、渗漏、 影响、初始访问、恶意软件、渗透测试、持久性、政策 提升权限和未经授权的访问。
  • AWS - Hacktools:检测 Hacktools 在 AWS 环境中的使用情况,例如 如扫描程序、工具包和框架。
  • AWS - Identity:检测与 IAM 和 身份验证活动,例如来自多个地理位置的异常登录、 创建权限过于宽松的角色或通过可疑工具执行 IAM 活动。
  • AWS - 日志记录和监控:检测与 停用日志记录和监控服务,例如 CloudTrail、CloudWatch、 和 GuardDuty。
  • AWS - 网络:检测对 AWS 网络设置的不安全更改,例如 安全组和防火墙
  • AWS - 组织:检测与贵组织关联的 AWS 活动 (例如添加或删除账号)以及与 区域用量。
  • AWS - Secrets:检测与 Secret、令牌和 密码,例如删除 KMS 密钥或 Secret Manager 密钥。

支持的设备和日志类型

这些规则集已经过测试,并受以下 Google Security Operations 支持 按产品名称和注入标签列出的数据源。

请参阅配置 AWS 的注入 数据 了解如何设置 AWS 数据注入。

如需查看所有受支持的数据源的列表, 请参阅支持的默认解析器

以下部分介绍了规则集所需的数据, 识别数据中的模式。

您可以使用 Amazon Simple Storage Service (Amazon S3) 注入 AWS 数据 存储桶作为来源类型,或者(可选)将 Amazon S3 与 Amazon Simple Queue 搭配使用 Service (Amazon SQS)。概括来讲,您需要执行以下操作:

  • 使用 Amazon SQS 配置 Amazon S3 或 Amazon S3 以收集日志数据。
  • 配置 Google Security Operations Feed 从 Amazon S3 或 Amazon SQS 注入数据

请参阅将 AWS 日志注入 Google Security Operations 了解配置 AWS 服务和配置 用于注入 AWS 数据的 Google Security Operations Feed。

您可以使用 AWS Managed Detection Testing 测试规则验证 AWS 数据 正在提取到 Google Security Operations SIEM 中。这些测试规则有助于验证 AWS 正在按预期注入日志数据。设置 AWS 注入后 因此您可以在 AWS 中执行应触发测试规则的操作。

请参阅“验证针对云威胁的 AWS 数据注入”类别 了解如何使用 AWS Managed Detection Testing 测试规则验证 AWS 数据的注入。

调整规则集返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除可定义用于将事件排除在被 还是由规则集中的特定规则决定创建一个或多个规则排除项 以帮助减少检测量。请参阅配置规则排除项,了解如何操作。

后续步骤