Cloud-Bedrohungskategorie

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Cloudbedrohungen“, die erforderlichen Datenquellen und die Konfiguration, mit der Sie die von jedem Regelsatz generierten Benachrichtigungen optimieren können. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud-Umgebungen mit Google Cloud-Daten und in AWS-Umgebungen mit AWS-Daten.

Regelsatzbeschreibungen

Die folgenden Regelsätze sind in der Kategorie „Cloudbedrohungen“ verfügbar.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response.

Ausgewählte Erkennungsfunktionen für Google Cloud-Daten

Google Cloud-Regelsätze unterstützen die Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten. Sie umfassen die folgenden Regelsätze:

  • Administratoraktion: Aktivität im Zusammenhang mit Verwaltungsaktionen, die als verdächtig, aber je nach Verwendung durch die Organisation möglicherweise legitim eingestuft werden.
  • CDIR SCC Erweiterte Exfiltration: Enthält kontextsensitive Regeln, die die Ergebnisse der Security Command Center-Exfiltration mit anderen Logquellen korrelieren, z. B. Cloud-Audit-Logs, Kontext zum Schutz sensibler Daten, BigQuery-Kontext und Security Command Center-Logs zu Fehlkonfigurationen.
  • CDIR-SCC Enhanced Defense Evasion: Enthält kontextsensitive Regeln, die die Ergebnisse der Security Command Center-Umgehung mit Daten aus anderen Google Cloud-Datenquellen wie Cloud-Audit-Logs korrelieren.
  • Erweiterte Malware für CDIR SCC: Enthält kontextsensitive Regeln, die Malware-Ergebnisse von Security Command Center mit Daten wie dem Auftreten von IP-Adressen und Domains und deren Prävalenzwerte korrelieren, sowie anderen Datenquellen wie Cloud DNS-Logs.
  • Erweiterte Persistenz von CDIR SCC: Enthält kontextsensitive Regeln, die Security Command Center-Persistenzergebnisse mit Daten aus Quellen wie Cloud DNS-Logs und IAM-Analyselogs korrelieren.
  • Ausweitung der erweiterten Berechtigungen für SCC: Enthalten kontextsensitive Regeln, die die Ergebnisse der Ausweitung der Security Command Center-Berechtigungen mit Daten aus verschiedenen anderen Datenquellen korrelieren, z. B. Cloud-Audit-Logs.
  • CDIR-SCC-Anmeldedatenzugriff: Enthält kontextsensitive Regeln, die die Ergebnisse des Security Command Center-Anmeldedatenzugriffs mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs in Beziehung setzen.
  • Erweiterte SCC-Erkennung für CDIR: Enthält kontextsensitive Regeln, die die Ergebnisse der Eskalation von Security Command Center Discovery mit Daten aus Quellen wie Google Cloud-Diensten und Cloud-Audit-Logs korrelieren.
  • CDIR SCC Brute Force: Enthält kontextsensitive Regeln, die die Ergebnisse der Brute-Force-Eskalation in Security Command Center mit Daten wie Cloud DNS-Logs korrelieren.
  • CDIR-SCC-Datenvernichtung: Enthält kontextsensitive Regeln, die die Ergebnisse der Eskalation der Security Command Center-Datenvernichtung mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR SCC Inhibit System Recovery: Enthält kontextsensitive Regeln, die Security Command Center in Beziehung setzen, um die Ergebnisse der Systemwiederherstellung mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs zu verhindern.
  • CDIR-SCC-Ausführung: Enthält kontextsensitive Regeln, die die Ergebnisse der Security Command Center-Ausführung mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR-SCC-Initialzugriff: Enthält kontextsensitive Regeln, die die Ergebnisse des ersten Zugriffs in Security Command Center mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • CDIR SCC Impair Defenses (CDIR) enthält kontextsensitive Regeln, die Security Command Center Impair Defenses-Ergebnisse mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs korrelieren.
  • SCC-Auswirkungen von CDIR: Enthält Regeln, die Ergebnisse von Auswirkungen aus Security Command Center mit der Klassifizierung „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkennen.
  • CDIR SCC Cloud IDS: Enthält Regeln, die Cloud Intrusion Detection System-Ergebnisse aus Security Command Center mit einer Klassifizierung als kritisch, hoch, mittel und niedrig erkennen.
  • CDIR SCC Cloud Armor: Enthält Regeln, die Google Cloud Armor-Ergebnisse von Security Command Center erkennen.
  • Benutzerdefiniertes CDIR-SCC-Modul: Enthält Regeln, die Ergebnisse von benutzerdefinierten Event Threat Detection-Modulen aus Security Command Center erkennen.
  • Cloud-Hacktool: Aktivitäten, die von bekannten anstößigen Sicherheitsplattformen oder von anstößigen Tools bzw. Software erkannt werden, die von Angreifern, die speziell Cloud-Ressourcen angreifen, verwendet werden.
  • Cloud SQL-Ransom: Erkennt Aktivitäten im Zusammenhang mit der Daten-Exfiltration oder dem Lösegeld Lösegeld in Cloud SQL-Datenbanken.
  • Verdächtige Kubernetes-Tools: Erkennt das Ausspähen und Ausnutzen von Open-Source-Kubernetes-Tools.
  • Kubernetes-RBAC-Missbrauch: Erkennt Kubernetes-Aktivitäten im Zusammenhang mit dem Missbrauch von rollenbasierten Zugriffssteuerungen (Role-Based Access Control, RBAC), die die Rechteausweitung oder seitliche Verschiebung versucht.
  • Sensible Aktionen für Kubernetes-Zertifikate: Erkennt Aktionen von Kubernetes-Zertifikaten und Zertifikatsignieranfragen, die zum Sichern von Persistenz oder zum Ausweiten von Berechtigungen verwendet werden können.
  • IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und -Berechtigungen, um innerhalb eines bestimmten Cloud-Projekts oder in einer Cloud-Organisation potenziell Berechtigungen zu eskalieren oder seitlich zu verschieben.
  • Potenzielle Daten-Exfiltration: Erkennt Aktivitäten, die mit einer potenziellen Daten-Exfiltration verbunden sind.
  • Ressourcen-Masquerading: Erkennt Google Cloud-Ressourcen, die mit Namen oder Eigenschaften einer anderen Ressource oder eines anderen Ressourcentyps erstellt wurden. Damit lassen sich schädliche Aktivitäten verbergen, die von oder innerhalb der Ressource ausgeführt werden, um als legitim zu erscheinen.
  • Serverlose Bedrohungen : Erkennt Aktivitäten, die mit einer potenziellen Manipulation oder einem Missbrauch von serverlosen Ressourcen in Google Cloud wie Cloud Run und Cloud Functions verbunden sind.
  • Dienststörung: Erkennen Sie destruktive oder störende Aktionen, die in einer funktionierenden Produktionsumgebung einen erheblichen Ausfall verursachen können. Das erkannte Verhalten ist in Test- und Entwicklungsumgebungen häufig und wahrscheinlich harmlos.
  • Verdächtiges Verhalten: Aktivität, die in den meisten Umgebungen als ungewöhnlich und verdächtig eingestuft wird.
  • Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktionsinfrastruktur, die bekannten Persistenztaktiken entsprechen.
  • Geschwächte Konfiguration: Aktivität, die mit der Schwächung oder Verschlechterung einer Sicherheitskontrolle verbunden ist. Abhängig von der Nutzung durch die Organisation als verdächtig, potenziell legitim eingestuft.
  • Potenzielle Insiderdaten-Exfiltration aus Chrome: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insider-Bedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehört auch das Verhalten von Chrome, das im Vergleich zu einem 30-Tage-Baseline-Modell als anomal eingestuft wird.
  • Potenzielle Insider-Daten-Exfiltration aus Drive: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insider-Bedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehört auch das Verhalten von Drive, das im Vergleich zu einer 30-Tage-Baseline als anomal eingestuft wird.
  • Potenzielle Insiderdaten-Exfiltration aus Gmail: Erkennt Aktivitäten im Zusammenhang mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensibler Daten außerhalb einer Google Workspace-Organisation. Dazu gehört auch das Verhalten von Gmail, das im Vergleich zum 30-Tage-Baseline-Standard als anomal eingestuft wird.
  • Potenzieller Zugriff auf ein Workspace-Konto: Erkennt Verhaltensweisen von Insidern, die darauf hinweisen, dass das Konto möglicherweise manipuliert wurde und zu Versuchen der Rechteausweitung oder Ausbreitung innerhalb einer Google Workspace-Organisation führen kann. Dazu gehören Verhaltensweisen, die im Vergleich zum 30-Tage-Normalbereich als selten oder anomal eingestuft werden.
  • Verdächtige Workspace-Administratoraktionen: Erkennen Sie Verhaltensweisen, die auf potenzielle Umgehungen, Sicherheitsabstufungen oder seltene und ungewöhnliche Verhaltensweisen hinweisen, die in den letzten 30 Tagen bei Nutzern mit höheren Berechtigungen, wie etwa Administratoren, noch nie aufgetreten sind.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response.

Unterstützte Geräte und Protokolltypen

In den folgenden Abschnitten werden die Daten beschrieben, die für Regelsätze in der Kategorie „Cloud-Bedrohungen“ erforderlich sind.

Informationen zum Aufnehmen von Daten aus Google Cloud-Diensten finden Sie unter Cloud-Logs in Chronicle aufnehmen. Wenden Sie sich an Ihren Chronicle-Ansprechpartner, wenn Sie diese Logs mit einem anderen Mechanismus erfassen müssen.

Chronicle bietet Standardparser, die Rohlogs aus Google Cloud-Diensten parsen und normalisieren, um UDM-Einträge mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.

Eine Liste aller von Chronicle unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Alle Regelsätze

Wir empfehlen, Cloud-Audit-Logs von Google Cloud zu erfassen, um einen Regelsatz zu verwenden. Bestimmte Regeln erfordern, dass Kunden Cloud DNS-Logging aktivieren. Achten Sie darauf, dass Google Cloud-Dienste so konfiguriert sind, dass Daten in den folgenden Logs aufgezeichnet werden:

Ransom-Regelsatz für Cloud SQL

Für die Verwendung des Regelsatzes Cloud SQL Ransom empfehlen wir, die folgenden Google Cloud-Daten zu erfassen:

Erweiterte SCC-Regelsätze für CDIR

Alle Regelsätze, die mit dem Namen CDIR SCC Enhanced beginnen, verwenden Security Command Center Premium-Ergebnisse, die mit verschiedenen anderen Google Cloud-Logquellen kontextualisiert sind, darunter:

  • Cloud-Audit-Logs
  • Cloud DNS-Logs
  • Identitäts- und Zugriffsverwaltungsanalyse (Identity and Access Management, IAM)
  • Kontext für den Schutz sensibler Daten
  • BigQuery-Kontext
  • Compute Engine-Kontext

Wir empfehlen, die folgenden Google Cloud-Daten zu erfassen, um die CDIR SCC Enhanced-Regelsätze zu verwenden:

  • Die im Abschnitt Alle Regelsätze aufgeführten Logdaten.

  • Die folgenden Logdaten, aufgelistet nach Produktname und Chronicle-Aufnahmelabel:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Schutz sensibler Daten (GCP_DLP_CONTEXT)
    • Cloud-Audit-Logs (GCP_CLOUDAUDIT)
    • Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
    • Cloud DNS-Abfragen (GCP_DNS)

  • Die folgenden Security Command Center-Ergebnisklassen, aufgelistet nach findingClass-Kennung und Chronicle-Aufnahmelabel:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Die Regelsätze für CDIR SCC Enhanced sind ebenfalls von Daten aus Google Cloud-Diensten abhängig. So senden Sie die erforderlichen Daten an Chronicle:

Die folgenden Regelsätze sorgen für eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, dem Security Command Center Sensitive Actions-Dienst und benutzerdefinierten Modulen für Event Threat Detection identifiziert werden:

  • SCC Cloud IDS in CDIR
  • CDIR SCC Cloud Armor
  • Auswirkungen von CDIR-SCC
  • CDIR SCC Erweiterte Persistenz
  • Umgehung von CDIR SCC Erweiterter Abwehr
  • Benutzerdefiniertes SCC-Modul CDIR

Regelsatz für verdächtige Kubernetes-Tools

Wenn Sie den Regelsatz Verdächtige Kubernetes-Tools verwenden möchten, sollten Sie die im Bereich Alle Regelsätze aufgeführten Daten erfassen. Achten Sie darauf, dass Google Cloud-Dienste so konfiguriert sind, dass sie Daten in Knotenlogs der Google Kubernetes Engine (GKE) aufzeichnen.

Kubernetes-Regelsatz zum RBAC-Missbrauch

Wenn Sie den Regelsatz Kubernetes RBAC-Missbrauch verwenden möchten, sollten Sie Cloud-Audit-Logs erfassen, die im Bereich Alle Regelsätze aufgeführt sind.

Regelsatz für Kubernetes-Zertifikatsaktionen

Wenn Sie den Regelsatz Sensible Aktionen für Kubernetes-Zertifikate verwenden möchten, sollten Sie Cloud-Audit-Logs erfassen, die im Bereich Alle Regelsätze aufgeführt sind.

Regelsätze für Google Workspace

Mit den folgenden Regelsätzen werden Muster in Google Workspace-Daten erkannt:

  • Potenzielle Daten-Exfiltration aus Chrome
  • Potenzielle Exfiltration von Insiderdaten aus Drive
  • Potenzielle Insiderdaten-Exfiltration aus Gmail
  • Potenzieller Manipulation des Workspace-Kontos
  • Verdächtige Verwaltungsaktionen im Arbeitsbereich

Für diese Regelsätze sind die folgenden Logtypen erforderlich, aufgelistet nach Produktname und Chronicle-Aufnahmelabel:

  • Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
  • Workspace-Benachrichtigungen (WORKSPACE_ALERTS)
  • Workspace-ChromeOS-Geräte (WORKSPACE_CHROMEOS)
  • Workspace-Mobilgeräte (WORKSPACE_MOBILE)
  • Workspace-Nutzer (WORKSPACE_USERS)
  • Google Chrome-Verwaltung über die Cloud (CHROME_MANAGEMENT)
  • Gmail-Protokolle (GMAIL_LOGS)

So nehmen Sie die erforderlichen Daten auf:

Regelsatz für serverlose Bedrohungen

Cloud Run-Logs enthalten Anfrage- und Containerlogs, die als GCP_RUN-Logtyp in Chronicle aufgenommen werden. GCP_RUN-Logs können direkt oder über Feeds und Cloud Storage aufgenommen werden. Informationen zu bestimmten Logfiltern und weiteren Details zur Aufnahme finden Sie unter Google Cloud-Logs nach Chronicle exportieren. Mit dem folgenden Exportfilter werden Google Cloud Run-Logs (GCP_RUN) zusätzlich zu den Standardlogs sowohl über den direkten Aufnahmemechanismus als auch über Cloud Storage und Senken exportiert:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Ausgewählte Erkennungen für AWS-Regelsätze

AWS-Regelsätze in dieser Kategorie helfen bei der Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten. Sie enthalten die folgenden Regelsätze:

  • AWS – Compute: Erkennt anomale Aktivität in Bezug auf AWS-Rechenressourcen wie EC2 und Lambda.
  • AWS – Daten: Erkennt AWS-Aktivitäten im Zusammenhang mit Datenressourcen wie RDS-Snapshots oder öffentlich zugänglichen S3-Buckets.
  • AWS – GuardDuty: Kontextsensitive AWS GuardDuty-Benachrichtigungen zu Verhalten, Zugriff auf Anmeldedaten, Kryptomining, Erkennung, Umgehung, Ausführung, Datenausschleusung, Auswirkungen, anfänglichem Zugriff, Malware, Penetrationstests, Persistenz, Richtlinie, Ausweitung der Berechtigungen und nicht autorisierten Zugriff.
  • AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung wie Scanner, Toolkits und Frameworks.
  • AWS – Identität: Erkennung von AWS-Aktivitäten im Zusammenhang mit IAM- und Authentifizierungsaktivitäten wie ungewöhnliche Anmeldungen von mehreren geografischen Standorten, zu moderate Rollenerstellung oder IAM-Aktivitäten von verdächtigen Tools.
  • AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit der Deaktivierung von Logging- und Monitoringdiensten wie CloudTrail, CloudWatch und GuardDuty.
  • AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie Sicherheitsgruppen und Firewalls.
  • AWS – Organisation: Erkennt AWS-Aktivitäten im Zusammenhang mit Ihrer Organisation wie das Hinzufügen oder Entfernen von Konten sowie unerwartete Ereignisse im Zusammenhang mit der Nutzung der Region.
  • AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und Passwörtern, z. B. das Löschen von KMS-Secrets oder Secrets Manager-Secrets.

Unterstützte Geräte und Protokolltypen

Diese Regelsätze wurden getestet und werden für die folgenden Chronicle-Datenquellen unterstützt, die nach Produktname und Aufnahmelabel aufgelistet sind.

Informationen zum Einrichten der Aufnahme von AWS-Daten finden Sie unter Aufnahme von AWS-Daten konfigurieren.

Eine Liste aller unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

In den folgenden Abschnitten werden die erforderlichen Daten beschrieben, die von Regelsätzen benötigt werden, die Muster in Daten identifizieren.

Sie können AWS-Daten mit einem Amazon Simple Storage Service-Bucket (Amazon S3) als Quelltyp aufnehmen oder optional Amazon S3 mit Amazon Simple Queue Service (Amazon SQS) verwenden. Auf übergeordneter Ebene müssen Sie Folgendes tun:

  • Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Logdaten zu erfassen.
  • Konfigurieren Sie einen Chronicle-Feed, um Daten aus Amazon S3 oder Amazon SQS aufzunehmen.

Detaillierte Schritte zum Konfigurieren von AWS-Diensten und zum Konfigurieren eines Chronicle-Feeds für die Aufnahme von AWS-Daten finden Sie unter AWS-Logs in Chronicle aufnehmen.

Mit den Testregeln für AWS Managed Detection können Sie prüfen, ob AWS-Daten in Chronicle SIEM aufgenommen werden. Mit diesen Testregeln lässt sich prüfen, ob AWS-Logdaten wie erwartet aufgenommen werden. Nachdem Sie die Aufnahme von AWS-Daten eingerichtet haben, führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.

Informationen dazu, wie Sie die Aufnahme von AWS-Daten mithilfe von AWS Managed Detection Testing-Testregeln prüfen, finden Sie unter AWS-Datenaufnahme für Cloud-Bedrohungen prüfen.

Von Regelsätzen zurückgegebene Feinabstimmungsbenachrichtigungen

Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die eine Regel oder ein Regelsatz generiert.

Ein Regelausschluss definiert die Kriterien, nach denen ein Ereignis durch den Regelsatz oder durch bestimmte Regeln im Regelsatz von der Auswertung ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der Erkennungen zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte