Présentation de la catégorie des menaces cloud

Ce document présente les ensembles de règles de la catégorie "Cloud Threats" (Menaces cloud), les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque ensemble de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloud utilisant des données Google Cloud et dans les environnements AWS utilisant des données AWS.

Descriptions des ensembles de règles

Les jeux de règles suivants sont disponibles dans la catégorie "Menaces cloud".

L'abréviation CDIR signifie Cloud Detection, Investigation, and Response.

Détections sélectionnées pour les données Google Cloud

Les ensembles de règles Google Cloud permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de données d'événements et de contexte. Ils incluent les ensembles de règles suivants:

  • Action d'administration: activité associée aux actions d'administration, jugée suspecte, mais potentiellement légitime selon l'utilisation organisationnelle.
  • Exfiltration améliorée de CDIR SCC: contient des règles contextuelles qui associent les résultats de l'exfiltration Security Command Center à d'autres sources de journal, telles que les journaux Cloud Audit Logs, le contexte de protection des données sensibles, le contexte BigQuery et les journaux de mauvaise configuration de Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contient des règles contextuelles qui associent les résultats de Security Command Center Evasion ou Defense Evasion à des données provenant d'autres sources de données Google Cloud telles que Cloud Audit Logs.
  • Logiciel malveillant amélioré CDIR SCC: contient des règles contextuelles qui associent les détections de logiciels malveillants de Security Command Center à des données telles que l'occurrence d'adresses IP et de domaines, ainsi que leurs scores de prévalence, en plus d'autres sources de données telles que les journaux Cloud DNS.
  • Persistance améliorée CDIR SCC: contient des règles contextuelles qui associent les résultats de la persistance Security Command Center aux données provenant de sources telles que les journaux Cloud DNS et les journaux d'analyse IAM.
  • Élévation améliorée des privilèges CDIR SCC: contient les règles contextuelles qui associent les résultats de l'élévation des privilèges de Security Command Center à des données provenant de plusieurs autres sources, telles que Cloud Audit Logs.
  • Accès aux identifiants CDIR SCC: contient les règles contextuelles qui associent les résultats d'accès aux identifiants de Security Command Center avec des données provenant de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • Découverte améliorée CDIR SCC: contient des règles contextuelles qui associent les résultats des escalades à Security Command Center Discovery aux données provenant de sources telles que les services Google Cloud et Cloud Audit Logs.
  • CDIR SCC Force Brute Force: contient les règles contextuelles qui associent les résultats d'escalade de Security Command Center à des données telles que les journaux Cloud DNS.
  • Destruction de données CDIR SCC: contient des règles contextuelles qui associent les résultats de l'escalade de la destruction de données effectuée par Security Command Center avec des données provenant de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contient les règles contextuelles qui associent les résultats de Security Command Center Inhibit System Recovery à des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Exécution CDIR SCC: contient des règles contextuelles qui associent les résultats de l'exécution de Security Command Center avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Accès initial CDIR SCC: contient les règles contextuelles qui associent les résultats de l'accès initial à Security Command Center avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Défense contre les compromissions CDIR SCC: contient des règles contextuelles qui associent les résultats de Security Command Center Impair Defenses à des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Impact SCC SCC: contient les règles qui détectent les résultats d'impact de Security Command Center en classant les niveaux de gravité comme "Critique", "Élevée", "Moyenne" et "Faible".
  • CDIR SCC Cloud IDS: contient les règles qui détectent les résultats de Cloud Intrusion Detection System à partir de Security Command Center avec un niveau de gravité critique, élevé, moyen ou faible.
  • CDIR SCC Cloud Armor: contient les règles qui détectent les résultats Google Cloud Armor provenant de Security Command Center.
  • Module personnalisé CDIR SCC: contient les règles qui détectent les résultats du module personnalisé Event Threat Detection provenant de Security Command Center.
  • Cloud Hacktool: activité détectée à partir de plates-formes de sécurité offensives connues, ou d'outils ou de logiciels offensifs utilisés dans la nature par des acteurs malveillants qui ciblent spécifiquement les ressources cloud.
  • Ransom Cloud SQL: détecte les activités associées à l'exfiltration ou à la rançon de données dans les bases de données Cloud SQL.
  • Outils suspects Kubernetes: détecte les comportements de reconnaissance et d'exploitation à partir des outils Kubernetes Open Source.
  • Utilisation abusive de Kubernetes RBAC: détecte les activités Kubernetes associées à l'utilisation abusive des contrôles des accès basés sur les rôles (RBAC) qui tentent d'élévation des privilèges ou de se déplacer latéralement.
  • Actions sensibles liées aux certificats Kubernetes: détecte les actions liées aux certificats et aux demandes de signature de certificat Kubernetes pouvant être utilisées pour établir une persistance ou élever des privilèges.
  • Utilisation abusive d'IAM: activité associée à l'utilisation abusive des rôles et des autorisations IAM pour potentiellement élever des privilèges ou se déplacer latéralement au sein d'un projet Cloud donné ou au sein d'une organisation cloud.
  • Activité d'exfiltration potentielle: détecte les activités associées à l'exfiltration potentielle de données.
  • Masquage des ressources: détecte les ressources Google Cloud créées avec les noms ou les caractéristiques d'un autre type de ressource ou de ressource. Cela pourrait être utilisé pour masquer une activité malveillante menée par ou au sein de la ressource, dans l'intention de paraître légitime.
  • Menaces sans serveur : détecte les activités associées à une compromission ou à un abus potentiels des ressources sans serveur dans Google Cloud, telles que Cloud Run et Cloud Functions.
  • Service perturbé: détectez les actions destructrices ou perturbatrices qui, si elles sont effectuées dans un environnement de production opérationnel, peuvent entraîner une panne importante. Le comportement détecté est courant et probablement anodin dans les environnements de test et de développement.
  • Comportement suspect: activité considérée comme rare et suspecte dans la plupart des environnements.
  • Modification d'infrastructure suspecte: détecte les modifications apportées à l'infrastructure de production en adéquation avec les tactiques de persistance connues.
  • Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'un contrôle de sécurité. Considérés suspects et potentiellement légitimes selon l'utilisation organisationnelle.
  • exfiltration potentielle de données internes à partir de Chrome: détecte les activités associées à des comportements de menaces internes potentiels, telles que l'exfiltration ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Chrome considérés comme anormaux par rapport à une référence sur 30 jours.
  • exfiltration potentielle de données internes à partir de Drive: détecte les activités associées à des comportements de menaces internes potentiels, telles que l'exfiltration ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Drive considérés comme anormaux par rapport à une référence sur 30 jours.
  • exfiltration potentielle de données internes depuis Gmail: détecte les activités associées à des comportements de menaces internes potentiels, telles que l'exfiltration ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Gmail considérés comme anormaux par rapport à une période de référence de 30 jours.
  • Risque de piratage d'un compte Workspace: détecte les comportements de menaces internes indiquant que le compte a pu être compromis et peut donner lieu à des tentatives d'élévation des privilèges ou de déplacement latéral au sein d'une organisation Google Workspace. Cela inclut les comportements considérés comme rares ou anormaux par rapport à une référence sur 30 jours.
  • Actions d'administration suspectes sur Workspace: détectez les comportements indiquant des risques d'évasion, de rétrogradation de la sécurité, ou des comportements rares et anormaux qui n'ont jamais été observés au cours des 30 derniers jours pour des utilisateurs disposant de droits plus élevés (administrateurs, par exemple).

L'abréviation CDIR signifie Cloud Detection, Investigation, and Response.

Appareils et types de journaux compatibles

Les sections suivantes décrivent les données requises par les ensembles de règles de la catégorie "Menaces cloud".

Pour savoir comment ingérer des données à partir de services Google Cloud, consultez Ingérer des journaux Cloud dans Google Security Operations. Contactez votre représentant Google Security Operations si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Google Security Operations fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts des services Google Cloud pour créer des enregistrements UDM avec les données requises par ces ensembles de règles.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez Analyseurs par défaut compatibles.

Tous les jeux de règles

Pour utiliser n'importe quel ensemble de règles, nous vous recommandons de collecter des journaux Google Cloud Audit Logs. Certaines règles nécessitent que les clients activent la journalisation Cloud DNS. Assurez-vous que les services Google Cloud sont configurés pour enregistrer les données dans les journaux suivants:

Ensemble de règles de rançon Cloud SQL

Pour utiliser l'ensemble de règles de rançon Cloud SQL, nous vous recommandons de collecter les données Google Cloud suivantes:

Ensembles de règles améliorés de CDIR SCC

Tous les ensembles de règles commençant par le nom CDIR SCC Enhanced utilisent les résultats de Security Command Center Premium contextualisés avec plusieurs autres sources de journal Google Cloud, y compris les suivantes:

  • Cloud Audit Logs
  • Journaux Cloud DNS
  • Analyse du Identity and Access Management (IAM)
  • Contexte de la protection des données sensibles
  • Contexte BigQuery
  • Contexte Compute Engine

Pour utiliser les ensembles de règles CDIR SCC Enhanced, nous vous recommandons de collecter les données Google Cloud suivantes:

  • Données de journal répertoriées dans la section Tous les ensembles de règles.

  • Les données de journaux suivantes, répertoriées par nom de produit et étiquette d'ingestion Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protection des données sensibles (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Activité Google Workspace (WORKSPACE_ACTIVITY)
    • Requêtes Cloud DNS (GCP_DNS)

  • Les classes de résultats Security Command Center suivantes, répertoriées par identifiant findingClass et étiquette d'ingestion Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Les ensembles de règles CDIR SCC Enhanced dépendent également des données des services Google Cloud. Pour envoyer les données requises à Google Security Operations, assurez-vous de procéder comme suit:

Les ensembles de règles suivants créent une détection lorsque les résultats de Security Command Center Event Threat Detection, de Google Cloud Armor, du service Sensitive Actions de Security Command Center et des modules personnalisés pour Event Threat Detection sont identifiés:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impact de CDIR SCC
  • Persistance améliorée CDIR SCC
  • Éviction de défense renforcée de CDIR SCC
  • Module personnalisé SCC CDIR

Ensemble de règles Kubernetes "Outils suspects"

Pour utiliser l'ensemble de règles Outils Kubernetes suspects, nous vous recommandons de collecter les données répertoriées dans la section Tous les ensembles de règles. Assurez-vous que les services Google Cloud sont configurés pour enregistrer les données dans les journaux de nœuds Google Kubernetes Engine (GKE).

Ensemble de règles d'utilisation abusive de Kubernetes RBAC

Pour utiliser l'ensemble de règles Utilisation abusive de Kubernetes RBAC, nous vous recommandons de collecter les journaux d'audit Cloud, répertoriés dans la section Tous les ensembles de règles.

Ensemble de règles "Actions sensibles du certificat Kubernetes"

Pour utiliser l'ensemble de règles Actions sensibles liées aux certificats Kubernetes, nous vous recommandons de collecter les journaux d'audit Cloud, répertoriés dans la section Tous les ensembles de règles.

Ensembles de règles associés à Google Workspace

Les ensembles de règles suivants détectent des modèles dans les données Google Workspace:

  • exfiltration potentielle de données internes à partir de Chrome
  • exfiltration potentielle de données internes à partir de Drive
  • exfiltration potentielle de données internes depuis Gmail
  • Risque de piratage de compte Workspace
  • Actions d'administration suspectes dans Workspace

Ces ensembles de règles nécessitent les types de journaux suivants, répertoriés par nom de produit et étiquette d'ingestion Google Security Operations:

  • Activités Workspace (WORKSPACE_ACTIVITY)
  • Alertes Workspace (WORKSPACE_ALERTS)
  • Appareils Workspace ChromeOS (WORKSPACE_CHROMEOS)
  • Appareils mobiles Workspace (WORKSPACE_MOBILE)
  • Utilisateurs Workspace (WORKSPACE_USERS)
  • Gestion cloud du navigateur Google Chrome (CHROME_MANAGEMENT)
  • Journaux Gmail (GMAIL_LOGS)

Pour ingérer les données requises, procédez comme suit:

Ensemble de règles "Menaces sans serveur"

Les journaux Cloud Run incluent les journaux de requêtes et les journaux de conteneur qui sont ingérés en tant que type de journal GCP_RUN dans Google Security Operations. Les journaux GCP_RUN peuvent être ingérés par ingestion directe, ou à l'aide de flux et de Cloud Storage. Pour obtenir des filtres de journaux spécifiques et d'autres informations sur l'ingestion, consultez la page Exporter des journaux Google Cloud vers Google Security Operations. Le filtre d'exportation suivant exporte les journaux Google Cloud Run (GCP_RUN), en plus des journaux par défaut via le mécanisme d'ingestion directe, ainsi que via Cloud Storage et Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Détections sélectionnées pour les ensembles de règles AWS

Les ensembles de règles AWS de cette catégorie permettent d'identifier les menaces dans les environnements AWS à l'aide de données d'événement et de contexte. Ils incluent les jeux de règles suivants:

  • AWS – Calcul: détecte les activités anormales autour des ressources de calcul AWS telles que EC2 et Lambda.
  • AWS – Données: détecte l'activité AWS associée aux ressources de données telles que les instantanés RDS ou les buckets S3 rendus publics.
  • AWS – GuardDuty: alertes contextuelles AWS GuardDuty pour les comportements, l'accès aux identifiants, le minage de cryptomonnaie, la découverte, l'évasion, l'exécution, l'exfiltration, l'impact, l'accès initial, les logiciels malveillants, les tests d'intrusion, la persistance, les règles, l'élévation des privilèges et les accès non autorisés.
  • AWS – Hacktools: détecte l'utilisation d'outils Hacktools tels que des scanners, des kits d'outils et des frameworks dans un environnement AWS.
  • AWS – Identité: détection de l'activité AWS associée à IAM et aux activités d'authentification, telles que des connexions inhabituelles depuis plusieurs emplacements géographiques, la création de rôles trop permissive ou l'activité IAM provenant d'outils suspects.
  • AWS – Journalisation et surveillance: détecte l'activité AWS liée à la désactivation des services de journalisation et de surveillance, tels que CloudTrail, CloudWatch et GuardDuty.
  • AWS – Réseau: détecte les modifications non sécurisées des paramètres réseau AWS, telles que les groupes de sécurité et les pare-feu.
  • AWS – Organisation: détecte l'activité AWS associée à votre organisation, telle que l'ajout ou la suppression de comptes, et les événements inattendus liés à l'utilisation de la région.
  • AWS – Secrets: détecte l'activité AWS associée aux secrets, aux jetons et aux mots de passe, telle que la suppression de secrets KMS ou de Secrets Manager.

Appareils et types de journaux compatibles

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données Google Security Operations suivantes, répertoriées par nom de produit et étiquette d'ingestion.

Pour en savoir plus sur la configuration de l'ingestion de données AWS, consultez Configurer l'ingestion de données AWS.

Pour obtenir la liste de toutes les sources de données compatibles, consultez la section Analyseurs par défaut compatibles.

Les sections suivantes décrivent les données requises par les ensembles de règles qui identifient des modèles dans les données.

Vous pouvez ingérer des données AWS à l'aide d'un bucket Amazon S3 (Amazon Simple Storage Service) en tant que type de source ou, éventuellement, en utilisant Amazon S3 avec Amazon SQS (Amazon Simple Queue Service). De manière générale, vous devrez procéder comme suit:

  • Configurez Amazon S3 ou Amazon S3 avec Amazon SQS pour collecter des données de journal.
  • Configurez un flux Google Security Operations pour ingérer des données depuis Amazon S3 ou Amazon SQS.

Consultez la page Ingérer des journaux AWS dans Google Security Operations pour connaître la procédure détaillée requise pour configurer les services AWS et un flux Google Security Operations afin d'ingérer des données AWS.

Vous pouvez utiliser les règles de test des tests de détection gérés par AWS pour vérifier que les données AWS sont ingérées dans la solution SIEM de Google Security Operations. Ces règles de test permettent de vérifier si les données des journaux AWS sont ingérées comme prévu. Après avoir configuré l'ingestion de données AWS, vous effectuez des actions dans AWS qui doivent déclencher les règles de test.

Consultez Vérifier l'ingestion de données AWS pour la catégorie Cloud Threats pour savoir comment vérifier l'ingestion de données AWS à l'aide des règles de test des tests AWS Managed Detection.

Réglage des alertes renvoyées par les jeux de règles

Les exclusions de règles vous permettent de réduire le nombre de détections qu'une règle ou un ensemble de règles génère.

Une exclusion de règle définit les critères utilisés pour exclure un événement d'être évalué par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume des détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.

Étapes suivantes