Informações gerais da categoria de ameaças à nuvem

Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria "Ameaças do Cloud", as origens de dados necessárias e a configuração usada para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças nos ambientes do Google Cloud usando dados do Google Cloud e em ambientes da AWS usando dados da AWS.

Descrições de conjuntos de regras

Os conjuntos de regras a seguir estão disponíveis na categoria Cloud Threats.

A abreviação CDIR significa Cloud Detection, Investigation, and Response.

Detecções selecionadas para dados do Google Cloud

Os conjuntos de regras do Google Cloud ajudam a identificar ameaças nos ambientes do Google Cloud usando dados de evento e contexto e incluem os seguintes conjuntos de regras:

  • Ação do administrador: atividade associada a ações administrativas, considerada suspeita, mas potencialmente legítima dependendo do uso organizacional.
  • Exfiltração aprimorada do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas de exfiltração do Security Command Center a outras origens de registros, como registros de auditoria do Cloud, contexto de proteção de dados sensíveis, contexto do BigQuery e registros de configuração incorreta do Security Command Center.
  • Evasão de defesa reforçada do SCC: contém regras baseadas no contexto que correlacionam as descobertas de evasão do Security Command Center com dados de outras fontes de dados do Google Cloud, como os Registros de auditoria do Cloud.
  • Malware avançado do CDIR SCC: contém regras com reconhecimento de contexto que correlacionam as descobertas de malware do Security Command Center com dados como a ocorrência de endereços IP, domínios e as pontuações de prevalência deles, além de outras fontes de dados, como registros do Cloud DNS.
  • Persistência aprimorada do CDIR SCC: contém regras com reconhecimento de contexto que correlacionam as descobertas do Security Command Center com dados de fontes como registros do Cloud DNS e de análise do IAM.
  • Escalonamento avançado de privilégios aprimorados do SCC: contém regras baseadas no contexto que correlacionam as descobertas de escalonamento de privilégios do Security Command Center aos dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Acesso a credenciais do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas do Acesso a credenciais do Security Command Center com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Descoberta avançada do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas de encaminhamento da descoberta do Security Command Center a dados de fontes como os serviços do Google Cloud e os Registros de auditoria do Cloud.
  • Força bruta do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas de encaminhamento do Security Command Center com dados como os registros do Cloud DNS.
  • Destruição de dados do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas de encaminhamento da destruição de dados do Security Command Center aos dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • CDIR SCC Inhibit System Recovery: contém regras baseadas no contexto que correlacionam as descobertas da Inhibit System Recovery com os dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Execução do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas da execução do Security Command Center com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Acesso inicial do CDIR SCC: contém regras baseadas no contexto que correlacionam as descobertas de acesso inicial do Security Command Center aos dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Defesas de comprometimento do SCC do CDIR: contém regras baseadas no contexto que correlacionam as descobertas do Security Command Center a dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Impacto do SCC do CDIR: contém regras que detectam descobertas de impacto do Security Command Center com uma classificação de gravidade "Crítica", "Alta", "Média" e "Baixa".
  • CDIR SCC Cloud IDS: contém regras que detectam descobertas do sistema de detecção de intrusões do Cloud do Security Command Center com uma classificação de gravidade crítica, alta, média e baixa.
  • CDIR SCC Cloud Armor: contém regras que detectam as descobertas do Google Cloud Armor do Security Command Center.
  • Módulo personalizado do CDIR SCC: contém regras que detectam descobertas do módulo personalizado de detecção de ameaças a eventos do Security Command Center.
  • Cloud Hacktool: atividade detectada de plataformas de segurança ofensivas conhecidas ou de ferramentas ou softwares ofensivos usados livremente por agentes de ameaças voltados especificamente a recursos da nuvem.
  • Ransom do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de dados nos bancos de dados do Cloud SQL.
  • Ferramentas suspeitas do Kubernetes: detecta o comportamento de reconhecimento e exploração das ferramentas do Kubernetes de código aberto.
  • Abuso de RBAC do Kubernetes: detecta atividade do Kubernetes associada ao abuso de controles de acesso baseados em papéis (RBAC) que tentam escalar privilégios ou movimentação lateral.
  • Ações sensíveis ao certificado do Kubernetes: detecta ações de certificados e solicitações de assinatura de certificado (CSR, na sigla em inglês) do Kubernetes que podem ser usadas para estabelecer persistência ou encaminhar privilégios.
  • Abuso do IAM: atividade associada ao abuso de papéis e permissões do IAM para escalonamento de privilégios ou movimentação lateral em um determinado projeto do Cloud ou em uma organização do Cloud.
  • Possível atividade de exfiltração: detecta atividades associadas a possíveis exfiltrações de dados.
  • Mascaramento de recursos: detecta recursos do Google Cloud criados com nomes ou características de outro recurso ou tipo de recurso. Isso pode ser usado para mascarar atividades maliciosas realizadas por ou dentro do recurso, com a intenção de parecer legítimo.
  • Ameaças sem servidor : detecta atividades associadas a possíveis comprometimentos ou abusos de recursos sem servidor no Google Cloud, como o Cloud Run e o Cloud Functions.
  • Interrupção de serviço: detecta ações destrutivas ou disruptivas que, se executadas em um ambiente de produção em funcionamento, podem causar uma interrupção significativa. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
  • Comportamento suspeito: atividade considerada incomum e suspeita na maioria dos ambientes.
  • Alteração de infraestrutura suspeita: detecta modificações na infraestrutura de produção que se alinham a táticas de persistência conhecidas
  • Configuração enfraquecida: atividade associada ao enfraquecimento ou à degradação de um controle de segurança. considerados suspeitos e potencialmente legítimos dependendo do uso organizacional.
  • Possível exfiltração de dados internos do Chrome: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Chrome considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível exfiltração de dados internos do Drive: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Drive considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível exfiltração de dados internos do Gmail: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Gmail considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível comprometimento da conta do Workspace: detecta comportamentos de ameaças internas que indicam que a conta pode ter sido possivelmente comprometida e pode levar a tentativas de escalonamento de privilégios ou tentativas de movimentação lateral em uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anômalos em comparação com um valor de referência de 30 dias.
  • Ações administrativas suspeitas do Workspace: detecte comportamentos que indicam possíveis evasão, downgrade de segurança ou comportamentos raros e anômalos nunca vistos nos últimos 30 dias de usuários com privilégios mais altos, como administradores.

A abreviação CDIR significa Cloud Detection, Investigation, and Response.

Dispositivos e tipos de registro compatíveis

Nas seções a seguir, descrevemos os dados necessários para os conjuntos de regras na categoria "Ameaças da nuvem".

Para ingerir dados dos serviços do Google Cloud, consulte Ingerir os registros do Cloud nas Operações de segurança do Google. Entre em contato com seu representante de Operações de segurança do Google se precisar coletar esses registros com um mecanismo diferente.

As Operações de segurança do Google oferecem analisadores padrão que analisam e normalizam registros brutos de serviços do Google Cloud para criar registros UDM com dados exigidos por esses conjuntos de regras.

Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Todos os grupos de regras

Para usar qualquer conjunto de regras, recomendamos que você colete os Registros de auditoria do Cloud do Google Cloud. Certas regras exigem que os clientes ativem a geração de registros do Cloud DNS. Verifique se os serviços do Google Cloud estão configurados para gravar dados nos seguintes registros:

Conjunto de regras de Ransom do Cloud SQL

Para usar o conjunto de regras Cloud SQL Ransom, recomendamos que você colete os seguintes dados do Google Cloud:

Conjuntos de regras aprimoradas do CDIR SCC

Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam descobertas do Security Command Center Premium contextualizadas com várias outras origens de registro do Google Cloud, incluindo:

  • Registros de auditoria do Cloud
  • Registros do Cloud DNS
  • Análise do Identity and Access Management (IAM)
  • Contexto da proteção de dados sensíveis
  • Contexto do BigQuery
  • Contexto do Compute Engine

Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados do Google Cloud:

  • Dados de registro listados na seção Todos os conjuntos de regras.

  • Os seguintes dados de registro, listados por nome do produto e rótulo de processamento do Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Proteção de Dados Sensíveis (GCP_DLP_CONTEXT)
    • Registros de auditoria do Cloud (GCP_CLOUDAUDIT)
    • Atividade no Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas do Cloud DNS (GCP_DNS)

  • As seguintes classes de descoberta do Security Command Center, listadas pelo identificador findingClass e pelo rótulo de ingestão do Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Os conjuntos de regras CDIR SCC Enhanced também dependem dos dados dos serviços do Google Cloud. Para enviar os dados necessários para as Operações de segurança do Google, faça o seguinte:

Os conjuntos de regras a seguir criam uma detecção quando são identificadas descobertas de detecção de ameaças a eventos do Security Command Center, Google Cloud Armor, Serviço de ações sensíveis do Security Command Center e módulos personalizados para detecção de ameaças a eventos:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impacto do SCC do CDIR
  • Persistência aprimorada do CDIR do SCC
  • Evasão de defesa reforçada do SCC do CDIR
  • Módulo personalizado do SCC CDIR

Conjunto de regras de ferramentas suspeitas do Kubernetes

Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos que você colete os dados listados na seção Todos os conjuntos de regras. Verifique se os serviços do Google Cloud estão configurados para gravar dados nos registros de nós do Google Kubernetes Engine (GKE).

Conjunto de regras de abuso do RBAC do Kubernetes

Para usar o conjunto de regras Abuso do RBAC do Kubernetes, recomendamos coletar os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjunto de regras de ações sensíveis de certificados do Kubernetes

Para usar o conjunto de regras Ações sensíveis ao certificado do Kubernetes, recomendamos coletar os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjuntos de regras relacionadas ao Google Workspace

Os seguintes conjuntos de regras detectam padrões nos dados do Google Workspace:

  • Possível vazamento de dados internos do Chrome
  • Possível exfiltração de dados internos do Drive
  • Possível vazamento de dados internos do Gmail
  • Possível comprometimento da conta do Workspace
  • Ações administrativas suspeitas do Workspace

Esses conjuntos de regras exigem os seguintes tipos de registro, listados por nome do produto e rótulo de processamento do Google Security Operations:

  • Atividades do Workspace (WORKSPACE_ACTIVITY)
  • Alertas do Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS do Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móveis do Workspace (WORKSPACE_MOBILE)
  • Usuários do Workspace (WORKSPACE_USERS)
  • Gerenciamento de nuvem do navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros do Gmail (GMAIL_LOGS)

Para ingerir os dados necessários, faça o seguinte:

Conjunto de regras de ameaças sem servidor

Os registros do Cloud Run incluem registros de solicitação e de contêiner, que são ingeridos como o tipo de registro GCP_RUN nas operações de segurança do Google. Os registros GCP_RUN podem ser ingeridos usando ingestão direta ou usando feeds e o Cloud Storage. Para filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para o Google Security Operations. O filtro de exportação a seguir exporta registros do Google Cloud Run (GCP_RUN), além dos registros padrão, por meio do mecanismo de ingestão direta, bem como do Cloud Storage e de coletores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecções selecionadas para conjuntos de regras da AWS

Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS usando dados de evento e contexto e incluem os seguintes conjuntos de regras:

  • AWS - Computação: detecta atividade anômala em torno de recursos de computação da AWS, como EC2 e Lambda.
  • AWS – Dados: detecta a atividade da AWS associada a recursos de dados, como snapshots do RDS ou buckets do S3 disponibilizados publicamente.
  • AWS - GuardDuty: alertas do AWS GuardDuty baseados no contexto para comportamento, acesso a credenciais, mineração de criptomoedas, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, escalonamento de privilégios e acesso não autorizado.
  • AWS – Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como scanners, kits de ferramentas e frameworks.
  • AWS – Identidade: detecções de atividades da AWS associadas a atividades de IAM e autenticação, como logins incomuns de várias localizações geográficas, criação de papéis excessivamente permissivos ou atividade do IAM de ferramentas suspeitas.
  • AWS – Geração de registros e monitoramento: detecta a atividade da AWS relacionada à desativação de serviços de geração de registros e monitoramento, como CloudTrail, CloudWatch e GuardDuty.
  • AWS - Network: detecta alterações inseguras nas configurações de rede da AWS, como grupos de segurança e firewalls.
  • AWS – Organização: detecta atividades da AWS associadas à sua organização, como a adição ou remoção de contas, e eventos inesperados relacionados ao uso da região.
  • AWS – Secrets: detecta a atividade da AWS associada a secrets, tokens e senhas, como a exclusão de secrets do KMS ou do Secrets Manager.

Dispositivos e tipos de registro compatíveis

Esses conjuntos de regras foram testados e são compatíveis com as seguintes fontes de dados do Google Security Operations, listadas por nome do produto e rótulo de ingestão.

Consulte Configurar a ingestão de dados da AWS para informações sobre como configurar a ingestão de dados da AWS.

Para uma lista de todas as fontes de dados compatíveis, consulte Analisadores padrão compatíveis.

As seções a seguir descrevem os dados necessários necessários para os conjuntos de regras que identificam padrões nos dados.

É possível ingerir dados da AWS usando um bucket do Amazon Simple Storage Service (Amazon S3) como tipo de origem ou, opcionalmente, usando o Amazon S3 com o Amazon Simple Queue Service (Amazon SQS). De modo geral, você precisará fazer o seguinte:

Consulte Ingerir registros da AWS no Google Security Operations para ver as etapas detalhadas necessárias para configurar serviços da AWS e um feed de operações de segurança do Google para ingerir dados da AWS.

Use as regras de teste do Teste de detecção gerenciada da AWS para verificar se os dados da AWS estão sendo ingeridos no Google Security Operations SIEM. Essas regras de teste ajudam a verificar se os dados de registro da AWS estão sendo ingeridos conforme o esperado. Depois de configurar a ingestão de dados da AWS, execute ações na AWS que acionarão as regras de teste.

Consulte Verificar a ingestão de dados da AWS para a categoria de ameaças à nuvem para informações sobre como verificar a ingestão de dados da AWS usando as regras de teste do teste de detecção gerenciada da AWS.

Ajustar alertas retornados por grupos de regras

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

A seguir