Informações gerais da categoria de ameaças à nuvem

Este documento contém informações gerais sobre os conjuntos de regras na categoria Ameaças na nuvem, a as fontes de dados necessárias e a configuração usada para ajustar os alertas gerados por cada grupo de regras. Esses conjuntos de regras ajudam a identificar ameaças no Google Cloud ambientes usando dados do Google Cloud e em ambientes da AWS usando dados da AWS.

Descrições de conjuntos de regras

Os conjuntos de regras a seguir estão disponíveis na categoria Cloud Threats.

A abreviação CDIR significa Cloud Detection, Investigation, and Response.

Detecções selecionadas para dados do Google Cloud

Os conjuntos de regras do Google Cloud ajudam a identificar ameaças em ambientes do Google Cloud usando eventos e dados de contexto e inclui os seguintes conjuntos de regras:

  • Ação do administrador: atividade associada a ações administrativas, considerada suspeito, mas potencialmente legítimo, dependendo do uso organizacional.
  • CDIR SCC Enhanced Exfiltration: contém regras baseadas no contexto que correlacionam Descobertas de exfiltração do Security Command Center com outras origens de registros, como os Registros de auditoria do Cloud registros, contexto da proteção de dados sensíveis, contexto do BigQuery e Security Command Center Registros de configuração incorreta.
  • Evasão de defesa reforçada do SCC: contém regras baseadas no contexto que correlacionam Descobertas de Evasão de Defesa ou Evasão do Security Command Center com dados de outros Fontes de dados do Google Cloud, como os Registros de auditoria do Cloud.
  • Malware avançado do CDIR SCC: contém regras baseadas no contexto que correlacionam Descobertas de malware do Security Command Center com dados como a ocorrência de IP endereços e domínios e suas pontuações de prevalência, além de outros dados de dados, como registros do Cloud DNS.
  • Persistência aprimorada CDIR SCC: contém regras baseadas no contexto que correlacionam Descobertas de persistência do Security Command Center com dados de fontes como o Cloud DNS e de análise do IAM.
  • Encaminhamento de privilégios aprimorado do SCC do CDIR: contém regras baseadas no contexto que correlacionam Descobertas de escalonamento de privilégios do Security Command Center com dados de várias outras origens de dados, como os Registros de auditoria do Cloud.
  • Acesso a credenciais do CDIR SCC: contém regras baseadas no contexto que correlacionam Descobertas de acesso a credenciais do Security Command Center com dados de várias outras origens de dados, como os Registros de auditoria do Cloud
  • CDIR SCC Enhanced Discovery: contém regras baseadas no contexto que correlacionam Descobertas de encaminhamento do Security Command Center Discovery com dados de fontes como que os serviços do Google Cloud e os Registros de auditoria do Cloud.
  • Força bruta do CDIR SCC: contém regras baseadas no contexto que correlacionam o Security Command Center. Descobertas de encaminhamento de força bruta com dados como registros do Cloud DNS.
  • Destruição de dados do SCC do CDIR: contém regras baseadas no contexto que correlacionam o Security Command Center. A Destruição de dados escalona as descobertas com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • CDIR SCC Inhibit System Recovery: contém regras baseadas no contexto que correlacionam o Security Command Center. Inibir as descobertas da recuperação do sistema com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Execução do CDIR SCC: contém regras baseadas no contexto que correlacionam o Security Command Center Descobertas de execução com dados de várias outras fontes de dados, como Registros de auditoria do Cloud.
  • Acesso inicial do CDIR SCC: contém regras baseadas no contexto que correlacionam o Security Command Center Descobertas de acesso inicial com dados de várias outras fontes de dados, como Registros de auditoria do Cloud.
  • Defesas de impacto do SCC do CDIR: contém regras baseadas no contexto que correlacionam o Security Command Center. Prejudicar as descobertas do Defesas com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Impacto do SCC do CDIR: contém regras que detectam descobertas de impacto do Security Command Center com uma classificação de gravidade "Crítica", "Alta", "Média" e "Baixa".
  • CDIR SCC Cloud IDS: contém regras que detectam descobertas do sistema de detecção de intrusões do Cloud do Security Command Center com gravidade "Crítica", "Alta", "Média" e "Baixa".
  • CDIR SCC Cloud Armor: contém regras que detectam as descobertas do Google Cloud Armor do Security Command Center.
  • Módulo personalizado do CDIR SCC: contém regras que detectam descobertas do módulo personalizado de detecção de ameaças a eventos do Security Command Center.
  • Cloud Hacktool: atividade detectada de plataformas de segurança ofensivas conhecidas ou de ferramentas ou softwares ofensivos usados livremente por agentes de ameaça visam especificamente os recursos da nuvem.
  • Ransom do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de nos bancos de dados do Cloud SQL.
  • Ferramentas suspeitas do Kubernetes: detecta comportamentos de reconhecimento e exploração abertos de código aberto do Kubernetes.
  • Abuso do RBAC do Kubernetes: detecta atividade do Kubernetes associada ao abuso de controles de acesso baseados em função (RBAC) que tentam escalar privilégios ou movimentação lateral.
  • Ações sensíveis ao certificado do Kubernetes: detecta ações de certificados e solicitações de assinatura de certificado (CSR, na sigla em inglês) do Kubernetes que podem ser usadas para estabelecer persistência ou encaminhar privilégios.
  • Abuso do IAM: atividade associada ao abuso de papéis e permissões do IAM para escalonamento de privilégios ou movimentação lateral em uma determinada nuvem ou em uma organização do Cloud.
  • Possível atividade de exfiltração: detecta atividades associadas a possíveis exfiltração de dados.
  • Mascaramento de recursos: detecta recursos do Google Cloud criados com nomes ou as características de outro recurso ou tipo de recurso. Isso pode ser para mascarar atividades maliciosas realizadas no recurso ou dentro dele, com a a intenção de parecer legítimo.
  • Ameaças sem servidor : detecta atividades associadas a possíveis comprometimentos ou abusos do ambiente sem servidor recursos no Google Cloud, como o Cloud Run e o Cloud Functions.
  • Interrupção do serviço: detecta ações destrutivas ou disruptivas que, se realizada em um ambiente de produção funcional, pode causar uma interrupção significativa do serviço. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
  • Comportamento suspeito: atividade considerada incomum e suspeita em na maioria dos ambientes.
  • Alteração de infraestrutura suspeita: detecta modificações na produção infraestrutura alinhada com táticas conhecidas de persistência
  • Configuração enfraquecida: atividade associada ao enfraquecimento ou à degradação de um o controle de segurança da nuvem. considerados suspeitos, possivelmente legítimos, dependendo uso organizacional.
  • Possível exfiltração de dados de pessoas com informações privilegiadas do Chrome: detecta atividades associadas com possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui do Chrome considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível exfiltração de dados internos do Drive: detecta atividades associadas com possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui do Drive considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível vazamento de dados internos do Gmail: detecta atividade associada a comportamentos de ameaças internas, como exfiltração de dados ou perda de dados dados sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos O Gmail considerou anômalo em comparação com um valor de referência de 30 dias.
  • Possível comprometimento da conta do Workspace: detecta comportamentos de ameaças de pessoas com informações privilegiadas que indicam que a conta poderia ter sido comprometida e levar à violação tentativas de encaminhamento ou tentativas de movimentação lateral dentro de uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anômalos em comparação com um valor de referência de 30 dias.
  • Ações administrativas suspeitas no Workspace: detecte comportamentos que indicam possíveis evasão, downgrade de segurança ou comportamentos raros e anômalos nunca vistos na últimos 30 dias de usuários com privilégios mais altos, como administradores.

A abreviação CDIR significa Cloud Detection, Investigation, and Response.

Dispositivos e tipos de registro compatíveis

As seções a seguir descrevem os dados necessários para os conjuntos de regras no Cloud Ameaças.

Para ingerir dados dos serviços do Google Cloud, consulte Ingerir os registros do Cloud nas Operações de segurança do Google. Entre em contato com seu representante de Operações de segurança do Google se precisar coletar esses registros usando um mecanismo diferente.

As Operações de segurança do Google oferecem analisadores padrão que analisam e normalizam registros brutos dos serviços do Google Cloud para criar registros de UDM com os dados exigidos por esses conjuntos de regras.

Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.

Todos os grupos de regras

Para usar qualquer conjunto de regras, recomendamos que você colete dados do Google Cloud Registros de auditoria do Cloud. Certas regras exigem que os clientes ativem o Cloud DNS geração de registros. Verifique se os serviços do Google Cloud estão configurados para gravar para os seguintes registros:

Conjunto de regras de Ransom do Cloud SQL

Para usar o conjunto de regras Cloud SQL Ransom, recomendamos que você colete os seguintes dados do Google Cloud:

Conjuntos de regras aprimoradas do CDIR SCC

Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam o Security Command Center Premium descobertas contextualizadas com várias outras origens de registros do Google Cloud, incluindo:

  • Registros de auditoria do Cloud
  • Registros do Cloud DNS
  • Análise do Identity and Access Management (IAM)
  • Contexto da proteção de dados sensíveis
  • Contexto do BigQuery
  • Contexto do Compute Engine

Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados do Google Cloud:

  • Os dados de registro listados na regra Todas conjuntos.

  • Os seguintes dados de registro, listados por nome do produto e rótulo de processamento do Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Proteção de Dados Sensíveis (GCP_DLP_CONTEXT)
    • Registros de auditoria do Cloud (GCP_CLOUDAUDIT)
    • Atividade no Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas do Cloud DNS (GCP_DNS)

  • A seguinte descoberta do Security Command Center classes, listadas pelo identificador findingClass e pelo rótulo de ingestão do Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Os conjuntos de regras CDIR SCC Enhanced também dependem dos dados dos serviços do Google Cloud. Para enviar os dados necessários para as Operações de segurança do Google, preencha o seguinte:

Os conjuntos de regras a seguir criam uma detecção quando descobertas da detecção de ameaças a eventos do Security Command Center, O Google Cloud Armor, o Serviço de ações sensíveis do Security Command Center e os módulos personalizados para detecção de ameaças a eventos estão identificados:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impacto do SCC do CDIR
  • Persistência aprimorada do CDIR do SCC
  • Evasão de defesa reforçada do SCC do CDIR
  • Módulo personalizado do SCC CDIR

Conjunto de regras de ferramentas suspeitas do Kubernetes

Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos que você colete os dados listados na seção Todos os grupos de regras. Certifique-se de que o Google Cloud são configurados para registrar dados nos registros de nós do Google Kubernetes Engine (GKE).

Conjunto de regras de abuso do RBAC do Kubernetes

Para usar o conjunto de regras de abuso do RBAC do Kubernetes, recomendamos coletar os Registros de auditoria do Cloud, listados na seção Todos os grupos de regras.

Conjunto de regras de ações sensíveis de certificados do Kubernetes

Para usar o conjunto de regras Ações sensíveis de certificados do Kubernetes, recomendamos coletar os Registros de auditoria do Cloud, listados na seção Todos os grupos de regras.

Conjuntos de regras relacionadas ao Google Workspace

Os seguintes conjuntos de regras detectam padrões nos dados do Google Workspace:

  • Possível vazamento de dados internos do Chrome
  • Possível vazamento de dados internos do Drive
  • Possível vazamento de dados internos do Gmail
  • Possível comprometimento da conta do Workspace
  • Ações administrativas suspeitas do Workspace

Esses grupos de regras exigem os seguintes tipos de registro, listados por nome do produto e Rótulo de processamento do Google Security Operations:

  • Atividades do Workspace (WORKSPACE_ACTIVITY)
  • Alertas do Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS do Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móveis do Workspace (WORKSPACE_MOBILE)
  • Usuários do Workspace (WORKSPACE_USERS)
  • Gerenciamento de nuvem do navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros do Gmail (GMAIL_LOGS)

Para ingerir os dados necessários, faça o seguinte:

Conjunto de regras de ameaças sem servidor

Os registros do Cloud Run incluem registros de solicitação e registros registros que são ingeridos como o tipo GCP_RUN no Operações de segurança do Google. GCP_RUN registros podem ser ingeridos usando ingestão direta ou usando feeds e o Cloud Storage. Para filtros de registro específicos e mais ingestão para mais detalhes, consulte Como exportar registros do Google Cloud para as Operações de segurança do Google. O seguinte filtro de exportação exporta registros do Google Cloud Run (GCP_RUN) em além dos registros padrão, tanto pelo mecanismo de ingestão direta quanto pelo O Cloud Storage e o Coletores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecções selecionadas para conjuntos de regras da AWS

Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS usando dados de evento e contexto e inclui os seguintes conjuntos de regras:

  • AWS - Computação: detecta atividade anômala em torno da computação da AWS recursos como EC2 e Lambda.
  • AWS – Dados: detecta atividade da AWS associada a recursos de dados, como Snapshots do RDS ou buckets do S3 disponibilizados publicamente.
  • AWS - GuardDuty: alertas do AWS GuardDuty baseados no contexto para comportamento, Acesso a credenciais, criptomineração, descoberta, evasão, execução, vazamento, Impacto, Acesso Inicial, Malware, Teste de Penetração, Persistência, Política, Escalonamento de Privilégios e Acesso Não Autorizado.
  • AWS – Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como como scanners, kits de ferramentas e frameworks.
  • AWS - Identidade: detecções de atividades da AWS associadas ao IAM e atividade de autenticação como logins incomuns de várias localizações geográficas; criação de papéis excessivamente permissiva ou atividade do IAM de ferramentas suspeitas.
  • AWS - Logging and Monitoring: detecta a atividade da AWS relacionada ao desativação dos serviços de geração de registros e monitoramento, como CloudTrail, CloudWatch, e o GuardDuty.
  • AWS - Network: detecta alterações inseguras nas configurações de rede da AWS, como como grupos de segurança e firewalls.
  • AWS – Organização: detecta a atividade da AWS associada à sua organização. como a adição ou remoção de contas e eventos inesperados relacionados à uso da região.
  • AWS – Secrets: detecta a atividade da AWS associada a secrets, tokens e como exclusão de secrets do KMS ou do Secrets Manager.

Dispositivos e tipos de registro compatíveis

Esses conjuntos de regras foram testados e têm suporte nas seguintes Operações de segurança do Google fontes de dados listadas por nome do produto e rótulo de ingestão.

Consulte Configurar a ingestão da AWS dados para obter informações sobre como configurar a ingestão de dados da AWS.

Para uma lista de todas as fontes de dados compatíveis, consulte Analisadores padrão compatíveis.

As seções a seguir descrevem os dados necessários para os grupos de regras que e identificar padrões nos dados.

É possível ingerir dados da AWS usando o Amazon Simple Storage Service (Amazon S3) bucket como um tipo de origem ou, opcionalmente, usar o Amazon S3 com o Amazon Simple Queue do Google (Amazon SQS). De modo geral, você precisará fazer o seguinte:

Consulte Ingerir registros da AWS no Google Security Operations e confira as etapas detalhadas necessárias para configurar os serviços da AWS e um Feed de operações de segurança do Google para ingerir dados da AWS.

Use as regras de teste do Teste de Detecção Gerenciada da AWS para verificar se os dados da AWS está sendo transferido para o Google Security Operations SIEM. Essas regras de teste ajudam a verificar se a AWS os dados de registro estão sendo ingeridos conforme esperado. Depois de configurar a ingestão da AWS dados, você realiza ações na AWS que devem acionar as regras de teste.

Consulte Verificar a ingestão de dados da AWS para a categoria de ameaças à nuvem para saber como verificar a ingestão de dados da AWS usando as regras de teste do teste de detecção gerenciada da AWS.

Ajustar alertas retornados por grupos de regras

É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pela pelo grupo de regras ou por regras específicas do grupo de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.

A seguir