Présentation de la catégorie des menaces cloud

Compatible avec:

Ce document fournit un aperçu des ensembles de règles de la catégorie "Menaces Cloud", des sources de données requises et de la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque ensemble de règles. Ces ensembles de règles permettent d'identifier les menaces dans Google Cloud à l'aide de données Google Cloud et dans les environnements AWS à l'aide de données AWS.

Descriptions des ensembles de règles

Les ensembles de règles suivants sont disponibles dans la catégorie "Menaces cloud".

L'abréviation CDIR signifie Cloud Detection, Investigation et Response.

Détections sélectionnées pour les données Google Cloud

Les ensembles de règles Google Cloud aident à identifier les menaces dans les environnements Google Cloud à l'aide de données d'événements et de contexte. Ils incluent les ensembles de règles suivants :

  • Action d'administrateur: activité associée aux tâches d'administration, suspect mais potentiellement légitime selon l’utilisation organisationnelle.
  • CDIR SCC Enhanced Exfiltration : contient des règles sensibles au contexte qui corrèlent les résultats d'exfiltration de Security Command Center avec d'autres sources de journaux, telles que les journaux Cloud Audit Logs, le contexte Sensitive Data Protection, le contexte BigQuery et les journaux de mauvaise configuration de Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contient des règles contextuelles corrélées les résultats de Security Command Center Evasion ou Defense Evasion avec des données provenant d'autres Sources de données Google Cloud telles que Cloud Audit Logs
  • CDIR SCC Enhanced Malware: contient des règles contextuelles corrélées Détection de logiciels malveillants de Security Command Center avec des données telles que l'occurrence d'adresses IP d'adresses IP et de domaines, ainsi que leurs scores de prévalence, en plus d'autres données telles que les journaux Cloud DNS.
  • Persistance améliorée de la clause contractuelle type CDIR : contient des règles tenant compte du contexte qui corrèlent les résultats de persistance de Security Command Center avec les données provenant de sources telles que les journaux Cloud DNS et les journaux d'analyse IAM.
  • CDIR SCC Enhanced Privilege Escalation (Éscalade de privilèges améliorée de CDIR SCC) : contient des règles contextuelles qui corrèlent les résultats d'escalade de privilèges de Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Credential Access (CDIR : accès aux identifiants SCC) : contient des règles contextuelles qui corrèlent les résultats de l'accès aux identifiants de Security Command Center avec les données de plusieurs autres sources de données, telles que les journaux d'audit Cloud
  • CDIR SCC Enhanced Discovery: contient des règles contextuelles qui correspondent Résultats de l'escalade de la détection Security Command Center avec des données provenant de sources telles que que les services Google Cloud et Cloud Audit Logs.
  • CDIR SCC Brute Force (CDIR SCC Brute Force) : contient des règles contextuelles qui corrèlent les résultats d'escalade par force brute de Security Command Center avec des données telles que les journaux Cloud DNS.
  • Destruction de données CDIR SCC: contient des règles contextuelles corrélées à Security Command Center Résultats de l'escalade des problèmes de destruction des données avec des données provenant de plusieurs autres sources, telles que Cloud Audit Logs
  • CDIR SCC Inhibit System Recovery: contient les règles contextuelles corrélées à Security Command Center Blocage des résultats de récupération du système avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs
  • Exécution CDIR SCC: contient des règles contextuelles corrélées à Security Command Center Résultats d'exécution avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs
  • CDIR SCC Initial Access : contient des règles contextuelles qui corrèlent les résultats de l'accès initial de Security Command Center avec les données de plusieurs autres sources de données, telles que les journaux d'audit Cloud.
  • Protection contre la compromission des instances CDIR SCC: contient des règles contextuelles corrélées à Security Command Center Atteinte les résultats de défense avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs.
  • CDIR SCC Impact : contient des règles qui détectent les résultats Impact de Security Command Center avec une classification de gravité critique, élevée, moyenne et faible.
  • CDIR SCC Cloud IDS: contient les règles qui détectent les résultats de Cloud Intrusion Detection System provenant de Security Command Center. en classant les niveaux de gravité "Critique", "Élevée", "Moyenne" et "Faible".
  • CDIR SCC Cloud Armor : contient des règles qui détectent les résultats de Google Cloud Armor à partir de Security Command Center.
  • Module personnalisé CDIR SCC: contient les règles qui détectent les résultats du module personnalisé Event Threat Detection provenant de Security Command Center.
  • Outil de piratage cloud : activité détectée à partir de plates-formes de sécurité offensives connues, ou à partir d'outils ou de logiciels offensifs utilisés dans la nature par des acteurs de la menace qui ciblent spécifiquement les ressources cloud.
  • Cloud SQL Ransom: détecte les activités associées à l'exfiltration ou à la rançon dans les bases de données Cloud SQL.
  • Outils Kubernetes suspects : détecte le comportement de reconnaissance et d'exploitation des outils Kubernetes Open Source.
  • Utilisation abusive de Kubernetes RBAC: détecte l'activité Kubernetes associée à l'utilisation abusive de des contrôles d’accès basés sur les rôles (RBAC) qui tentent d’augmenter les privilèges ou de se déplacer latéralement.
  • Actions sensibles aux certificats Kubernetes : détecte les actions des certificats Kubernetes et des requêtes de signature de certificat (CSR) qui pourraient être utilisées pour établir une persistance ou accroître les privilèges.
  • Utilisation abusive d'IAM : activité associée à l'utilisation abusive des rôles et des autorisations IAM pour accroître potentiellement les droits d'accès ou effectuer des mouvements latéraux dans un projet Cloud donné ou dans une organisation Cloud.
  • Activité d'exfiltration potentielle : détecte l'activité associée à une exfiltration potentielle de données.
  • Masquage de ressources: détecte les ressources Google Cloud créées avec des noms ou les caractéristiques d'une autre ressource ou d'un autre type de ressource. Il peut s'agir utilisés pour masquer les activités malveillantes menées par ou au sein de la ressource, de paraître légitimes.
  • Menaces sans serveur : détecte les activités associées à une compromission ou utilisation abusive de l'informatique sans serveur. aux ressources Google Cloud, telles que les fonctions Cloud Run et Cloud Run.
  • Service perturbé: détectez les actions destructrices ou perturbatrices qui, si dans un environnement de production opérationnel, une panne importante. Le comportement détecté est courant et probablement anodin dans des environnements de test et de développement.
  • Comportement suspect : activité considérée comme inhabituelle et suspecte dans la plupart des environnements.
  • Modification suspecte de l'infrastructure : détecte les modifications de l'infrastructure de production qui correspondent à des tactiques de persistance connues.
  • Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'une des contrôles de sécurité. Considéré comme suspect, potentiellement légitime en fonction de l'utilisation de l'organisation.
  • exfiltration potentielle de données internes à partir de Chrome: détecte les activités associées. face à des menaces internes potentielles telles que l'exfiltration ou la perte de données des données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Chrome considérés comme anormaux par rapport à une référence de 30 jours.
  • exfiltration potentielle de données internes à partir de Drive: détecte les activités associées. face à des menaces internes potentielles telles que l'exfiltration ou la perte de données des données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Drive considérés comme anormaux par rapport à une référence de 30 jours.
  • Exfiltration potentielle de données internes depuis Gmail : détecte l'activité associée à des comportements de menace interne potentiels, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements Gmail a été considéré comme anormal par rapport à une période de référence de 30 jours.
  • Compte Workspace potentiellement piraté : détecte les comportements de menace interne indiquant que le compte a pu être piraté et peut entraîner des tentatives d'escalade de privilèges ou de mouvement latéral au sein d'une organisation Google Workspace. Cela inclut les comportements considérés comme rares ou anormaux par rapport à une référence de 30 jours.
  • Actions d'administration suspectes dans Workspace: détecter les comportements indiquant des évasion, rétrogradation de la sécurité, ou comportements rares et anormaux jamais observés dans le au cours des 30 derniers jours par des utilisateurs disposant de droits plus élevés, comme les administrateurs.

L'abréviation CDIR signifie Cloud Detection, Investigation et Response.

Appareils et types de journaux compatibles

Les sections suivantes décrivent les données requises par les ensembles de règles de la catégorie "Menaces Cloud".

Pour ingérer des données à partir de services Google Cloud, consultez Ingérer des journaux Cloud dans Google Security Operations. Contactez votre représentant Google Security Operations si vous avez besoin de collecter ces journaux à l'aide d'un mécanisme différent.

Google Security Operations fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts depuis les services Google Cloud pour créer des enregistrements UDM avec les données requises par ces jeux de règles.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez la section Analyseurs par défaut compatibles.

Tous les jeux de règles

Pour utiliser n'importe quel ensemble de règles, nous vous recommandons de collecter Cloud Audit Logs. Certaines règles exigent que les clients activent Cloud DNS la journalisation. Assurez-vous que les services Google Cloud sont configurés pour enregistrer dans les journaux suivants:

Ensemble de règles de rançon Cloud SQL

Pour utiliser l'ensemble de règles Cloud SQL Ransom, nous vous recommandons de collecter les données Google Cloud suivantes :

Ensembles de règles améliorés de CDIR SCC

Tous les ensembles de règles commençant par le nom CDIR SCC Enhanced utilisent Security Command Center Premium. résultats contextualisés avec plusieurs autres sources de journaux Google Cloud, y compris les suivantes:

  • Cloud Audit Logs
  • Journaux Cloud DNS
  • Analyse de la gestion de l'identité et des accès (IAM)
  • Contexte de la protection des données sensibles
  • Contexte BigQuery
  • Contexte Compute Engine

Pour utiliser les ensembles de règles CDIR SCC Enhanced, nous vous recommandons de collecter les données Google Cloud suivantes:

  • Données de journal listées dans la section Tous les ensembles de règles.

  • Les données de journaux suivantes, répertoriées par nom de produit et étiquette d'ingestion Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protection des données sensibles (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Activité Google Workspace (WORKSPACE_ACTIVITY)
    • Requêtes Cloud DNS (GCP_DNS)

  • Les classes de résultats Security Command Center suivantes, listées par identifiant findingClass et libellé d'ingestion Google Security Operations :

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Les ensembles de règles CDIR SCC Enhanced dépendent également des données des services Google Cloud. Pour envoyer les données requises à Google Security Operations, assurez-vous de remplir les éléments suivants:

Les ensembles de règles suivants créent une détection lorsque des résultats issus de Event Threat Detection de Security Command Center, de Google Cloud Armor, du service d'actions sensibles de Security Command Center et des modules personnalisés pour Event Threat Detection sont identifiés :

  • Cloud IDS CDIR SCC
  • CDIR SCC Cloud Armor
  • Impact de SCC sur CDIR
  • Persistance améliorée CDIR SCC
  • CDIR SCC Enhanced Defense Evasion
  • Module personnalisé SCC CDIR

Ensemble de règles Kubernetes sur les outils suspects

Pour utiliser l'ensemble de règles Outils Kubernetes suspects, nous vous recommandons de collecter les données figurant dans la section Tous les jeux de règles. Assurez-vous que les services Google Cloud sont configurés pour enregistrer les données dans les journaux de nœud Google Kubernetes Engine (GKE).

Ensemble de règles d'utilisation abusive de Kubernetes RBAC

Pour utiliser l'ensemble de règles Utilisation abusive de Kubernetes RBAC, nous vous recommandons de collecter des journaux d'audit Cloud, figurant dans la section Tous les jeux de règles.

Ensemble de règles Kubernetes sur les actions sensibles aux certificats

Pour utiliser l'ensemble de règles Actions sensibles aux certificats Kubernetes, nous vous recommandons de collecter les journaux d'audit Cloud, listés dans la section Tous les ensembles de règles.

Ensembles de règles associés à Google Workspace

Les ensembles de règles suivants détectent des modèles dans les données Google Workspace:

  • Exfiltration potentielle de données internes depuis Chrome
  • Exfiltration potentielle de données internes depuis Drive
  • Exfiltration potentielle de données internes depuis Gmail
  • Risque de piratage de compte Workspace
  • Actions d'administration suspectes dans Workspace

Ces jeux de règles nécessitent les types de journaux suivants, répertoriés par nom de produit et Étiquette d'ingestion Google Security Operations:

  • Activités Workspace (WORKSPACE_ACTIVITY)
  • Alertes Workspace (WORKSPACE_ALERTS)
  • Appareils ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Appareils mobiles Workspace (WORKSPACE_MOBILE)
  • Utilisateurs Workspace (WORKSPACE_USERS)
  • Gestion cloud du navigateur Google Chrome (CHROME_MANAGEMENT)
  • Journaux Gmail (GMAIL_LOGS)

Pour ingérer les données requises, procédez comme suit:

Ensemble de règles "Menaces sans serveur"

Les journaux Cloud Run incluent les journaux de requêtes et les journaux de conteneur, qui sont ingérés en tant que type de journal GCP_RUN dans Google Security Operations. GCP_RUN journaux peuvent être ingérés par ingestion directe à l'aide de flux et de Cloud Storage. Pour des filtres de journaux spécifiques et d'autres fonctions d'ingestion consultez la page Exporter des journaux Google Cloud vers Google Security Operations. Les éléments suivants : Le filtre d'exportation exporte les journaux Google Cloud Run (GCP_RUN) dans aux journaux par défaut via le mécanisme d'ingestion directe et Cloud Storage et Récepteurs:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Détections sélectionnées pour les ensembles de règles AWS

Les ensembles de règles AWS de cette catégorie aident à identifier les menaces dans les environnements AWS à l'aide de données d'événement et de contexte. Ils incluent les ensembles de règles suivants :

  • AWS – Calcul: détecte les activités anormales de calcul AWS. des ressources comme EC2 et Lambda.
  • AWS – Données : détecte l'activité AWS associée aux ressources de données telles que les instantanés RDS ou les buckets S3 mis à la disposition du public.
  • AWS GuardDuty : alertes AWS GuardDuty contextuelles pour le comportement, l'accès aux identifiants, le minage de cryptomonnaies, la découverte, l'évasion, l'exécution, l'exfiltration, l'impact, l'accès initial, les logiciels malveillants, les tests d'intrusion, la persistance, les règles, l'escalade de privilèges et l'accès non autorisé.
  • AWS - Hacktools : détecte l'utilisation de Hacktools dans un environnement AWS, tels que les outils d'analyse, les kits d'outils et les frameworks.
  • AWS - Identity (AWS - Identité) : détections d'activités AWS associées à IAM et à l'activité d'authentification, telles que des connexions inhabituelles à partir de plusieurs zones géographiques, la création de rôles trop permissifs ou l'activité IAM à partir d'outils suspects.
  • AWS – Journalisation et surveillance: détecte l'activité AWS en lien avec la la désactivation des services de journalisation et de surveillance, tels que CloudTrail, CloudWatch, et GuardDuty.
  • AWS - Network (AWS - Réseau) : détecte les modifications non sécurisées des paramètres réseau AWS, tels que les groupes de sécurité et les pare-feu.
  • AWS – Organisation : détecte l'activité AWS associée à votre organisation, comme l'ajout ou la suppression de comptes, et les événements inattendus liés à l'utilisation des régions.
  • AWS – Secrets: détecte l'activité AWS associée aux secrets, aux jetons et aux tels que la suppression de secrets KMS ou Secret Manager.

Appareils et types de journaux compatibles

Ces ensembles de règles ont été testés et sont compatibles avec les opérations de sécurité Google suivantes sources de données, répertoriées par nom de produit et étiquette d'ingestion.

Pour en savoir plus sur la configuration de l'ingestion de données AWS, consultez Configurer l'ingestion de données AWS.

Pour obtenir la liste de toutes les sources de données compatibles, consultez la section Analyseurs par défaut compatibles.

Les sections suivantes décrivent les données requises par les jeux de règles que identifier des modèles dans les données.

Vous pouvez ingérer des données AWS à l'aide d'Amazon Simple Storage Service (Amazon S3) bucket comme type de source ou, éventuellement, utiliser Amazon S3 avec Amazon Simple Queue (Amazon SQS). En règle générale, vous devez effectuer les tâches suivantes :

  • Configurez Amazon S3 ou Amazon S3 avec Amazon SQS pour collecter des données de journal.
  • Configurez un flux Google Security Operations. pour ingérer des données depuis Amazon S3 ou Amazon SQS

Consultez Ingérer les journaux AWS dans Google Security Operations. pour connaître la procédure détaillée permettant de configurer les services AWS et de configurer Flux Google Security Operations pour ingérer les données AWS.

Vous pouvez utiliser les règles de test AWS Managed Detection Testing pour vérifier que les données AWS sont ingérées dans le SIEM Google Security Operations. Ces règles de test permettent de vérifier si les données de journal AWS sont ingérées comme prévu. Après avoir configuré l'ingestion d'AWS vous effectuez des actions dans AWS qui doivent déclencher les règles de test.

Consultez Vérifier l'ingestion de données AWS pour la catégorie "Menaces cloud" pour savoir comment vérifier l'ingestion de données AWS à l'aide des règles de test des tests AWS Managed Detection.

Alertes de réglage renvoyées par les ensembles de règles

Vous pouvez réduire le nombre de détections générées par une règle ou un ensemble de règles à l'aide d'exclusions de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.

Étape suivante