Informações gerais da categoria de ameaças à nuvem
Este documento contém informações gerais sobre os conjuntos de regras na categoria Ameaças na nuvem, a as fontes de dados necessárias e a configuração usada para ajustar os alertas gerados por cada grupo de regras. Esses conjuntos de regras ajudam a identificar ameaças no Google Cloud ambientes usando dados do Google Cloud e em ambientes da AWS usando dados da AWS.
Descrições de conjuntos de regras
Os conjuntos de regras a seguir estão disponíveis na categoria Cloud Threats.
A abreviação CDIR significa Cloud Detection, Investigation, and Response.
Detecções selecionadas para dados do Google Cloud
Os conjuntos de regras do Google Cloud ajudam a identificar ameaças em ambientes do Google Cloud usando eventos e dados de contexto e inclui os seguintes conjuntos de regras:
- Ação do administrador: atividade associada a ações administrativas, considerada suspeito, mas potencialmente legítimo, dependendo do uso organizacional.
- Exfiltração aprimorada do CDIR SCC: contém regras baseadas no contexto que correlacionam Descobertas de exfiltração do Security Command Center com outras origens de registros, como os Registros de auditoria do Cloud registros, contexto de proteção de dados sensíveis, contexto do BigQuery e Security Command Center Registros de configuração incorreta.
- CDIR SCC Enhanced Defense Evasion: contém regras com base no contexto que correlacionam as descobertas de Evasion ou Defense Evasion do Security Command Center com dados de outras fontes de dados do Google Cloud, como os Registros de auditoria do Cloud.
- Malware avançado do CDIR SCC: contém regras baseadas no contexto que correlacionam Descobertas de malware do Security Command Center com dados como a ocorrência de IP endereços e domínios e suas pontuações de prevalência, além de outros dados de dados, como registros do Cloud DNS.
- Persistência aprimorada CDIR SCC: contém regras baseadas no contexto que correlacionam Descobertas de persistência do Security Command Center com dados de fontes como o Cloud DNS e registros de análise do IAM.
- Encaminhamento de privilégios aprimorado do SCC do CDIR: contém regras baseadas no contexto que correlacionam Descobertas de escalonamento de privilégios do Security Command Center com dados de várias outras origens de dados, como os Registros de auditoria do Cloud.
- Acesso a credenciais do CDIR SCC: contém regras com base no contexto que correlacionam as descobertas de acesso a credenciais do Security Command Center com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
- CDIR SCC Enhanced Discovery: contém regras baseadas no contexto que correlacionam Descobertas de encaminhamento do Security Command Center Discovery com dados de fontes como que os serviços do Google Cloud e os Registros de auditoria do Cloud.
- Força bruta do CDIR SCC: contém regras baseadas no contexto que correlacionam o Security Command Center. Descobertas de encaminhamento de força bruta com dados como registros do Cloud DNS.
- Destruição de dados do SCC do CDIR: contém regras baseadas no contexto que correlacionam o Security Command Center. A Destruição de dados escalona as descobertas com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
- CDIR SCC Inhibit System Recovery: contém regras com base no contexto que correlacionam as descobertas do Security Command Center Inhibit System Recovery com dados de várias outras fontes de dados, como os registros de auditoria do Cloud.
- Execução do CDIR SCC: contém regras baseadas no contexto que correlacionam o Security Command Center Descobertas de execução com dados de várias outras fontes de dados, como Registros de auditoria do Cloud.
- Acesso inicial do CDIR SCC: contém regras baseadas no contexto que correlacionam o Security Command Center Descobertas de acesso inicial com dados de várias outras fontes de dados, como Registros de auditoria do Cloud.
- CDIR SCC Impair Defenses: contém regras com base no contexto que correlacionam as descobertas do Security Command Center Impair Defenses com dados de várias outras fontes, como os registros de auditoria do Cloud.
- Impacto do SCC do CDIR: contém regras que detectam descobertas de impacto do Security Command Center com uma classificação de gravidade "Crítica", "Alta", "Média" e "Baixa".
- CDIR SCC Cloud IDS: contém regras que detectam descobertas do sistema de detecção de intrusões do Cloud do Security Command Center com classificação de severidade crítica, alta, média e baixa.
- CDIR SCC Cloud Armor: contém regras que detectam as descobertas do Google Cloud Armor do Security Command Center.
- Módulo personalizado do CDIR SCC: contém regras que detectam descobertas do módulo personalizado de detecção de ameaças a eventos do Security Command Center.
- Cloud Hacktool: atividade detectada de plataformas de segurança ofensivas conhecidas ou de ferramentas ou softwares ofensivos usados livremente por agentes de ameaça visam especificamente os recursos da nuvem.
- Ransom do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de nos bancos de dados do Cloud SQL.
- Ferramentas suspeitas do Kubernetes: detecta o comportamento de reconhecimento e exploração de ferramentas de código aberto do Kubernetes.
- Abuso do RBAC do Kubernetes: detecta atividade do Kubernetes associada ao abuso de controles de acesso baseados em função (RBAC) que tentam escalar privilégios ou movimentação lateral.
- Ações sensíveis ao certificado do Kubernetes: detecta ações de certificados e solicitações de assinatura de certificado (CSR, na sigla em inglês) do Kubernetes que podem ser usadas para estabelecer persistência ou encaminhar privilégios.
- Abuso do IAM: atividade associada ao abuso de papéis e permissões do IAM para escalonamento de privilégios ou movimentação lateral em uma determinada nuvem ou em uma organização do Cloud.
- Possível atividade de exfiltração: detecta atividades associadas a possíveis exfiltração de dados.
- Mascaramento de recursos: detecta recursos do Google Cloud criados com nomes ou as características de outro recurso ou tipo de recurso. Isso pode ser usado para mascarar atividades maliciosas realizadas pelo recurso ou dentro dele, com a intenção de parecer legítimo.
- Ameaças sem servidor : detecta atividades associadas a possíveis comprometimentos ou abusos do ambiente sem servidor no Google Cloud, como as funções do Cloud Run e do Cloud Run.
- Interrupção do serviço: detecta ações destrutivas ou disruptivas que, se realizada em um ambiente de produção funcional, pode causar uma interrupção significativa do serviço. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
- Comportamento suspeito: atividade considerada incomum e suspeita em na maioria dos ambientes.
- Alteração de infraestrutura suspeita: detecta modificações na produção infraestrutura alinhada com táticas conhecidas de persistência
- Configuração enfraquecida: atividade associada ao enfraquecimento ou à degradação de um o controle de segurança da nuvem. considerados suspeitos, possivelmente legítimos, dependendo uso organizacional.
- Possível exfiltração de dados de pessoas com informações privilegiadas do Chrome: detecta atividades associadas com possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui do Chrome considerados anômalos em comparação com um valor de referência de 30 dias.
- Possível exfiltração de dados internos do Drive: detecta atividades associadas com possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui do Drive considerados anômalos em comparação com um valor de referência de 30 dias.
- Possível exfiltração de dados internos do Gmail: detecta atividades associadas a possíveis comportamentos de ameaça interna, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos O Gmail considerou anômalo em comparação com um valor de referência de 30 dias.
- Possível comprometimento de conta do Workspace: detecta comportamentos de ameaça interna que indicam que a conta pode ter sido comprometida e pode levar a tentativas de elevação de privilégios ou de movimento lateral em uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anormais em comparação com um período de referência de 30 dias.
- Ações administrativas suspeitas no Workspace: detecte comportamentos que indicam possíveis evasão, downgrade de segurança ou comportamentos raros e anômalos nunca vistos na últimos 30 dias de usuários com privilégios mais altos, como administradores.
A abreviação CDIR significa Detecção, investigação e resposta na nuvem.
Dispositivos e tipos de registro compatíveis
As seções a seguir descrevem os dados necessários para os conjuntos de regras no Cloud Ameaças.
Para ingerir dados dos serviços do Google Cloud, consulte Ingerir os registros do Cloud nas Operações de segurança do Google. Entre em contato com seu representante do Google Security Operations se precisar coletar esses registros usando um mecanismo diferente.
O Google Security Operations fornece analisadores padrão que analisam e normalizam registros brutos dos serviços do Google Cloud para criar registros de UDM com dados exigidos por esses conjuntos de regras.
Para uma lista de todas as fontes de dados compatíveis com as Operações de segurança do Google, consulte Analisadores padrão compatíveis.
Todos os conjuntos de regras
Para usar qualquer conjunto de regras, recomendamos que você colete dados do Google Cloud Registros de auditoria do Cloud. Certas regras exigem que os clientes ativem o Cloud DNS geração de registros. Verifique se os serviços do Google Cloud estão configurados para registrar dados nos seguintes registros:
Conjunto de regras de Ransom do Cloud SQL
Para usar o conjunto de regras Cloud SQL Ransom, recomendamos que você colete os seguintes dados do Google Cloud:
- Dados de registro listados na seção Todos os conjuntos de regras.
- Registros do Cloud SQL.
Conjuntos de regras aprimoradas do SCC do CDIR
Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam o Security Command Center Premium descobertas contextualizadas com várias outras origens de registros do Google Cloud, incluindo:
- Registros de auditoria do Cloud
- Registros do Cloud DNS
- Análise do Identity and Access Management (IAM)
- Contexto da proteção de dados sensíveis
- Contexto do BigQuery
- Contexto do Compute Engine
Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados do Google Cloud:
- Os dados de registro listados na regra Todas conjuntos.
Os seguintes dados de registro, listados por nome do produto e rótulo de processamento do Google Security Operations:
- BigQuery (
GCP_BIGQUERY_CONTEXT
) - Compute Engine (
GCP_COMPUTE_CONTEXT
) - IAM (
GCP_IAM_CONTEXT
) - Proteção de dados sensíveis (
GCP_DLP_CONTEXT
) - Registros de auditoria do Cloud (
GCP_CLOUDAUDIT
) - Atividade no Google Workspace (
WORKSPACE_ACTIVITY
) - Consultas do Cloud DNS (
GCP_DNS
)
- BigQuery (
A seguinte descoberta do Security Command Center classes, listadas pelo identificador
findingClass
e pelo rótulo de ingestão do Google Security Operations:Threat
(GCP_SECURITYCENTER_THREAT
)Misconfiguration
(GCP_SECURITYCENTER_MISCONFIGURATION
)Vulnerability
(GCP_SECURITYCENTER_VULNERABILITY
)SCC Error
(GCP_SECURITYCENTER_ERROR
)
Os conjuntos de regras CDIR SCC Enhanced também dependem dos dados dos serviços do Google Cloud. Para enviar os dados necessários ao Google Security Operations, siga estas etapas:
- Ativar a geração de registros para os produtos e serviços necessários do Google Cloud.
- Ative o Security Command Center Premium e os serviços relacionados.
- Configure a ingestão do Google Cloud registros no Google Security Operations.
- Configure a exportação de descobertas de detecção de ameaças a eventos para as Operações de segurança do Google. Por padrão, todas as descobertas do Security Command Center são processadas. Consulte Como exportar descobertas do Security Command Center para mais informações sobre como os analisadores padrão das Operações de segurança do Google mapeiam os campos de dados.
- Ative os Registros de auditoria do Cloud e configure a exportação deles para as Operações de segurança do Google. Consulte Coletar registros de auditoria do Cloud para mais informações.
- Ative os registros do Google Workspace e envie-os para o Google Security Operations. Consulte Coletar registros do Google Workspace para mais informações.
- Configurar a exportação de metadados do recurso do Google Cloud e dados relacionados ao contexto para as Operações de segurança do Google. Consulte Como exportar metadados de recursos do Google Cloud para o Google Security Operations. e Como exportar dados de proteção de dados sensíveis para as Operações de segurança do Google.
Os conjuntos de regras a seguir criam uma detecção quando descobertas da detecção de ameaças a eventos do Security Command Center, O Google Cloud Armor, o Serviço de ações sensíveis do Security Command Center e os módulos personalizados para detecção de ameaças a eventos estão identificados:
- CDIR SCC Cloud IDS
- CDIR SCC Cloud Armor
- Impacto do SCC do CDIR
- Persistência aprimorada do CDIR SCC
- Evasão de defesa reforçada do SCC do CDIR
- Módulo personalizado do SCC CDIR
Conjunto de regras de ferramentas suspeitas do Kubernetes
Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos coletar os dados listados na seção Todos os conjuntos de regras. Certifique-se de que o Google Cloud são configurados para registrar dados nos registros de nós do Google Kubernetes Engine (GKE).
Conjunto de regras de abuso do RBAC do Kubernetes
Para usar o conjunto de regras de abuso do RBAC do Kubernetes, recomendamos coletar os Registros de auditoria do Cloud, listados na seção Todos os grupos de regras.
Conjunto de regras de ações sensíveis de certificados do Kubernetes
Para usar o conjunto de regras Ações sensíveis a certificados do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.
Conjuntos de regras relacionadas ao Google Workspace
Os seguintes conjuntos de regras detectam padrões nos dados do Google Workspace:
- Possível vazamento de dados internos do Chrome
- Possível vazamento de dados internos do Drive
- Possível exfiltração de dados internos do Gmail
- Possível comprometimento da conta do Workspace
- Ações administrativas suspeitas do Workspace
Esses conjuntos de regras exigem os seguintes tipos de registro, listados por nome do produto e rótulo de transferência do Google Security Operations:
- Atividades do Workspace (
WORKSPACE_ACTIVITY
) - Alertas do Workspace (
WORKSPACE_ALERTS
) - Dispositivos ChromeOS do Workspace (
WORKSPACE_CHROMEOS
) - Dispositivos móveis do Workspace (
WORKSPACE_MOBILE
) - Usuários do Workspace (
WORKSPACE_USERS
) - Gerenciamento de nuvem do navegador Google Chrome (
CHROME_MANAGEMENT
) - Registros do Gmail (
GMAIL_LOGS
)
Para ingerir os dados necessários, faça o seguinte:
Colete os dados listados na seção Todos os conjuntos de regras deste documento.
Consulte Ingerir os dados do Google Workspace nas Operações de segurança do Google para coletar os registros
WORKSPACE_ACTIVITY
,WORKSPACE_CHROMEOS
,CHROME_MANAGEMENT
eGMAIL
.Consulte Coletar registros do Google Workspace. para ingerir os seguintes registros:
WORKSPACE_ALERTS
WORKSPACE_MOBILE
WORKSPACE_USERS
Conjunto de regras de ameaças sem servidor
- Colete os dados listados na seção Todos os conjuntos de regras deste documento.
- Registros do Cloud Run (
GCP_RUN
).
Os registros do Cloud Run incluem registros de solicitação e registros
registros que são ingeridos como o tipo GCP_RUN
no
Operações de segurança do Google. GCP_RUN
registros podem ser ingeridos usando ingestão direta ou
usando feeds e o Cloud Storage. Para filtros de registro específicos e mais ingestão
para mais detalhes, consulte Como exportar registros do Google Cloud para as Operações de segurança do Google. O seguinte
filtro de exportação exporta registros do Google Cloud Run (GCP_RUN
) em
além dos registros padrão, tanto pelo mecanismo de ingestão direta quanto pelo
O Cloud Storage e o
Coletores:
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
Detecções selecionadas para conjuntos de regras da AWS
Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS usando dados de evento e contexto e inclui os seguintes conjuntos de regras:
- AWS - Computação: detecta atividade anômala em torno da computação da AWS recursos como EC2 e Lambda.
- AWS - Data: detecta a atividade da AWS associada a recursos de dados, como snapshots do RDS ou buckets do S3 disponibilizados publicamente.
- AWS - GuardDuty: alertas do AWS GuardDuty baseados no contexto para comportamento, Acesso a credenciais, criptomineração, descoberta, evasão, execução, vazamento, Impacto, Acesso Inicial, Malware, Teste de Penetração, Persistência, Política, Escalonamento de Privilégios e Acesso Não Autorizado.
- AWS – Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como como scanners, kits de ferramentas e frameworks.
- AWS - Identidade: detecções de atividades da AWS associadas ao IAM e atividade de autenticação, como logins incomuns de várias localizações geográficas; criação de papéis excessivamente permissiva ou atividade do IAM de ferramentas suspeitas.
- AWS - Logging and Monitoring: detecta a atividade da AWS relacionada ao desativação dos serviços de geração de registros e monitoramento, como CloudTrail, CloudWatch, e o GuardDuty.
- AWS - Network: detecta alterações inseguras nas configurações de rede da AWS, como como grupos de segurança e firewalls.
- AWS – Organização: detecta a atividade da AWS associada à sua organização. como a adição ou remoção de contas e eventos inesperados relacionados à uso da região.
- AWS – Secrets: detecta a atividade da AWS associada a secrets, tokens e como exclusão de secrets do KMS ou do Secrets Manager.
Dispositivos e tipos de registro compatíveis
Esses conjuntos de regras foram testados e têm suporte nas seguintes Operações de segurança do Google fontes de dados listadas por nome do produto e rótulo de ingestão.
- CloudTrail da AWS (
AWS_CLOUDTRAIL
) - AWS GuardDuty (
GUARDDUTY
) - HOSTS EC2 da AWS (
AWS_EC2_HOSTS
) - INSTÂNCIAS DO AWS EC2 (
AWS_EC2_INSTANCES
) - AWS EC2 VPCs (
AWS_EC2_VPCS
) - Identity and Access Management (IAM) da AWS (
AWS_IAM
)
Consulte Configurar a ingestão da AWS dados para obter informações sobre como configurar a ingestão de dados da AWS.
Para uma lista de todas as fontes de dados compatíveis, consulte Analisadores padrão compatíveis.
As seções a seguir descrevem os dados necessários para os grupos de regras que e identificar padrões nos dados.
É possível ingerir dados da AWS usando o Amazon Simple Storage Service (Amazon S3) bucket como um tipo de origem ou, opcionalmente, usar o Amazon S3 com o Amazon Simple Queue do Google (Amazon SQS). De modo geral, você precisará fazer o seguinte:
- Configure o Amazon S3 ou o Amazon S3 com o Amazon SQS para coletar dados de registro.
- Configure um feed de operações de segurança do Google para processar dados do Amazon S3 ou do Amazon SQS.
Consulte Ingerir registros da AWS no Google Security Operations e confira as etapas detalhadas necessárias para configurar os serviços da AWS e um Feed de operações de segurança do Google para ingerir dados da AWS.
Use as regras de teste do Teste de Detecção Gerenciada da AWS para verificar se os dados da AWS está sendo transferido para o Google Security Operations SIEM. Essas regras de teste ajudam a verificar se a AWS os dados de registro estão sendo ingeridos conforme esperado. Depois de configurar a ingestão da AWS dados, você realiza ações na AWS que devem acionar as regras de teste.
Consulte Verificar a ingestão de dados da AWS para a categoria de ameaças à nuvem para saber como verificar a ingestão de dados da AWS usando as regras de teste do teste de detecção gerenciada da AWS.
Ajustar alertas retornados por grupos de regras
É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras.
Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pela pelo grupo de regras ou por regras específicas do grupo de regras. Crie uma ou mais exclusões de regras para reduzir o volume de detecções. Consulte Configurar exclusões de regras para informações sobre como fazer isso.