Cloud Threats-Kategorie – Übersicht

Dieses Dokument bietet einen Überblick über die Regelsätze in der Kategorie „Cloud Threats“. erforderlichen Datenquellen und Konfigurationen, mit denen Sie die generierten Benachrichtigungen optimieren können nach jedem Regelsatz. Diese Regelsätze helfen bei der Identifizierung von Bedrohungen in Google Cloud Umgebungen mit Google Cloud-Daten und AWS-Umgebungen mit AWS-Daten.

Regelsatzbeschreibungen

Die folgenden Regelsätze sind in der Kategorie „Cloud Threats“ verfügbar.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Cloud-Erkennung, Untersuchung und Reaktion).

Ausgewählte Erkennungen für Google Cloud-Daten

Google Cloud-Regelsätze unterstützen die Identifizierung von Bedrohungen in Google Cloud-Umgebungen anhand von Ereignissen und Kontextdaten und umfasst die folgenden Regelsätze:

  • Administratoraktion: Aktivitäten im Zusammenhang mit Verwaltungsmaßnahmen, die als verdächtigen, aber potenziell legitimen, je nach Verwendung im Unternehmen.
  • CDIR SCC – erweiterte Datenausschleusung: Enthält kontextsensitive Regeln, die Ergebnisse der Security Command Center-Exfiltration mit anderen Logquellen wie Cloud-Audit-Logs Logs, Kontext zum Schutz sensibler Daten, BigQuery-Kontext und Security Command Center Logs mit fehlerhafter Konfiguration.
  • CDIR SCC – Erweiterte Umgehung von Abwehrmaßnahmen: Enthält kontextsensitive Regeln, die Ergebnisse von Security Command Center-Umgehung oder Umgehung von Abwehrmaßnahmen mit Daten von anderen Google Cloud-Datenquellen wie Cloud-Audit-Logs
  • Erweiterte Malware für CDIR SCC: Enthält kontextsensitive Regeln, Security Command Center Malware-Ergebnisse mit Daten wie dem Vorkommen von IP-Adressen Adressen und Domains und deren Prävalenzwerte sowie weitere Daten wie Cloud DNS-Logs.
  • Verbesserte Persistenz gemäß CDIR SCC: Enthält kontextsensitive Regeln, die Security Command Center-Persistenzergebnisse mit Daten aus Quellen wie Cloud DNS Logs und IAM-Analyselogs.
  • Erweiterte Ausweitung der Rechteausweitung gemäß CDIR SCC: Enthält kontextsensitive Regeln, die Ergebnisse der Ausweitung der Security Command Center-Rechte mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs.
  • CDIR SCC-Anmeldedatenzugriff: Enthält kontextsensitive Regeln, die Security Command Center-Anmeldedatenzugriff auf Ergebnisse mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs
  • CDIR SCC Enhanced Discovery: Enthält kontextsensitive Regeln, die Die Eskalationsergebnisse von Security Command Center Discovery mit Daten aus Quellen wie als Google Cloud-Dienste und Cloud-Audit-Logs.
  • CDIR SCC Brute Force: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Brute-Force-Eskalationsergebnisse mit Daten wie Cloud DNS-Logs.
  • CDIR SCC-Datenvernichtung: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Ergebnisse der Eskalation zum Löschen von Daten mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs.
  • CDIR SCC: Systemwiederherstellung verhindern: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Die Ergebnisse der Systemwiederherstellung durch Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs verhindern.
  • CDIR SCC-Ausführung: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Ausführungsergebnisse mit Daten aus mehreren anderen Datenquellen wie Cloud-Audit-Logs.
  • Anfänglicher CDIR-SCC-Zugriff: Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Ergebnisse des anfänglichen Zugriffs mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs.
  • CDIR SCC: Impair Defenses (CDIR-SCC): Enthält kontextsensitive Regeln, die mit Security Command Center korrelieren. Beeinträchtigen Sie Abwehrergebnisse mit Daten aus verschiedenen anderen Datenquellen wie Cloud-Audit-Logs.
  • Auswirkungen von CDIR-SCC: Enthält Regeln, die Ergebnisse vom Typ Auswirkung von Security Command Center mit der Klassifizierung „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“ erkennen.
  • CDIR SCC Cloud IDS: Enthält Regeln, die Ergebnisse des Cloud Intrusion Detection System aus Security Command Center erkennen als „Kritisch“, „Hoch“, „Mittel“ und „Niedrig“.
  • CDIR SCC Cloud Armor: Enthält Regeln, die Google Cloud Armor-Ergebnisse aus Security Command Center erkennen.
  • Benutzerdefiniertes Modul für CDIR SCC: Enthält Regeln, die Ergebnisse des benutzerdefinierten Event Threat Detection-Moduls aus Security Command Center erkennen.
  • Cloud-Hacktool: Aktivitäten, die von bekannten anstößigen Sicherheitsplattformen erkannt wurden oder von unangemessenen Tools oder Software, die weltweit von speziell auf Cloud-Ressourcen ausgerichtet.
  • Cloud SQL Ransom: Erkennt Aktivitäten im Zusammenhang mit Daten-Exfiltration oder Lösegeldforderungen Daten in Cloud SQL-Datenbanken.
  • Verdächtige Tools in Kubernetes: Erkennt Ausspähung und Exploit in offenen Umgebungen Kubernetes-Quelltools.
  • Kubernetes-RBAC-Missbrauch: Erkennt Kubernetes-Aktivitäten, die mit dem Missbrauch von Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), bei der Rechteausweitung oder seitliche Bewegung versucht wird.
  • Sensible Aktionen für Kubernetes-Zertifikate: Erkennt Aktionen von Kubernetes-Zertifikaten und -Anfragen zur Zertifikatssignierung (Certificate Signing Request, CSR), die verwendet werden können, um Persistenz zu schaffen oder Berechtigungen auszuweiten.
  • IAM-Missbrauch: Aktivitäten im Zusammenhang mit dem Missbrauch von IAM-Rollen und ‐Berechtigungen für Potenzielle Rechteeskalierung oder seitliche Migration innerhalb einer bestimmten Cloud oder in einer Cloud-Organisation.
  • Potenzielle Exfil-Aktivitäten: Erkennt Aktivitäten, die mit potenziellen Exfiltration von Daten.
  • Ressourcen-Maskierung: Erkennt Google Cloud-Ressourcen, die mit Namen oder einer anderen Ressource oder eines anderen Ressourcentyps. Dabei kann es sich um wird verwendet, um schädliche Aktivitäten zu verbergen, die von oder in der Ressource ausgeführt werden, mit dem legitim erscheinen.
  • Serverlose Bedrohungen : Erkennt Aktivitäten, die mit einer potenziellen Gefährdung oder einem Missbrauch serverloser Lösungen in Verbindung stehen Ressourcen in Google Cloud, z. B. Cloud Run und Cloud Functions.
  • Dienststörung: Erkennt destruktive oder störende Aktionen, wenn in einer funktionierenden Produktionsumgebung ausgeführt werden, erheblicher Ausfall. Das erkannte Verhalten ist häufig und wahrscheinlich harmlos in Test- und Entwicklungsumgebungen.
  • Verdächtiges Verhalten: Aktivitäten, die in in den meisten Umgebungen.
  • Verdächtige Infrastrukturänderung: Erkennt Änderungen an der Produktion die den bekannten Persistenztaktiken entsprechen,
  • Geschwächte Konfiguration: Aktivitäten, die mit der Schwächung oder Verschlechterung einer und Sicherheitskontrollen. Als verdächtig oder möglicherweise legitim eingestuft, für die Unternehmensnutzung.
  • Potenzielle Exfiltration von Insider-Daten durch Chrome: Erkennt Aktivitäten im Zusammenhang mit mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensible Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen von Chrome, die im Vergleich zu einem 30-Tage-Baseline als anomal eingestuft wurden.
  • Potenzielle Exfiltration von Insider-Daten aus Google Drive: Erkennt Aktivitäten im Zusammenhang mit mit potenziellen Insiderbedrohungen wie Daten-Exfiltration oder dem Verlust potenziell sensible Daten außerhalb einer Google Workspace-Organisation. Dazu gehören von Drive als im Vergleich zu einem 30-Tage-Baseline als anomal eingestuft wird.
  • Potenzielle Exfiltration von Insider-Daten durch Gmail: Erkennt Aktivitäten im Zusammenhang mit potenzielle Insiderbedrohungen wie Daten-Exfiltration oder den Verlust potenziell sensible Daten außerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen von Gmail wird im Vergleich zu einem 30-tägigen Normalbereich als anomal eingestuft.
  • Potenzielle Manipulation von Google Workspace-Konten: Erkennt Verhaltensweisen von Insidern, die darauf hinweisen Das Konto könnte potenziell manipuliert worden sein und zu Berechtigungen führen Eskalationsversuche oder laterale Ausbreitungsversuche innerhalb einer Google Workspace-Organisation. Dazu gehören Verhaltensweisen, die im Vergleich zu einem 30-Tage-Baseline als selten oder anomal eingestuft werden.
  • Verdächtige Workspace-Verwaltungsaktionen: Verhaltensweisen erkennen, die auf potenzielle Kunden hinweisen. Sicherheits- oder Sicherheitsherabstufungen oder seltene und ungewöhnliche Verhaltensweisen, die letzten 30 Tage von Nutzern mit höheren Berechtigungen entfernt wurden, z. B. Administratoren.

Die Abkürzung CDIR steht für Cloud Detection, Investigation, and Response (Cloud-Erkennung, Untersuchung und Reaktion).

Unterstützte Geräte und Protokolltypen

In den folgenden Abschnitten werden die Daten beschrieben, die für Regelsätze in der Cloud erforderlich sind. der Kategorie „Bedrohungen“.

Informationen zur Aufnahme von Daten aus Google Cloud-Diensten finden Sie unter Cloud-Logs in Google Security Operations aufnehmen. Wenden Sie sich an Ihren Google Security Operations-Mitarbeiter, wenn Sie diese Protokolle benötigen mit einem anderen Mechanismus.

Google Security Operations bietet Standardparser zum Parsen und Normalisieren von Rohprotokollen. von Google Cloud-Diensten aus, um UDM-Einträge mit Daten zu erstellen, die für diese Regelsätze erforderlich sind.

Eine Liste aller von Google Security Operations unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Alle Regelsätze

Zur Verwendung eines Regelsatzes sollten Sie Google Cloud erfassen Cloud-Audit-Logs. Kunden müssen Cloud DNS für bestimmte Regeln aktivieren Logging. Achten Sie darauf, dass Google Cloud-Dienste zum Aufzeichnen konfiguriert sind Daten in folgende Logs speichern:

Cloud SQL-Ransom-Regelsatz

Zur Verwendung des Regelsatzes Cloud SQL Ransom empfiehlt es sich, die folgenden Google Cloud-Daten zu erfassen:

Erweiterte CDIR-SCC-Regelsätze

Alle Regelsätze, die mit CDIR SCC Enhanced beginnen, verwenden Security Command Center Premium Ergebnisse, die mit mehreren anderen Logquellen von Google Cloud kontextualisiert wurden, darunter:

  • Cloud-Audit-Logs
  • Cloud DNS-Logs
  • Analyse der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
  • Kontext zum Schutz sensibler Daten
  • BigQuery-Kontext
  • Compute Engine-Kontext

Wir empfehlen Ihnen, die folgenden Google Cloud-Daten zu erfassen, um Regelsätze mit erweiterten CDIR SCC zu verwenden:

  • Die Protokolldaten, die in der Regel Alle set hinzu.

  • Die folgenden Logdaten werden nach Produktname und Aufnahmelabel für Google Security Operations aufgelistet:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Schutz sensibler Daten (GCP_DLP_CONTEXT)
    • Cloud-Audit-Logs (GCP_CLOUDAUDIT)
    • Google Workspace-Aktivitäten (WORKSPACE_ACTIVITY)
    • Cloud DNS-Abfragen (GCP_DNS)

  • Das folgende Security Command Center-Ergebnis Klassen nach findingClass-Kennung und Google Security Operations-Aufnahmelabel:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Die Regelsätze CDIR SCC Enhanced hängen auch von Daten aus Google Cloud-Diensten ab. Damit Sie die erforderlichen Daten an Google Security Operations senden können, müssen Sie Folgendes:

Die folgenden Regelsätze erstellen eine Erkennung, wenn Ergebnisse aus Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service und benutzerdefinierte Module für Event Threat Detection werden identifiziert:

  • CDIR SCC-Cloud-IDS
  • CDIR SCC-Cloud Armor
  • Auswirkungen des CDIR-SCC
  • Verbesserte Persistenz gemäß CDIR SCC
  • CDIR SCC: Erweiterte Umgehung von Abwehrmaßnahmen
  • Benutzerdefiniertes CDIR-SCC-Modul

Regelsatz für Kubernetes verdächtige Tools

Wenn Sie den Regelsatz Kubernetes verdächtige Tools verwenden möchten, sollten Sie Folgendes erfassen: die im Bereich Alle Regelsätze aufgeführten Daten. Sorgen Sie dafür, dass Google Cloud Dienste sind so konfiguriert, dass sie Daten in GKE-Knotenlogs (Google Kubernetes Engine) aufzeichnen.

Kubernetes-RBAC-Regelsatz zum Missbrauch von Apps

Wir empfehlen, Cloud-Audit-Logs zu erfassen, um den Regelsatz zum Missbrauch von Kubernetes-RBAC zu verwenden. im Bereich Alle Regelsätze aufgeführt.

Regelsatz für vertrauliche Aktionen des Kubernetes-Zertifikats

Zur Verwendung des Regelsatzes Sensible Aktionen für Kubernetes-Zertifikate sollten Sie Cloud-Audit-Logs erfassen. im Bereich Alle Regelsätze aufgeführt.

Google Workspace-bezogene Regelsätze

Die folgenden Regelsätze erkennen Muster in Google Workspace-Daten:

  • Mögliche Exfiltration von Insider-Daten durch Chrome
  • Mögliche Exfiltration von Insiderdaten durch Drive
  • Potenzielle Exfiltration von Insider-Daten durch Gmail
  • Mögliche Manipulation von Google Workspace-Konten
  • Verdächtige Workspace-Verwaltungsaktionen

Für diese Regelsätze sind die folgenden Protokolltypen erforderlich, die nach Produktnamen und Aufnahmelabel für Google Security Operations:

  • Arbeitsbereichsaktivitäten (WORKSPACE_ACTIVITY)
  • Workspace-Benachrichtigungen (WORKSPACE_ALERTS)
  • Workspace-ChromeOS-Geräte (WORKSPACE_CHROMEOS)
  • Workspace-Mobilgeräte (WORKSPACE_MOBILE)
  • Workspace-Nutzer (WORKSPACE_USERS)
  • Google Chrome-Verwaltung über die Cloud (CHROME_MANAGEMENT)
  • Gmail-Protokolle (GMAIL_LOGS)

So nehmen Sie die erforderlichen Daten auf:

Regelsatz für serverlose Bedrohungen

Cloud Run-Logs umfassen Anfragelogs und Container Logs, die als Logtyp GCP_RUN aufgenommen werden Google Security Operations GCP_RUN Logs können über die direkte Aufnahme aufgenommen werden oder mithilfe von Feeds und Cloud Storage. Für bestimmte Logfilter und mehr Datenaufnahme Weitere Informationen finden Sie unter Google Cloud-Logs in Google Security Operations exportieren. Die folgenden Exportfilter exportiert Google Cloud Cloud Run-Logs (GCP_RUN) in zusätzlich zu den Standardprotokollen, sowohl über den Mechanismus für die direkte Datenaufnahme Cloud Storage und Senken:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Ausgewählte Erkennungen für AWS-Regelsätze

AWS-Regelsätze in dieser Kategorie helfen bei der Identifizierung von Bedrohungen in AWS-Umgebungen mithilfe von Ereignis- und Kontextdaten und umfasst die folgenden Regelsätze:

  • AWS – Computing: Erkennt anomale Aktivitäten rund um AWS-Computing wie EC2 und Lambda.
  • AWS – Daten: Erkennt AWS-Aktivitäten im Zusammenhang mit Datenressourcen wie RDS-Snapshots oder S3-Buckets, die öffentlich verfügbar gemacht werden.
  • AWS – GuardDuty: Kontextsensitive AWS GuardDuty-Warnungen in Bezug auf Verhalten, Zugriff auf Anmeldedaten, Cryptomining, Erkennung, Umgehung, Ausführung, Exfiltration Auswirkungen, erster Zugriff, Malware, Penetrationstests, Persistenz, Richtlinie Rechteausweitung und unbefugter Zugriff.
  • AWS – Hacktools: Erkennt die Verwendung von Hacktools in einer AWS-Umgebung wie als Scanner, Toolkits und Frameworks.
  • AWS – Identität: Erkennungen für AWS-Aktivitäten im Zusammenhang mit IAM und Authentifizierungsaktivitäten wie ungewöhnliche Anmeldungen von mehreren Standorten aus, Erstellen von zu moderaten Rollen oder IAM-Aktivitäten von verdächtigen Tools
  • AWS – Logging und Monitoring: Erkennt AWS-Aktivitäten im Zusammenhang mit Logging- und Monitoring-Dienste wie CloudTrail, CloudWatch, und GuardDuty.
  • AWS – Netzwerk: Erkennt unsichere Änderungen an AWS-Netzwerkeinstellungen wie wie Sicherheitsgruppen und Firewalls.
  • AWS – Organisation: Erkennt mit Ihrer Organisation verknüpfte AWS-Aktivitäten wie das Hinzufügen oder Entfernen von Konten und unerwartete Ereignisse im Zusammenhang mit Regionsnutzung.
  • AWS – Secrets: Erkennt AWS-Aktivitäten im Zusammenhang mit Secrets, Tokens und (z. B. das Löschen von KMS-Secrets oder Secrets Manager-Secrets).

Unterstützte Geräte und Protokolltypen

Diese Regelsätze wurden getestet und werden mit den folgenden Google Security Operations-Elementen unterstützt Datenquellen, aufgelistet nach Produktname und Aufnahmelabel.

Siehe Aufnahme von AWS konfigurieren Daten finden Sie weitere Informationen zur Einrichtung der Aufnahme von AWS-Daten.

Eine Liste aller unterstützten Datenquellen Siehe Unterstützte Standardparser.

In den folgenden Abschnitten werden die Daten beschrieben, die von Regelsätzen benötigt werden, die Muster in Daten zu erkennen.

Sie können AWS-Daten mit einem Amazon Simple Storage Service (Amazon S3) aufnehmen Bucket als Quelltyp verwenden oder optional Amazon S3 mit Amazon Simple Queue verwenden Dienst (Amazon SQS) Auf übergeordneter Ebene müssen Sie Folgendes tun:

  • Konfigurieren Sie Amazon S3 oder Amazon S3 mit Amazon SQS, um Protokolldaten zu erfassen.
  • Konfigurieren Sie einen Google Security Operations-Feed. um Daten aus Amazon S3 oder Amazon SQS aufzunehmen,

Siehe AWS-Logs in Google Security Operations aufnehmen finden Sie eine detaillierte Anleitung zum Konfigurieren von AWS-Diensten und zum Konfigurieren eines Google Security Operations-Feed zur Aufnahme von AWS-Daten.

Sie können mit AWS Managed Detection Testing Testregeln überprüfen, ob AWS-Daten in Google Security Operations SIEM aufgenommen wird. Diese Testregeln helfen zu überprüfen, ob AWS Logdaten werden wie erwartet aufgenommen. Nach der Einrichtung der AWS-Aufnahme führen Sie Aktionen in AWS aus, die die Testregeln auslösen sollen.

Siehe AWS-Datenaufnahme für die Cloud Threats-Kategorie prüfen finden Sie weitere Informationen dazu, wie Sie die Aufnahme von AWS-Daten mithilfe von AWS Managed Detection Testing-Testregeln verifizieren.

Von Regelsätzen zurückgegebene Abstimmungsbenachrichtigungen

Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden.

Mit einem Regelausschluss werden die Kriterien definiert, anhand derer ein Ereignis von der Auswertung durch Regelsatz oder nach bestimmten Regeln im Regelsatz erfolgen. Einen oder mehrere Regelausschlüsse erstellen um die Anzahl der Erkennungsmechanismen zu reduzieren. Weitere Informationen dazu finden Sie unter Regelausschlüsse konfigurieren.

Nächste Schritte