Présentation de la catégorie Cloud Threats
Ce document présente les jeux de règles de la catégorie Cloud Threats, les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque jeu de règles. Ces jeux de règles permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de Cloud Audit Logs et incluent les éléments suivants:
- Action d'administration: activité associée à des actions d'administration, jugées suspectes, mais potentiellement légitimes en fonction de l'utilisation de l'organisation.
- Cloud Hacktool: activité détectée à partir de plates-formes de sécurité choquantes connues ou d'outils/logiciels choquants utilisés à l'état sauvage par des meneurs qui ciblent spécifiquement des ressources cloud.
- Abus IAM: activité associée à l'utilisation abusive des rôles et des autorisations IAM pour potentiellement faire remonter les privilèges ou les déplacer latéralement dans un projet Cloud donné ou dans une organisation Cloud.
- Activité d'exfiltration potentielle: détecte l'activité associée à une exfiltration potentielle de données.
- Masquage de ressources: détecte les ressources Google Cloud créées avec des noms ou des caractéristiques d'une autre ressource ou d'un autre type de ressource. Cela pourrait être utilisé pour masquer une activité malveillante effectuée par ou dans la ressource, dans le but de paraître légitime.
- Interruption du service: détecte les actions destructives ou perturbatrices qui, si elles sont effectuées dans un environnement de production opérationnel, peuvent entraîner une panne importante. Le comportement détecté est courant et probablement anodin dans les environnements de test et de développement.
- Comportement suspect: activité considérée comme peu courante et suspecte dans la plupart des environnements.
- Changement suspect d'infrastructure: détecte les modifications apportées à l'infrastructure de production conformément aux tactiques de persistance connues.
- Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'un contrôle de sécurité. Considéré comme suspect, potentiellement légitime selon son utilisation au sein de l'organisation.
Appareils et types de journaux compatibles
La section suivante décrit les données requises par les ensembles de règles de la catégorie Cloud Threats.
Nous vous recommandons de collecter les journaux d'audit Google Cloud. Certaines règles obligent les clients à activer Cloud DNS Logging. Assurez-vous que les services Google Cloud sont configurés pour enregistrer des données dans les journaux suivants:
Pour ingérer ces journaux dans Chronicle, consultez Intégrer les journaux Cloud à Chronicle. Contactez votre représentant Chronicle si vous devez collecter ces journaux à l'aide d'un autre mécanisme.
Pour obtenir la liste de toutes les sources de données compatibles avec Chronicle, consultez la page Analyseurs par défaut compatibles.
Alertes de réglage renvoyées par la catégorie de menaces Cloud
Les jeux de règles de la catégorie Cloud Threats incluent des listes de référence qui vous permettent de contrôler les alertes générées par chaque jeu de règles. Dans chaque liste de référence, vous définissez les critères d'un événement UDM qui excluent l'événement de l'évaluation par le jeu de règles.
Cette section décrit chaque liste de référence et fournit des exemples de valeurs pouvant être fournies dans la liste de référence.
Règle d'action d'administration définie
Cet ensemble de règles utilise les listes de référence suivantes pour identifier les critères d'un événement UDM qui exclut l'événement de l'évaluation.
| Nom générique | Description |
|---|---|
| User-agent HTTP | Nom de la liste de référence : gcti__cld__admin_action__network_http_user_agent__exclusion_list.
La chaîne user-agent HTTP, par exemple |
| Adresse e-mail principale | Nom de la liste de référence : gcti__cld__admin_action__principal_email_address__exclusion_list.
Adresse e-mail associée à l'action signalée, par exemple : |
| Nom de la ressource cible | Nom de la liste de référence : gcti__cld__admin_action__target_resource_name__exclusion_list
Nom de la ressource cible de l'action signalée, par exemple:
|
Ensemble de règles Cloud Hacktool
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement de l'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Adresse e-mail de l'utilisateur principal | Nom de la liste de référence: `gcti__cld__hacktls__principal_user_email_addresses__exclusion_list`.
Adresse e-mail associée à l'action signalée, par exemple : |
| User-agent HTTP | Nom de la liste de référence: `gcti__cld__hacktls__network_http_user_agent__exclusion_list`.
Chaîne de l'agent utilisateur HTTP, par exemple |
| Identifiant d'utilisateur principal | Nom de la liste de référence: `gcti__cld__hacktls__principal_user_userid__exclusion_list`.
ID utilisateur associé à l'action signalée, par exemple |
| Projet Cloud cible | Nom de la liste de référence: `gcti__cld__hacktls__target_cloud_project_name__exclusion_list`.
Nom du projet Google Cloud associé à l'action signalée, par exemple |
Ensemble de règles d'utilisation abusive IAM
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement de l'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Adresse e-mail de l'utilisateur principal | Nom de la liste de référence: gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list.
Adresse e-mail d'origine associée à l'action signalée, par exemple |
| Nom de la ressource cible | Nom de la liste de référence: gcti__cld__iamabuse__target_resource_name__exclusion_list`.
Compte de service ciblé associé à l'action signalée, par exemple |
| User-agent HTTP | Nom de la liste de référence: gcti__cld__iamabuse__network_http_user_agent__exclusion_list.
Chaîne de l'agent utilisateur HTTP, par exemple |
Ensemble de règles d'activité d'exfiltration potentiel
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Nom de la réponse | Nom de la liste de référence : gcti__cld__exfil__answer_name__exclusion_list.
Réponse à la requête DNS donnée, par exemple |
| Nom de la question | Nom de la liste de référence : gcti__cld__exfil__question_name__exclusion_list.
Objet de la requête DNS, par exemple |
| Nom de la ressource | Nom de la liste de référence : gcti__cld__exfil__resource_name__exclusion_list.
Nom d'hôte ou de ressource de la VM effectuant les requêtes DNS. |
| Données de réponse | Nom de la liste de référence: gcti__cld__exfil__response_data__exclusion_list.
Partie de données de la réponse, par exemple |
Ensemble de règles de masquage de ressources
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Nom du projet Cloud cible | Nom de la liste de référence: `gcti__cld__res_masq__target_cloud_project_name__exclusion_list`.
Nom du projet Google Cloud associé à l'action signalée, par exemple project-example-123456 |
| Agent utilisateur HTTP réseau | Nom de la liste de référence: `gcti__cld__res_masq__network_http_user_agent__exclusion_list`.
Nom du user-agent d'origine, par exemple Mozilla/5.0
(Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv)
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0
Chrome/94.0.4606.71 Mobile Safari/537.36. |
| Nom de la ressource cible | Nom de la liste de référence: `gcti__cld__res_masq__target_resource_name__exclusion_list`
Nom de la ressource ciblée par l'action signalée, comme une instance Compute Engine ou un nœud Google Kubernetes Engine. |
Ensemble de règles d'interruption de service
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Adresse e-mail de l'utilisateur principal | Nom de la liste de référence: `gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list`. Adresse e-mail d'origine associée à l'action signalée, par exemple : foobar@example.com |
| Nom du projet Cloud cible | Nom de la liste de référence: `gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list`. Nom du projet Google Cloud ciblé associé à l'action signalée, par exemple : unicorn-prod-424543 |
| User-agent HTTP | Nom de la liste de référence: `gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list`. Chaîne user-agent HTTP susceptible d'identifier la source du trafic réseau, par exemple : Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko)
Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36. |
Ensemble de règles "Comportement suspect"
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Adresse e-mail de l'utilisateur principal | Nom de la liste de référence: `gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list` Adresse e-mail d'origine associée à l'action signalée, par exemple foobar@example.com |
| Adresse e-mail de l'utilisateur cible | Nom de la liste de référence: `gcti__cld__susbehavior__target_user_email_addresses__exclusion_list`. Adresse e-mail ciblée associée à l'action signalée, par exemple : foobar@example.com |
| Nom de la ressource cible | Nom de la liste de référence: `gcti__cld__susbehavior__target_resource_name__exclusion_list`. Nom de la ressource ciblée par l'action signalée. Par exemple, le nom du projet ou le nom de l'instance. |
| Nom du projet Cloud cible | Nom de la liste de référence: `gcti__cld__susbehavior__target_cloud_project_name__exclusion_list`. Nom du projet Google Cloud ciblé associé à l'action signalée, par exemple: unicorn-prod-424543 |
Jeu de règles de modification d'infrastructure suspecte
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement de l'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Nom du projet Cloud cible | Nom de la liste de référence: `gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list` Nom du projet Google Cloud associé à l'action signalée, par exemple project-example-123456 |
| Adresse e-mail de l'utilisateur principal | Nom de la liste de référence: `gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list` Adresse e-mail d'origine associée à l'action signalée, par exemple alice@example.com |
| Agent utilisateur HTTP réseau | Nom de la liste de référence: `gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list` Nom du user-agent d'origine, par exemple Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36.
|
| Nom de la ressource cible | Nom de la liste de référence: `gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list` Nom de la ressource ciblée par l'action signalée, comme un nom de disque Compute ou une image. |
| Libellé d'attribut de ressource cible | Nom de la liste de référence: `gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list` Nom de l'attribut de ressource ciblé par l'action signalée, comme le nom d'un instantané de calcul. |
Ensemble de règles de configuration affaibli
Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par le jeu de règles.
| Nom générique | Description |
|---|---|
| Nom du rôle d'attribut principal | Nom de la liste de référence: gcti__cld__weak_config__principal_attribute_role_name__exclusion_list
Rôle que l'utilisateur principal a appliqué ou attribué à une ressource cible, par exemple:
|
| Adresse e-mail principale | Nom de la liste de référence: gcti__cld__weak_config__principal_email_address__exclusion_list
Adresse e-mail associée à l'action signalée, par exemple : |
| Type d'événement produit | Nom de la liste de référence: gcti__cld__weak_config__product_event_type__exclusion_list
Spécifiez la ressource et la méthode associées à l'événement dans l'action signalée, par exemple:
|
| Nom du projet cible | Nom de la liste de référence: gcti__cld__weak_config__target_project_name__exclusion_list
Nom du projet cible de l'action signalée, par exemple:
|