Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Présentation de la catégorie "Menaces du cloud"

Ce document présente les jeux de règles de la catégorie Cloud Threats, les sources de données requises et la configuration que vous pouvez utiliser pour régler les alertes générées par chaque ensemble de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de Cloud Audit Logs, et incluent les éléments suivants:

  • Action d'administration: activité associée à des actions d'administration, considérées comme suspectes, mais potentiellement légitimes en fonction de l'utilisation dans l'organisation.
  • Cloud Hacktool: activité détectée par des plates-formes de sécurité choquantes connues ou
    par des outils/logiciels choquants utilisés à l'état sauvage par des acteurs malintentionnés qui ciblent spécifiquement des ressources cloud
  • Utilisation abusive d'IAM: activité associée à l'utilisation abusive des rôles et des autorisations IAM pour
    Play Store peut être privilégiée ou latéralement, au sein d'un projet Cloud donné ou dans une organisation Cloud.
  • Activité potentielle d'exfiltration: détecte l'activité associée à une exfiltration potentielle de données.
  • Perturbation du service: détecte les actions destructives ou perturbatrices qui, si elles sont effectuées dans un environnement de production fonctionnel, peuvent entraîner une panne importante. Le comportement détecté est courant et probablement sans danger dans les environnements de test et de développement.
  • Comportement suspect: activité suspecte et peu courante dans
    la plupart des environnements.
  • Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'un contrôle de sécurité. Considérée comme suspecte, potentiellement légitime en fonction de l'utilisation de l'organisation.
  • Modification suspecte de l'infrastructure: détecte les modifications apportées à l'infrastructure de production conformément aux tactiques de persistance connues

Appareils et types de journaux compatibles

La section suivante décrit les données requises par les ensembles de règles de la catégorie Cloud Threats.

Nous vous recommandons de collecter les journaux d'audit Google Cloud. Certaines règles exigent que les clients activent la journalisation Cloud DNS. Assurez-vous que les services Google Cloud sont configurés pour enregistrer des données dans les journaux suivants:

Pour ingérer ces journaux dans Chronicle, consultez la section Intégrer des journaux Cloud à Chronicle. Contactez votre représentant Chronicle si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Pour obtenir la liste de toutes les sources de données compatibles avec Chronicle, consultez la page Analyseurs par défaut compatibles.

Alertes de réglage renvoyées par la catégorie Cloud Threats

Les jeux de règles de la catégorie Cloud Threats incluent des listes de référence qui vous permettent de contrôler les alertes générées par chaque ensemble de règles. Dans chaque liste de référence, vous définissez les critères d'un événement UDM qui exclut l'événement d'évaluation par l'ensemble de règles.

Cette section décrit chaque liste de référence et fournit des exemples de valeurs pouvant être fournies dans la liste de référence.

Ensemble de règles d'action d'administration

Cet ensemble de règles utilise les listes de référence suivantes pour identifier les critères d'un événement UDM qui exclut l'événement de l'évaluation.

Nom générique Description
Adresse e-mail principale Nom de la liste de référence : gcticldadminaction_principal_emailaddress_exclusion_list

E-mail address associated with the flagged action, for example: foobar@google.com

Nom de la ressource cible Nom de la liste de référence : gcti__cld__admin_action__target_resource_name__exclusion_list

Nom de la ressource cible de l'action signalée, par exemple:

projet/foobar

organisation/foobar

instance/foobar

Ensemble de règles Cloud Hacktool

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement de l'évaluation par l'ensemble de règles.

Nom générique Description
Adresse e-mail de l'utilisateur principal Nom de la liste de référence : gcti__cld__hacktls__principal_user_email_addresses__exclusion_list
Adresse e-mail associée à l'action signalée, par exemple foobar@example.com
User-agent HTTP Nom de la liste de référence : gcti__cld__hacktls__network_http_user_agent__exclusion_list
User-agent HTTP, par exemple Mozilla/5.0 (Linux ; Android 12 ; Pixel 6 Build/SD1A.210817.023 ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.6.76
Identifiant de l'utilisateur principal Nom de la liste de référence : gcti__cld__hacktls__principal_user_userid__exclusion_list
ID utilisateur associé à l'action signalée, par exemple "123456789012345678901" ou "system:serviceaccount:foo:bar"
Projet Cloud cible Nom de la liste de référence : gcti__cld__hacktls__target_cloud_project_name__exclusion_list
Nom du projet Cloud associé à l'action signalée, par exemple project-foobar-123

Règle d'utilisation abusive d'IAM

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement de l'évaluation par l'ensemble de règles.

Nom générique Description
Adresse e-mail de l'utilisateur principal Nom de la liste de référence : gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list
Adresse e-mail d'origine associée à l'action signalée, par exemple foobar@example.com
Nom de la ressource cible Nom de la liste de référence : gcti__cld__iamabuse__target_resource_name__exclusion_list
Compte de service ciblé associé à l'action signalée, par exemple : foobar-123@foofoo.iam.gserviceaccount.com.

Règle d'activité potentielle potentielle définie

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par l'ensemble de règles.

Nom générique Description
Nom de la réponse Nom de la liste de référence : gcticldexfilanswer_nameexclusion_list

Réponse à la requête DNS donnée, par exemple analytics.example.com.

Nom de la question Nom de la liste de référence: gcti__cld__exfil__question_name__exclusion_list

Objet de la requête DNS, par exemple: analytics.example.com.

Nom de la ressource Nom de la liste de référence : gcti__cld__exfil__resource_name__exclusion_list

Nom d'hôte ou de ressource de la VM effectuant les requêtes DNS.

Données de réponse Nom de la liste de référence: gcti__cld__exfil__response_data__exclusion_list

Partie des données de la réponse, par exemple: analytics.bar.com.example.net.

Ensemble de règles d'interruption de service

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par l'ensemble de règles.

Nom générique Description
Adresse e-mail de l'utilisateur principal Nom de la liste de référence : gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list.
Adresse e-mail d'origine associée à l'action signalée, par exemple : foobar@example.com
Nom du projet Cloud cible Nom de la liste de référence : gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list.
Nom du projet cloud ciblé associé à l'action signalée, par exemple : unicorn-prod-424543
User-agent HTTP Nom de la liste de référence : gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list
User-agent HTTP permettant d'identifier la source du trafic réseau, par exemple :
Mozilla/5.0 (Linux ; Android 12 ; Pixel 6 Build/SD1A.210817.023 ; wv) AppleWebKit/537.36 (KHTML, comme Gecko) Version/4.0 Chrome/94.0.4606

Règle relative aux comportements suspects

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par l'ensemble de règles.

Nom générique Description
Adresse e-mail de l'utilisateur principal Nom de la liste de référence : gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list
Adresse e-mail d'origine associée à l'action signalée, par exemple foobar@example.com
Adresse e-mail de l'utilisateur cible Nom de la liste de référence : gcti__cld__susbehavior__target_user_email_addresses__exclusion_list.
Adresse e-mail ciblée associée à l'action signalée, par exemple foobar@example.com
Nom de la ressource cible Nom de la liste de référence: gcti__cld__susbehavior__target_resource_name__exclusion_list.
Nom de la ressource ciblée par l'action signalée. Par exemple, le nom du projet ou le nom de l'instance.
Nom du projet Cloud cible Nom de la liste de référence : gcti__cld__susbehavior__target_cloud_project_name__exclusion_list.
Nom du projet cloud ciblé associé à l'action signalée, par exemple unicorn-prod-424543

Ensemble de règles de configuration affaibli

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement d'évaluation par l'ensemble de règles.

Nom générique Description
Nom de rôle de l'attribut principal Nom de la liste de référence: gcti__cld__weak_config__principal_attribute_role_name__exclusion_list

Rôle que l'utilisateur principal a appliqué ou attribué à une ressource cible, par exemple:

role/instance.viewer

role/storage.owner.

Adresse e-mail principale Nom de la liste de référence: gcti__cld__weak_config__principal_email_address__exclusion_list

Adresse e-mail associée à l'action signalée, par exemple : foobar@google.com

Type d'événement produit Nom de la liste de référence: gcti__cld__weak_config__product_event_type__exclusion_list

Spécifiez la ressource et la méthode associées à l'événement dans l'action signalée, par exemple:

compute.instances.setMetadata

storage.setiamPermissions

Nom du projet cible Nom de la liste de référence: gcti__cld__weak_config__target_project_name__exclusion_list`

Nom du projet cible de l'action signalée, par exemple:

projet/foobar

Modification suspecte de l'infrastructure

Utilisez les listes de référence suivantes pour définir des critères dans un événement UDM qui exclut l'événement de l'évaluation par l'ensemble de règles.

Nom générique Description
Nom du projet Cloud cible Nom de la liste de référence : gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list
Nom du projet Cloud associé à l'action signalée, par exemple project-example-123456
Adresse e-mail de l'utilisateur principal Nom de la liste de référence : gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list
Adresse e-mail d'origine associée à l'action signalée, par exemple alice@example.com
User-agent réseau HTTP Nom de la liste de référence : gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list
Nom du user-agent d'origine, tel que Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.6.76
Nom de la ressource cible Nom de la liste de référence : gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list
Nom de la ressource ciblée par l'action signalée, par exemple un disque Compute ou une image.
Libellé d'attribut de ressource cible Nom de la liste de référence : gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list
Nom de l'attribut de ressource ciblé par l'action signalée, tel que le nom d'un instantané de calcul.