Présentation de la catégorie des menaces cloud

Ce document présente les ensembles de règles de la catégorie "Cloud Threats", les sources de données requises et la configuration que vous pouvez utiliser pour régler les alertes générées par chaque jeu de règles. Ces ensembles de règles permettent d'identifier les menaces dans Google Cloud à l'aide de données Google Cloud et dans les environnements AWS à l'aide de données AWS.

Descriptions des ensembles de règles

Les jeux de règles suivants sont disponibles dans la catégorie "Menaces cloud".

L'abréviation CDIR signifie Cloud Detection, Investigation, and Response.

Détections sélectionnées pour les données Google Cloud

Les ensembles de règles Google Cloud permettent d'identifier les menaces dans les environnements Google Cloud à l'aide d'événements et de contexte, et inclut les jeux de règles suivants:

  • Action d'administrateur: activité associée aux tâches d'administration, suspect mais potentiellement légitime selon l’utilisation organisationnelle.
  • Exfiltration améliorée des instances CDIR SCC: contient des règles contextuelles corrélées Les résultats d'exfiltration de Security Command Center avec d'autres sources de journaux, telles que Cloud Audit Logs journaux, contexte de la protection des données sensibles, contexte BigQuery et Security Command Center Journaux d'erreurs de configuration
  • CDIR SCC Enhanced Defense Evasion: contient des règles contextuelles corrélées les résultats de Security Command Center Evasion ou Defense Evasion avec des données provenant d'autres Sources de données Google Cloud telles que Cloud Audit Logs
  • CDIR SCC Enhanced Malware: contient des règles contextuelles corrélées Détection des logiciels malveillants de Security Command Center avec des données telles que l'occurrence d'adresses IP d'adresses IP et de domaines, ainsi que leurs scores de prévalence, en plus d'autres données telles que les journaux Cloud DNS.
  • CDIR SCC Enhanced Persistence: contient des règles contextuelles corrélées Résultats de la persistance de Security Command Center avec des données provenant de sources telles que Cloud DNS et les journaux d'analyse IAM.
  • Élévation améliorée des privilèges CDIR SCC: contient les règles contextuelles corrélées Résultats de l'élévation des privilèges de Security Command Center avec des données de plusieurs autres telles que Cloud Audit Logs.
  • Accès aux identifiants CDIR SCC: contient les règles contextuelles qui correspondent Résultats de l'accès aux identifiants de Security Command Center avec des données provenant de plusieurs autres sources de données, telles que Cloud Audit Logs
  • CDIR SCC Enhanced Discovery: contient des règles contextuelles qui correspondent Résultats de l'escalade de la détection Security Command Center avec des données provenant de sources telles que que les services Google Cloud et Cloud Audit Logs.
  • CDIR SCC Force (Force brute): contient des règles contextuelles corrélées à Security Command Center Résultats d'une escalade par force brute avec des données telles que les journaux Cloud DNS.
  • Destruction de données CDIR SCC: contient des règles contextuelles corrélées à Security Command Center Résultats de l'escalade des problèmes de destruction des données avec des données provenant de plusieurs autres sources, telles que Cloud Audit Logs
  • CDIR SCC Inhibit System Recovery: contient les règles contextuelles corrélées à Security Command Center Blocage des résultats de récupération du système avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs
  • Exécution CDIR SCC: contient des règles contextuelles corrélées à Security Command Center Résultats d'exécution avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs
  • Accès initial CDIR SCC: contient les règles contextuelles corrélées à Security Command Center Résultats de l'accès initial avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs
  • Protection contre la compromission des instances CDIR SCC: contient des règles contextuelles corrélées à Security Command Center altérer les résultats de défense avec des données provenant de plusieurs autres sources de données telles que Cloud Audit Logs ;
  • Impact SCC SCC: contient les règles qui détectent les résultats d'impact de Security Command Center en classant les niveaux de gravité comme "Critique", "Élevée", "Moyenne" et "Faible".
  • CDIR SCC Cloud IDS: contient les règles qui détectent les résultats de Cloud Intrusion Detection System provenant de Security Command Center. en classant les niveaux de gravité "Critique", "Élevée", "Moyenne" et "Faible".
  • CDIR SCC Cloud Armor: contient les règles qui détectent les résultats Google Cloud Armor provenant de Security Command Center.
  • Module personnalisé CDIR SCC: contient les règles qui détectent les résultats du module personnalisé Event Threat Detection provenant de Security Command Center.
  • Cloud Hacktool: activité détectée sur les plates-formes de sécurité choquantes connues ou contre les outils ou logiciels offensants utilisés par des attaquants en particulier les ressources cloud.
  • Cloud SQL Ransom: détecte les activités associées à l'exfiltration ou à la rançon dans les bases de données Cloud SQL.
  • Outils Kubernetes suspects: détecte les comportements de reconnaissance et d'exploitation à partir de données ouvertes aux outils Kubernetes sources.
  • Utilisation abusive de Kubernetes RBAC: détecte l'activité Kubernetes associée à l'utilisation abusive de des contrôles d’accès basés sur les rôles (RBAC) qui tentent d’augmenter les privilèges ou de se déplacer latéralement.
  • Actions sensibles liées aux certificats Kubernetes: détecte les actions liées aux certificats Kubernetes et aux demandes de signature de certificat (CSR) pouvant être utilisées pour établir une persistance ou élever des privilèges.
  • Utilisation abusive d'IAM: activité associée à l'utilisation abusive des rôles et des autorisations IAM ce qui peut permettre d'escalader des privilèges ou de se déplacer latéralement au sein d'un dans un projet ou une organisation cloud.
  • Activité d'exfiltration potentielle: détecte les activités associées à des activités d'exportation potentielles l'exfiltration de données.
  • Masquage de ressources: détecte les ressources Google Cloud créées avec des noms ou les caractéristiques d'une autre ressource ou d'un autre type de ressource. Il peut s'agir utilisés pour masquer les activités malveillantes menées par ou au sein de la ressource, de paraître légitimes.
  • Menaces sans serveur : détecte les activités associées à une compromission ou utilisation abusive de l'informatique sans serveur. aux ressources Google Cloud, telles que Cloud Run et Cloud Functions.
  • Service perturbé: détectez les actions destructrices ou perturbatrices qui, si dans un environnement de production opérationnel, une panne importante. Le comportement détecté est courant et probablement anodin dans des environnements de test et de développement.
  • Comportement suspect : activité considérée comme inhabituelle et suspecte dans les cas suivants : dans la plupart des environnements.
  • Modification d'infrastructure suspecte: détecte les modifications apportées en production. une infrastructure conforme aux tactiques de persistance connues
  • Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'une des contrôles de sécurité. Considérés suspects, potentiellement légitimes en fonction de pour une utilisation organisationnelle.
  • exfiltration potentielle de données internes à partir de Chrome: détecte les activités associées. face à des menaces internes potentielles telles que l'exfiltration ou la perte de données des données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut de Chrome ont été considérés comme anormaux par rapport à une période de référence de 30 jours.
  • exfiltration potentielle de données internes à partir de Drive: détecte les activités associées. face à des menaces internes potentielles telles que l'exfiltration ou la perte de données des données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut de Google Drive considérés comme anormaux par rapport à une référence sur 30 jours.
  • exfiltration potentielle de données internes à partir de Gmail: détecte les activités associées aux les comportements potentiellement malveillants liés à des menaces internes, comme l'exfiltration de données ou la perte de données des données sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements Gmail a été considéré comme anormal par rapport à une période de référence de 30 jours.
  • Risque de piratage d'un compte Workspace: détecte les comportements de menaces internes indiquant que le compte a pu être piraté et peut donner lieu à des privilèges les tentatives d'escalade ou de déplacement latéral au sein d'une organisation Google Workspace. Cela inclut les comportements considérés comme rares ou anormaux par rapport à une référence sur 30 jours.
  • Actions d'administration suspectes dans Workspace: détecter les comportements indiquant des évasion, rétrogradation de la sécurité, ou comportements rares et anormaux jamais observés dans le au cours des 30 derniers jours par des utilisateurs disposant de droits plus élevés, comme les administrateurs.

L'abréviation CDIR signifie Cloud Detection, Investigation, and Response.

Appareils et types de journaux compatibles

Les sections suivantes décrivent les données requises par les jeux de règles dans le cloud Catégorie de menaces.

Pour savoir comment ingérer des données à partir de services Google Cloud, consultez Ingérer des journaux Cloud dans Google Security Operations. Contactez votre représentant Google Security Operations si vous avez besoin de collecter ces journaux à l'aide d'un mécanisme différent.

Google Security Operations fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts depuis les services Google Cloud pour créer des enregistrements UDM avec les données requises par ces jeux de règles.

Pour obtenir la liste de toutes les sources de données compatibles avec Google Security Operations, consultez Analyseurs par défaut compatibles

Tous les jeux de règles

Pour utiliser n'importe quel ensemble de règles, nous vous recommandons de collecter Cloud Audit Logs. Certaines règles exigent que les clients activent Cloud DNS la journalisation. Assurez-vous que les services Google Cloud sont configurés pour enregistrer dans les journaux suivants:

Ensemble de règles de rançon Cloud SQL

Pour utiliser l'ensemble de règles de rançon Cloud SQL, nous vous recommandons de collecter les données Google Cloud suivantes:

Ensembles de règles améliorés de CDIR SCC

Tous les ensembles de règles commençant par le nom CDIR SCC Enhanced utilisent Security Command Center Premium. résultats contextualisés avec plusieurs autres sources de journaux Google Cloud, y compris les suivantes:

  • Cloud Audit Logs
  • Journaux Cloud DNS
  • Analyse du Identity and Access Management (IAM)
  • Contexte de la protection des données sensibles
  • Contexte BigQuery
  • Contexte Compute Engine

Pour utiliser les ensembles de règles CDIR SCC Enhanced, nous vous recommandons de collecter les données Google Cloud suivantes:

  • Les données de journal répertoriées dans le champ Toutes les règles "Ensembles de données".

  • Les données de journaux suivantes, répertoriées par nom de produit et étiquette d'ingestion Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protection des données sensibles (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Activité Google Workspace (WORKSPACE_ACTIVITY)
    • Requêtes Cloud DNS (GCP_DNS)

  • Les résultats suivants de Security Command Center cours, listés par l'identifiant findingClass et l'étiquette d'ingestion Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Les ensembles de règles CDIR SCC Enhanced dépendent également des données des services Google Cloud. Pour envoyer les données requises à Google Security Operations, assurez-vous de remplir les éléments suivants:

Les ensembles de règles suivants créent une détection lorsque les résultats de Security Command Center Event Threat Detection : Google Cloud Armor, le service d'actions sensibles de Security Command Center et les modules personnalisés pour Event Threat Detection sont identifiés:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impact de CDIR SCC
  • Persistance améliorée CDIR SCC
  • Éviction de défense renforcée de CDIR SCC
  • Module personnalisé SCC CDIR

Ensemble de règles Kubernetes "Outils suspects"

Pour utiliser l'ensemble de règles Outils Kubernetes suspects, nous vous recommandons de collecter les données figurant dans la section Tous les jeux de règles. Assurez-vous que Google Cloud sont configurés pour enregistrer des données dans les journaux de nœuds Google Kubernetes Engine (GKE).

Ensemble de règles d'utilisation abusive de Kubernetes RBAC

Pour utiliser l'ensemble de règles Utilisation abusive de Kubernetes RBAC, nous vous recommandons de collecter des journaux d'audit Cloud, figurant dans la section Tous les jeux de règles.

Ensemble de règles "Actions sensibles du certificat Kubernetes"

Pour utiliser l'ensemble de règles Actions sensibles du certificat Kubernetes, nous vous recommandons de collecter des journaux d'audit Cloud, figurant dans la section Tous les jeux de règles.

Ensembles de règles associés à Google Workspace

Les ensembles de règles suivants détectent des modèles dans les données Google Workspace:

  • exfiltration potentielle de données internes à partir de Chrome
  • exfiltration potentielle de données internes à partir de Drive
  • exfiltration potentielle de données internes depuis Gmail
  • Risque de piratage de compte Workspace
  • Actions d'administration suspectes dans Workspace

Ces jeux de règles nécessitent les types de journaux suivants, répertoriés par nom de produit et Étiquette d'ingestion Google Security Operations:

  • Activités Workspace (WORKSPACE_ACTIVITY)
  • Alertes Workspace (WORKSPACE_ALERTS)
  • Appareils Workspace ChromeOS (WORKSPACE_CHROMEOS)
  • Appareils mobiles Workspace (WORKSPACE_MOBILE)
  • Utilisateurs Workspace (WORKSPACE_USERS)
  • Gestion cloud du navigateur Google Chrome (CHROME_MANAGEMENT)
  • Journaux Gmail (GMAIL_LOGS)

Pour ingérer les données requises, procédez comme suit:

Ensemble de règles "Menaces sans serveur"

Les journaux Cloud Run incluent les journaux de requêtes et les journaux journaux ingérés avec le type de journal GCP_RUN Google Security Operations. GCP_RUN journaux peuvent être ingérés par ingestion directe à l'aide de flux et de Cloud Storage. Pour des filtres de journaux spécifiques et d'autres fonctions d'ingestion consultez la page Exporter des journaux Google Cloud vers Google Security Operations. Les éléments suivants : Le filtre d'exportation exporte les journaux Google Cloud Run (GCP_RUN) dans aux journaux par défaut via le mécanisme d'ingestion directe et Cloud Storage et Récepteurs:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Détections sélectionnées pour les ensembles de règles AWS

Les jeux de règles AWS de cette catégorie permettent d'identifier les menaces dans les environnements AWS à l'aide de d'événement et de contexte, et inclut les jeux de règles suivants:

  • AWS – Calcul: détecte les activités anormales de calcul AWS. des ressources comme EC2 et Lambda.
  • AWS – Données: détecte l'activité AWS associée aux ressources de données telles que Instantanés RDS ou buckets S3 rendus publics.
  • AWS – GuardDuty: alertes contextuelles AWS GuardDuty pour le comportement. Accès aux identifiants, minage de cryptomonnaie, découverte, évasion, exécution, exfiltration impact, accès initial, logiciels malveillants, tests d’intrusion, persistance, règles, Élévation des privilèges et accès non autorisé.
  • AWS – Hacktools: détecte l'utilisation de Hacktools dans un environnement AWS tel que comme les scanners, les kits d'outils et les frameworks.
  • AWS – Identity: détection des activités AWS associées à IAM et comme des connexions inhabituelles depuis plusieurs emplacements géographiques, création de rôles trop permissive ou activité IAM liée à des outils suspects.
  • AWS – Journalisation et surveillance: détecte l'activité AWS en lien avec la la désactivation des services de journalisation et de surveillance, tels que CloudTrail, CloudWatch, et GuardDuty.
  • AWS – Réseau: détecte les modifications non sécurisées des paramètres réseau AWS, telles que comme les groupes de sécurité et les pare-feu.
  • AWS : organisation : détecte l'activité AWS associée à votre organisation. tels que l'ajout ou la suppression de comptes, et les événements imprévus liés à l'utilisation de la région.
  • AWS – Secrets: détecte l'activité AWS associée aux secrets, aux jetons et aux tels que la suppression de secrets KMS ou Secret Manager.

Appareils et types de journaux compatibles

Ces ensembles de règles ont été testés et sont compatibles avec les opérations de sécurité Google suivantes sources de données, répertoriées par nom de produit et étiquette d'ingestion.

Consultez la section Configurer l'ingestion d'AWS données pour obtenir des informations sur la configuration de l'ingestion de données AWS.

Pour obtenir la liste de toutes les sources de données compatibles, consultez la page Analyseurs par défaut compatibles.

Les sections suivantes décrivent les données requises par les jeux de règles que identifier des modèles dans les données.

Vous pouvez ingérer des données AWS à l'aide d'Amazon Simple Storage Service (Amazon S3) bucket comme type de source ou, éventuellement, utiliser Amazon S3 avec Amazon Simple Queue (Amazon SQS). De manière générale, vous devrez procéder comme suit:

  • Configurez Amazon S3 ou Amazon S3 avec Amazon SQS pour collecter des données de journal.
  • Configurez un flux Google Security Operations. pour ingérer des données depuis Amazon S3 ou Amazon SQS

Consultez Ingérer les journaux AWS dans Google Security Operations. pour connaître la procédure détaillée permettant de configurer les services AWS et de configurer Flux Google Security Operations pour ingérer les données AWS.

Vous pouvez utiliser les règles de test des tests AWS Managed Detection pour vérifier que les données AWS est en cours d'ingestion dans la solution SIEM Google Security Operations. Ces règles de test permettent de vérifier si AWS les données de journaux sont ingérées comme prévu. Après avoir configuré l'ingestion d'AWS vous effectuez des actions dans AWS qui doivent déclencher les règles de test.

Consultez Vérifier l'ingestion de données AWS pour la catégorie "Menaces cloud" pour savoir comment vérifier l'ingestion de données AWS à l'aide des règles de test des tests AWS Managed Detection.

Réglage des alertes renvoyées par les jeux de règles

Les exclusions de règles vous permettent de réduire le nombre de détections qu'une règle ou un ensemble de règles génère.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par le jeu de règles, ou par des règles spécifiques dans le jeu de règles. Créer une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer des exclusions de règles.

Étape suivante