Présentation de la catégorie "Menaces cloud"

Ce document présente les ensembles de règles de la catégorie "Menaces cloud", les sources de données requises et la configuration que vous pouvez utiliser pour ajuster les alertes générées par chaque jeu de règles. Ces ensembles de règles permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de données Google Cloud et dans les environnements AWS à l'aide de données AWS.

Description des jeux de règles

Les jeux de règles suivants sont disponibles dans la catégorie Cloud Threats.

L'abréviation CDIR correspond à Cloud Detection, Investigation, and Response.

Détections sélectionnées pour les données Google Cloud

Les ensembles de règles Google Cloud permettent d'identifier les menaces dans les environnements Google Cloud à l'aide de données d'événement et de contexte. Ils incluent les ensembles de règles suivants:

  • Action d'administration: activité associée à des actions d'administration considérées comme suspectes mais potentiellement légitimes en fonction de l'utilisation dans l'organisation.
  • Exfiltration améliorée de SCC CDIR: contient des règles contextuelles qui associent les résultats d'exfiltration Security Command Center à d'autres sources de journal, telles que les journaux Cloud Audit Logs, le contexte Sensitive Data Protection, le contexte BigQuery et les journaux d'erreurs de configuration de Security Command Center.
  • CDIR SCC Advanced Defense Evasion: contient des règles contextuelles qui établissent une corrélation entre les résultats de contournement ou de contournement de Security Command Center et les données provenant d'autres sources de données Google Cloud, telles que Cloud Audit Logs.
  • Logiciel malveillant CDIR SCC: contient des règles contextuelles qui associent les résultats concernant des logiciels malveillants de Security Command Center à des données telles que l'occurrence d'adresses IP et de domaines et leurs scores de prévalence, en plus d'autres sources de données telles que les journaux Cloud DNS.
  • CDIR SCC Advanced Persistence: contient des règles contextuelles qui mettent en corrélation les résultats de persistance de Security Command Center avec des données provenant de sources telles que les journaux Cloud DNS et les journaux d'analyse IAM.
  • Escalade des privilèges améliorée dans SCC CDIR: contient des règles contextuelles qui associent les résultats de l'élévation des privilèges Security Command Center aux données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • Accès aux identifiants SCC CDIR: contient les règles contextuelles qui associent les résultats concernant l'accès aux identifiants de Security Command Center aux données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • Découverte améliorée par SCC CDIR: contient des règles contextuelles qui associent les résultats de l'escalade des escalades de Security Command Center aux données de sources telles que les services Google Cloud et Cloud Audit Logs.
  • CDIR SCC Brute Force: contient des règles contextuelles qui associent les résultats de l'escalade de force brute de Security Command Center à des données telles que les journaux Cloud DNS.
  • Destruction de données SCC CDIR: contient des règles contextuelles qui mettent en corrélation les résultats de l'escalade de destruction de données Security Command Center avec les données de plusieurs autres sources de données, telles que Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contient des règles contextuelles qui mettent en corrélation les résultats de la récupération du système d'inhibit par Security Command Center avec les données de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Exécution SCC CDIR: contient des règles contextuelles qui mettent en corrélation les résultats d'exécution de Security Command Center avec les données de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Accès initial au système SCC CDIR: contient des règles contextuelles qui établissent une corrélation entre les résultats de l'accès initial de Security Command Center et les données provenant de plusieurs autres sources de données telles que Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contient des règles contextuelles qui mettent en corrélation les résultats d'Impair Defenses de Security Command Center avec les données de plusieurs autres sources de données telles que Cloud Audit Logs.
  • Impact SCC de la CDIR: contient les règles de détection des résultats d'impact de Security Command Center avec une classification de gravité critique, élevée, moyenne et faible.
  • CDIR SCC Cloud IDS: contient les règles qui détectent les résultats du Cloud Intrusion Detection System à partir de Security Command Center avec une classification de gravité CDIR, Élevée, Moyenne et Faible.
  • CDIR SCC Cloud Armor: contient les règles qui détectent les résultats de Google Cloud Armor à partir de Security Command Center.
  • Module personnalisé SCC CDIR: contient les règles qui détectent les résultats du module personnalisé Event Threat Detection à partir de Security Command Center.
  • Cloud Hacktool: activité détectée à partir de plates-formes de sécurité choquantes connues, ou à partir d'outils ou de logiciels offensants utilisés en circulation par des acteurs malveillants ciblant spécifiquement les ressources cloud.
  • Rançongiciel Cloud SQL: détecte les activités associées à l'exfiltration ou à la rançon de données au sein des bases de données Cloud SQL.
  • Outils Kubernetes suspects: détecte les comportements de reconnaissance et d'exploitation à partir d'outils Kubernetes Open Source.
  • Utilisation abusive de Kubernetes RBAC: détecte l'activité Kubernetes associée à une utilisation abusive des contrôles des accès basés sur les rôles (RBAC) qui tentent d'escalader les privilèges ou de se déplacer latéralement.
  • Actions sensibles sur les certificats Kubernetes: détecte les actions liées aux certificats Kubernetes et aux demandes de signature de certificat (CSR) qui pourraient être utilisées pour établir la persistance ou élever les privilèges.
  • Utilisation abusive d'IAM: activité associée à un abus des rôles et autorisations IAM pour potentiellement appliquer des privilèges ou se déplacer latéralement au sein d'un projet Cloud donné ou d'une organisation Cloud.
  • Activité d'exfiltration potentielle: détecte l'activité associée à une exfiltration potentielle de données.
  • Masquerading des ressources: détecte les ressources Google Cloud créées avec les noms ou les caractéristiques d'une autre ressource ou d'un autre type de ressource. Cela peut être utilisé pour masquer une activité malveillante effectuée par ou dans la ressource, dans l'intention de paraître légitime.
  • Menaces sans serveur : détecte les activités associées à un risque de compromission ou d'utilisation abusive des ressources sans serveur dans Google Cloud, telles que Cloud Run et Cloud Functions.
  • Service perturbé: détectez les actions destructrices ou perturbatrices qui, si elles sont effectuées dans un environnement de production opérationnel, peuvent entraîner une panne importante. Le comportement détecté est courant et probablement anodin dans les environnements de test et de développement.
  • Comportement suspect: activité considérée comme inhabituelle et suspecte dans la plupart des environnements.
  • Changement d'infrastructure suspect: détecte les modifications de l'infrastructure de production qui s'alignent sur les tactiques de persistance connues
  • Configuration affaiblie: activité associée à l'affaiblissement ou à la dégradation d'un contrôle de sécurité. Considéré comme suspect, potentiellement légitime selon l'utilisation par l'organisation.
  • exfiltration potentielle de données internes à partir de Chrome: détecte les activités associées à des comportements potentiellement menaçants internes, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Chrome considérés comme anormaux par rapport à une référence sur 30 jours.
  • exfiltration potentielle de données internes à partir de Drive: détecte les activités associées à des comportements potentiellement menaçants internes, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements dans Drive considérés comme anormaux par rapport à une référence sur 30 jours.
  • exfiltration potentielle de données internes à partir de Gmail: détecte les activités associées à des comportements potentiellement menaçants internes, tels que l'exfiltration de données ou la perte de données potentiellement sensibles en dehors d'une organisation Google Workspace. Cela inclut les comportements de Gmail considérés comme anormaux par rapport à une référence sur 30 jours.
  • Compromission potentielle de compte Workspace: détecte les comportements de menaces internes indiquant que le compte a pu être compromis et peut entraîner des tentatives d'élévation des privilèges ou de déplacement latéral au sein d'une organisation Google Workspace. Cela inclut les comportements considérés comme rares ou anormaux par rapport à une référence sur 30 jours.
  • Actions d'administration suspectes: détectez les comportements indiquant une évasion potentielle, une rétrogradation de la sécurité, ou des comportements rares et anormaux jamais observés au cours des 30 derniers jours par des utilisateurs disposant de droits plus élevés, tels que les administrateurs.

L'abréviation CDIR correspond à Cloud Detection, Investigation, and Response.

Appareils et types de journaux compatibles

Les sections suivantes décrivent les données requises par les jeux de règles dans la catégorie "Menaces cloud".

Pour ingérer des données à partir de services Google Cloud, consultez Ingérer les journaux Cloud dans Chronicle. Contactez votre représentant Chronicle si vous devez collecter ces journaux à l'aide d'un autre mécanisme.

Chronicle fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts des services Google Cloud afin de créer des enregistrements UDM avec les données requises par ces ensembles de règles.

Pour obtenir la liste de toutes les sources de données compatibles avec Chronicle, consultez la page Analyseurs par défaut compatibles.

Tous les jeux de règles

Pour utiliser un jeu de règles, nous vous recommandons de collecter les journaux d'audit Google Cloud. Certaines règles exigent que les clients activent la journalisation Cloud DNS. Assurez-vous que les services Google Cloud sont configurés pour enregistrer des données dans les journaux suivants:

Ensemble de règles liées aux rançongiciels Cloud SQL

Pour utiliser l'ensemble de règles Rançons Cloud SQL, nous vous recommandons de collecter les données Google Cloud suivantes:

Ensembles de règles renforcés par SCC CDIR

Tous les ensembles de règles commençant par le nom CDIR SCC Advanced utilisent les résultats de Security Command Center Premium contextualisés avec plusieurs autres sources de journal Google Cloud, y compris les suivantes:

  • Cloud Audit Logs
  • Journaux Cloud DNS
  • Analyse du Identity and Access Management (IAM)
  • Contexte de protection des données sensibles
  • Contexte BigQuery
  • Contexte Compute Engine

Pour utiliser les jeux de règles CDIR SCC amélioré, nous vous recommandons de collecter les données Google Cloud suivantes:

  • Données de journal répertoriées dans la section Tous les ensembles de règles.

  • Les données de journaux suivantes, répertoriées par nom de produit et étiquette d'ingestion Chronicle:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protection des données sensibles (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Activité Google Workspace (WORKSPACE_ACTIVITY)
    • Requêtes Cloud DNS (GCP_DNS)

  • Les classes de résultats de Security Command Center suivantes, répertoriées par identifiant findingClass et libellé d'ingestion Chronicle:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Les ensembles de règles CDIR SCC Advanced dépendent également des données provenant des services Google Cloud. Pour envoyer les données requises à Chronicle, assurez-vous de procéder comme suit:

Les ensembles de règles suivants créent une détection lorsque les résultats de Security Command Center Event Threat Detection, de Google Cloud Armor, du service d'actions sensibles de Security Command Center et des modules personnalisés pour Event Threat Detection sont identifiés:

  • IDS cloud SCC CDIR
  • CDIR SCC Cloud Armor
  • Impact de CDIR SCC
  • Persistance améliorée de la SCC CDIR
  • Contournement de la défense avec renforcement de la défense dans le SCC CDIR
  • Module personnalisé SCC CDIR

Ensemble de règles Kubernetes concernant les outils suspects

Pour utiliser le jeu de règles Outils Kubernetes suspects, nous vous recommandons de collecter les données répertoriées dans la section Tous les jeux de règles. Assurez-vous que les services Google Cloud sont configurés pour enregistrer des données dans les journaux des nœuds Google Kubernetes Engine (GKE).

Ensemble de règles d'utilisation abusive de Kubernetes RBAC

Pour utiliser l'ensemble de règles Abus de Kubernetes RBAC, nous vous recommandons de collecter les journaux d'audit Cloud, répertoriés dans la section Tous les jeux de règles.

Ensemble de règles relatives aux actions sensibles du certificat Kubernetes

Pour utiliser l'ensemble de règles Actions sensibles sur les certificats Kubernetes, nous vous recommandons de collecter les journaux d'audit Cloud, répertoriés dans la section Tous les jeux de règles.

Ensembles de règles associés à Google Workspace

Les jeux de règles suivants détectent des formats de données Google Workspace:

  • exfiltration potentielle de données internes à partir de Chrome
  • exfiltration potentielle de données internes à partir de Drive
  • exfiltration potentielle de données internes à partir de Gmail
  • Compromission potentielle d'un compte Workspace
  • Actions d'administration Workspace suspectes

Ces ensembles de règles nécessitent les types de journaux suivants, répertoriés par nom de produit et étiquette d'ingestion Chronicle:

  • Activités Workspace (WORKSPACE_ACTIVITY)
  • Alertes Workspace (WORKSPACE_ALERTS)
  • Appareils ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Appareils mobiles Workspace (WORKSPACE_MOBILE)
  • Utilisateurs Workspace (WORKSPACE_USERS)
  • Gestion cloud du navigateur Google Chrome (CHROME_MANAGEMENT)
  • Journaux Gmail (GMAIL_LOGS)

Pour ingérer les données requises, procédez comme suit:

Ensemble de règles "Menaces sans serveur"

Les journaux Cloud Run incluent les journaux de requêtes et les journaux de conteneur, qui sont ingérés en tant que type de journal GCP_RUN dans Chronicle. Les journaux GCP_RUN peuvent être ingérés via l'ingestion directe ou à l'aide de flux et de Cloud Storage. Pour obtenir des filtres de journaux spécifiques et plus de détails sur l'ingestion, consultez la page Exporter des journaux Google Cloud vers Chronicle. Le filtre d'exportation suivant exporte les journaux Google Cloud Run (GCP_RUN) en plus des journaux par défaut via le mécanisme d'ingestion directe, ainsi que via Cloud Storage et les récepteurs:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Détections sélectionnées pour les ensembles de règles AWS

Les ensembles de règles AWS de cette catégorie permettent d'identifier les menaces dans les environnements AWS à l'aide de données d'événement et de contexte. Ils incluent les jeux de règles suivants:

  • AWS – Calcul: détecte toute activité anormale autour des ressources de calcul AWS telles que EC2 et Lambda.
  • AWS - Data (Données AWS) : détecte l'activité AWS associée aux ressources de données telles que les instantanés RDS ou les buckets S3 rendus publics.
  • AWS – GuardDuty: alertes contextuelles AWS GuardDuty pour le comportement, l'accès aux identifiants, le minage de cryptomonnaie, la découverte, l'évasion, l'exécution, l'exfiltration, l'impact, l'accès initial, les logiciels malveillants, les tests d'intrusion, la persistance, la stratégie, l'élévation des privilèges et l'accès non autorisé.
  • AWS - Hacktools: détecte l'utilisation de Hacktools dans un environnement AWS, tels que des analyseurs, des kits d'outils et des frameworks.
  • AWS – Identity: détections des activités AWS associées aux activités IAM et d'authentification, telles que les connexions inhabituelles à partir de plusieurs emplacements géographiques, la création de rôles trop permissives ou l'activité IAM provenant d'outils suspects.
  • AWS – Logging and Monitoring: détecte l'activité AWS liée à la désactivation des services de journalisation et de surveillance, tels que CloudTrail, CloudWatch et GuardDuty.
  • AWS – Réseau: détecte les modifications non sécurisées apportées aux paramètres réseau AWS, telles que les groupes de sécurité et les pare-feu.
  • AWS – Organisation: détecte l'activité AWS associée à votre organisation, telle que l'ajout ou la suppression de comptes, et les événements inattendus liés à l'utilisation d'une région.
  • AWS – Secrets: détecte l'activité AWS associée aux secrets, aux jetons et aux mots de passe, telle que la suppression de secrets KMS ou de secrets Secret Manager.

Appareils et types de journaux compatibles

Ces ensembles de règles ont été testés et sont compatibles avec les sources de données Chronicle suivantes, répertoriées par nom de produit et étiquette d'ingestion.

Pour en savoir plus sur la configuration de l'ingestion de données AWS, consultez la page Configurer l'ingestion de données AWS.

Pour obtenir la liste de toutes les sources de données compatibles, consultez la section Analyseurs par défaut compatibles.

Les sections suivantes décrivent les données requises par les ensembles de règles qui identifient des modèles dans les données.

Vous pouvez ingérer des données AWS à l'aide d'un bucket Amazon S3 (Amazon Simple Storage Service) en tant que type de source ou, éventuellement, à l'aide d'Amazon S3 avec Amazon SQS (Amazon Simple Queue Service). De manière générale, vous devez procéder comme suit:

  • Configurez Amazon S3 ou Amazon S3 avec Amazon SQS pour collecter les données des journaux.
  • Configurez un flux Chronicle pour ingérer les données d'Amazon S3 ou d'Amazon SQS.

Consultez la page Ingérer les journaux AWS dans Chronicle pour connaître la procédure détaillée permettant de configurer les services AWS et un flux Chronicle pour ingérer les données AWS.

Vous pouvez utiliser les règles de test des tests managés de détection AWS pour vérifier que les données AWS sont ingérées dans la solution SIEM Chronicle. Ces règles de test permettent de vérifier si les données de journaux AWS sont ingérées comme prévu. Après avoir configuré l'ingestion des données AWS, vous effectuez les actions dans AWS qui doivent déclencher les règles de test.

Pour savoir comment vérifier l'ingestion des données AWS à l'aide des règles de test AWS Managed Detection, consultez la section Vérifier l'ingestion de données AWS pour la catégorie Cloud Threats.

Régler les alertes renvoyées par les jeux de règles

Les exclusions de règles vous permettent de réduire le nombre de détections générées par une règle ou un ensemble de règles.

Une exclusion de règle définit les critères utilisés pour exclure un événement de l'évaluation par l'ensemble de règles ou par des règles spécifiques de l'ensemble de règles. Créez une ou plusieurs exclusions de règles pour réduire le volume de détections. Pour savoir comment procéder, consultez Configurer les exclusions de règles.

Étapes suivantes