Panoramica della categoria Cloud Threats

Questo documento fornisce una panoramica delle serie di regole della categoria Cloud Threats, le origini dati richieste e la configurazione che puoi utilizzare per ottimizzare gli avvisi generati per ogni serie di regole. Queste serie di regole aiutano a identificare le minacce in Google Cloud ambienti che utilizzano i dati di Google Cloud e in ambienti AWS che utilizzano i dati AWS.

Descrizioni delle serie di regole

Le seguenti serie di regole sono disponibili nella categoria Cloud Threats.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Rilevamenti selezionati per i dati di Google Cloud

Le serie di regole di Google Cloud aiutano a identificare le minacce negli ambienti Google Cloud utilizzando dati e contesto e include le seguenti serie di regole:

  • Azione amministratore: attività associata ad azioni amministrative, considerate sospette ma potenzialmente legittime in base all'uso dell'organizzazione.
  • Esfiltrazione avanzata SCC CDIR: contiene regole sensibili al contesto correlate Risultati dell'esfiltrazione di Security Command Center con altre origini log, come Cloud Audit Logs log, contesto di Sensitive Data Protection, contesto di BigQuery e Security Command Center Log di configurazione errata.
  • CDIR SCC Maggiore evasione della difesa: contiene regole sensibili al contesto correlate Risultati relativi a evasione o evasione di difesa di Security Command Center con dati di altri Origini dati di Google Cloud come Cloud Audit Logs.
  • CDIR SCC Advanced Malware: contiene regole sensibili al contesto correlate Risultati relativi a malware di Security Command Center con dati come l'occorrenza dell'IP indirizzi e domini e i relativi punteggi di prevalenza, oltre ad altri dati come i log di Cloud DNS.
  • Persistenza avanzata SCC CDIR: contiene regole sensibili al contesto correlate Risultati della persistenza di Security Command Center con dati provenienti da origini come Cloud DNS log di analisi e log di analisi IAM.
  • Escalation avanzato dei privilegi SCC CDIR: contiene regole sensibili al contesto correlate Risultati dell'escalation dei privilegi di Security Command Center con dati di diversi altri come Cloud Audit Logs.
  • CDIR SCC Credential Access (Accesso alle credenziali SCC CDIR): contiene regole sensibili al contesto correlate Risultati dell'accesso alle credenziali di Security Command Center con dati di diversi altri di origini dati, come Cloud Audit Logs
  • CDIR SCC Advanced Discovery: contiene regole sensibili al contesto correlate Risultati dell'escalation del rilevamento di Security Command Center con dati provenienti da origini come come servizi Google Cloud e Cloud Audit Logs.
  • CDIR SCC Brute Force: contiene regole sensibili al contesto che correlano Security Command Center Risultati dell'escalation di Forza bruta con dati come i log di Cloud DNS.
  • Distruzione dei dati SCC CDIR: contiene regole sensibili al contesto che correlano Security Command Center Risultati dell'escalation di distruzione di dati con dati provenienti da diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contiene regole sensibili al contesto correlate a Security Command Center. Inibire i risultati del recupero del sistema con dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • Esecuzione CDIR SCC: contiene regole sensibili al contesto che correlano Security Command Center Risultati dell'esecuzione con dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Initial Access (Accesso iniziale SCC CDIR): contiene regole sensibili al contesto che correlano Security Command Center Risultati dell'accesso iniziale con dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contiene regole sensibili al contesto che correlano Security Command Center. I risultati di compromissione di Defenses con dati provenienti da diverse altre origini dati come Cloud Audit Logs.
  • CDIR SCC Impact (Impatto SCC CDIR): contiene regole che rilevano i risultati relativi all'impatto di Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati di Cloud Intrusion Detection System da Security Command Center. con una classificazione di gravità critica, alta, media e bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • CDIR SCC Custom Module (Modulo personalizzato SCC CDIR): contiene regole che rilevano i risultati del modulo personalizzato Event Threat Detection da Security Command Center.
  • Cloud Hacktool: attività rilevata da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in circolazione da soggetti malintenzionati che in modo specifico alle risorse cloud.
  • Riscatto Cloud SQL: rileva l'attività associata all'esfiltrazione o al riscatto di all'interno dei database Cloud SQL.
  • Strumenti sospetti di Kubernetes: rileva i comportamenti di ricognizione e sfruttamento da ambienti aperti gli strumenti di origine Kubernetes.
  • Abuso di RBAC in Kubernetes: rileva l'attività Kubernetes associata all'abuso di controlli degli accessi basati su ruoli (RBAC, Role-Based Access Control) che tentano di escalation dei privilegi o di effettuare spostamenti laterali.
  • Azioni sensibili ai certificati Kubernetes: rileva le azioni di certificati e richieste di firma di certificato (CSR) di Kubernetes che possono essere utilizzate per stabilire la persistenza o aumentare i privilegi.
  • Abuso IAM: attività associata all'abuso di ruoli e autorizzazioni IAM per: potenzialmente riassegnare i privilegi o spostarsi lateralmente all'interno di un determinato cloud o all'interno di un'organizzazione Cloud.
  • Potenziale attività di esfilazione: rileva le attività associate ai potenziali l'esfiltrazione dei dati.
  • Accesso mascherato delle risorse: rileva le risorse Google Cloud create con nomi o e le caratteristiche di un'altra risorsa o tipo di risorsa. Potrebbe essere utilizzata per mascherare le attività dannose effettuate dalla risorsa o al suo interno, con l'intenzione di apparire legittima.
  • Minacce serverless : rileva le attività associate a potenziali compromissioni o abusi del serverless di risorse in Google Cloud, come Cloud Run e Cloud Functions.
  • Interruzione del servizio: rileva le azioni distruttive o di disturbo che, se eseguite in un ambiente di produzione funzionante, può causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente benigno nei ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenuta insolito e sospetta in nella maggior parte degli ambienti.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche apportate alla produzione un'infrastruttura allineata alle tattiche di persistenza note
  • Configurazione indebolita: attività associata all'indebolimento o al peggioramento di una un controllo di sicurezza. Ritenuto sospetto, potenzialmente legittimo in base all'uso organizzativo.
  • Potenziale esfiltrazione di dati interni da Chrome: rileva l'attività associata con potenziali comportamenti di minaccia interna, come l'esfiltrazione o la perdita di dati dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a un periodo di riferimento di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Drive: rileva l'attività associata con potenziali comportamenti di minaccia interna, come l'esfiltrazione o la perdita di dati dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a un valore basale di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Gmail: rileva l'attività associata a potenziali comportamenti legati a minacce interne, come l'esfiltrazione di dati o la perdita di sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti Gmail ha considerato un risultato anomalo rispetto al valore basale di 30 giorni.
  • Potenziale compromissione dell'account Workspace: rileva i comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e potrebbe comportare privilegi di escalation o di movimenti laterali all'interno di un'organizzazione Google Workspace. Sono inclusi comportamenti considerati rari o anomali rispetto a un valore basale di 30 giorni.
  • Azioni amministrative sospette: rileva comportamenti che indicano potenziali elusioni, il downgrade della sicurezza o comportamenti rari e anomali mai rilevati nei ultimi 30 giorni da utenti con privilegi più elevati, come gli amministratori.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response.

Dispositivi e tipi di log supportati

Le seguenti sezioni descrivono i dati richiesti dalle serie di regole nel Cloud Categoria Minacce.

Per importare i dati dai servizi Google Cloud, consulta Importare i log di Cloud in Google Security Operations. Contatta il tuo rappresentante Google Security Operations se hai bisogno di raccogliere questi log usando un meccanismo diverso.

Google Security Operations fornisce parser predefiniti che analizzano e normalizzano i log non elaborati dai servizi Google Cloud per creare record UDM con i dati richiesti da queste serie di regole.

Per un elenco di tutte le origini dati supportate da Google Security Operations, vedi Parser predefiniti supportati.

Tutte le serie di regole

Per utilizzare qualsiasi serie di regole, consigliamo di raccogliere le risorse Google Cloud Cloud Audit Logs. Alcune regole richiedono che i clienti abilitino Cloud DNS log. Assicurati che i servizi Google Cloud siano configurati per registrare ai seguenti log:

Set di regole di ransomware di Cloud SQL

Per utilizzare la serie di regole Cloud SQL Ransom, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

Serie di regole avanzate SCC CDIR

Tutte le serie di regole che iniziano con il nome CDIR SCC Advanced utilizzano Security Command Center Premium risultati contestualizzati con diverse altre origini log di Google Cloud, tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto di Compute Engine

Per utilizzare le serie di regole CDIR SCC avanzate, consigliamo di raccogliere i seguenti dati di Google Cloud:

  • I dati di log elencati nella regola Tutte le regole di set di dati.

  • I seguenti dati di log, elencati per nome del prodotto e etichetta di importazione di Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Sensitive Data Protection (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Il seguente risultato di Security Command Center corsi, elencati tramite l'identificatore findingClass e l'etichetta di importazione di Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Le serie di regole CDIR SCC avanzate dipendono anche dai dati provenienti dai servizi Google Cloud. Per inviare i dati richiesti a Google Security Operations, assicurati di completare le seguenti:

Le seguenti serie di regole creano un rilevamento dei risultati di Security Command Center Event Threat Detection: Google Cloud Armor, servizio per le azioni sensibili di Security Command Center e moduli personalizzati per Event Threat Detection sono identificati:

  • ID cloud SCC CDIR
  • Cloud Armor SCC CDIR
  • Impatto SCC CDIR
  • Persistenza avanzata SCC del CDIR
  • Evasione della difesa avanzata SCC del CDIR
  • CDIR - Modulo personalizzato SCC

Set di regole degli strumenti sospetti Kubernetes

Per utilizzare la serie di regole Strumenti sospetti di Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutte le serie di regole. Assicurati che Google Cloud sono configurati in modo da registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)

Set di regole di abuso RBAC di Kubernetes

Per utilizzare la serie di regole Utilizzo illecito di Kubernetes RBAC, ti consigliamo di raccogliere Cloud Audit Logs, elencate nella sezione Tutte le serie di regole.

Set di regole per le azioni sensibili dei certificati Kubernetes

Per utilizzare il set di regole Azioni sensibili ai certificati Kubernetes, ti consigliamo di raccogliere Cloud Audit Logs, elencate nella sezione Tutte le serie di regole.

Serie di regole correlate a Google Workspace

Le seguenti serie di regole rilevano pattern nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati interni da Chrome
  • Potenziale esfiltrazione di dati interni da Drive
  • Potenziale esfiltrazione di dati interni da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative sospette nell'area di lavoro

Queste serie di regole richiedono i seguenti tipi di log, elencati per nome di prodotto e Etichetta di importazione di Google Security Operations:

  • Attività area di lavoro (WORKSPACE_ACTIVITY)
  • Avvisi di Workspace (WORKSPACE_ALERTS)
  • Dispositivi ChromeOS di Workspace (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Set di regole per le minacce serverless

I log di Cloud Run includono Log delle richieste e Container log importati come tipo di log GCP_RUN Google Security Operations. GCP_RUN log possono essere importati tramite l'importazione diretta oppure utilizzando i feed e Cloud Storage. Per filtri di log specifici e altre importazioni vedi Esportazione dei log di Google Cloud in Google Security Operations. Le seguenti il filtro di esportazione esporta i log di Google Cloud Run (GCP_RUN), in oltre ai log predefiniti sia tramite il meccanismo di importazione diretta che tramite Cloud Storage Sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per le serie di regole AWS

I set di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando eventi e dati di contesto e include le seguenti serie di regole:

  • AWS - Computing: rileva l'attività anomala relativa al calcolo AWS come EC2 e Lambda.
  • AWS - Dati: rileva l'attività AWS associata a risorse di dati, come Snapshot RDS o bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per il comportamento. accesso alle credenziali, cryptomining, scoperta, evasione, esecuzione, esfiltrazione, Impatto, Accesso iniziale, Malware, Test di penetrazione, Persistenza, Norme, Escalation dei privilegi e accesso non autorizzato.
  • AWS - Hacktools: rileva l'utilizzo di Hacktools in un ambiente AWS, ad esempio come scanner, toolkit e framework.
  • AWS - Identità: rilevamenti per l'attività AWS associata a IAM e attività di autenticazione come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissiva o attività IAM da strumenti sospetti.
  • AWS - Logging e monitoraggio: rileva l'attività AWS relativa all' la disattivazione dei servizi di logging e monitoraggio, come CloudTrail, CloudWatch, e GuardDuty.
  • AWS - Rete: rileva le modifiche non sicure alle impostazioni di rete AWS, ad esempio come gruppi di sicurezza e firewall.
  • AWS - Organizzazione: rileva l'attività AWS associata alla tua organizzazione come l'aggiunta o la rimozione di account ed eventi imprevisti relativi a di utilizzo della regione.
  • AWS - Secret: rileva l'attività AWS associata a secret, token e password, ad esempio l'eliminazione di secret KMS o secret di Secret Manager.

Dispositivi e tipi di log supportati

Queste serie di regole sono state testate e sono supportate con le seguenti operazioni di sicurezza di Google e le origini dati, elencate per nome del prodotto ed etichetta di importazione.

Consulta Configurare l'importazione di AWS dati per informazioni sulla configurazione dell'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, vedi Parser predefiniti supportati.

Le seguenti sezioni descrivono i dati richiesti richiesti dalle serie di regole che a identificare pattern nei dati.

Puoi importare i dati AWS utilizzando un Amazon Simple Storage Service (Amazon S3) bucket come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). A livello generale, dovrai:

Consulta Importare i log AWS in Google Security Operations per i passaggi dettagliati necessari per configurare i servizi AWS Feed Google Security Operations per importare i dati AWS.

Puoi utilizzare le regole di test di AWS Managed Detection Testing per verificare che i dati AWS viene importato nel SIEM di Google Security Operations. Queste regole di test consentono di verificare se AWS i dati di log vengono importati come previsto. Dopo aver configurato l'importazione di AWS esegui in AWS delle azioni che dovrebbero attivare le regole di test.

Consulta Verificare l'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test di AWS Managed Detection Testing.

Avvisi di ottimizzazione restituiti dalle serie di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.

Un'esclusione di regola definisce i criteri utilizzati per escludere un evento dalla valutazione dalla serie di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Per informazioni al riguardo, consulta Configurare le esclusioni delle regole.

Passaggi successivi