Panoramica della categoria Cloud Threats
Questo documento fornisce una panoramica delle serie di regole nella categoria Cloud Threats, le origini dati richieste e la configurazione che puoi utilizzare per regolare gli avvisi generati da ogni set di regole. Queste serie di regole aiutano a identificare le minacce negli ambienti Google Cloud utilizzando Cloud Audit Logs e includono quanto segue:
- Azione amministrativa: attività associata ad azioni amministrative, ritenute sospette ma potenzialmente legittime a seconda dell'uso organizzativo.
- Cloud Hacktool: attività rilevata da piattaforme di sicurezza offensive note o da strumenti/software offensivi utilizzati in natura da malintenzionati che mirano specificamente a risorse cloud.
- Abuso IAM: attività associata all'abuso di ruoli e autorizzazioni IAM per eseguire l'escape con privilegi o spostarsi lateralmente all'interno di un determinato progetto Cloud o all'interno di un'organizzazione Cloud.
- Potenziale attività di esfiltrazione: rileva le attività associate alla potenziale esfiltrazione dei dati.
- Masquerading delle risorse: rileva le risorse Google Cloud create con nomi o caratteristiche di un'altra risorsa o tipo di risorsa. Potrebbe essere usato per mascherare le attività dannose eseguite dalla risorsa o all'interno della risorsa, con l'intento di apparire legittimo.
- Disagi nel servizio: rileva azioni dannose o che, se eseguite in un ambiente di produzione funzionante, possono causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente innocuo negli ambienti di test e sviluppo.
- Comportamento sospetto: attività che si ritiene non sia comune e sospetta nella maggior parte degli ambienti.
- Cambiamento dell'infrastruttura sospetto: rileva le modifiche all'infrastruttura di produzione che si allineano alle tattiche di persistenza note
- Configurazione inefficace: attività associata all'indebolimento o al degrado di un controllo di sicurezza. Si ritiene che siano sospetti, potenzialmente legittimi, a seconda dell'uso organizzativo.
Dispositivi e tipi di log supportati
La sezione seguente descrive i dati richiesti dalle serie di regole nella categoria Cloud Threats.
Ti consigliamo di raccogliere gli audit log di Google Cloud. Alcune regole richiedono ai clienti di abilitare Cloud DNS Logging. Assicurati che i servizi Google Cloud siano configurati in modo da registrare i dati nei log seguenti:
Per importare questi log in Chronicle, consulta Importare i log di Cloud in Chronicle. Contatta il tuo rappresentante Chronicle se devi raccogliere questi log utilizzando un meccanismo diverso.
Per un elenco di tutte le origini dati supportate da Chronicle, consulta la sezione Analizzatori predefiniti supportati.
Avvisi di correzione restituiti dalla categoria Cloud Threats
Le serie di regole nella categoria Cloud Threats includono elenchi di riferimento che consentono di controllare gli avvisi generati da ogni serie di regole. In ogni elenco di riferimento, definisci i criteri di un evento UDM che esclude l'evento dalla valutazione della serie di regole.
Questa sezione descrive ogni elenco di riferimenti e fornisce valori di esempio che possono essere forniti nell'elenco.
Set di regole di azione dell'amministratore
Questa serie di regole utilizza i seguenti elenchi di riferimento per identificare i criteri in un evento UDM che esclude l'evento dalla valutazione.
| Nome generico | Descrizione |
|---|---|
| User agent HTTP | Nome elenco di riferimento: gcti__cld__admin_action__network_http_user_agent__exclusion_list.
La stringa dello user agent HTTP, ad esempio |
| Indirizzo email dell'entità | Nome elenco di riferimento: gcti__cld__admin_action__principal_email_address__exclusion_list.
Indirizzo email associato all'azione segnalata, ad esempio:
|
| Nome risorsa di destinazione | Nome elenco di riferimento:
gcti__cld__admin_action__target_resource_name__exclusion_list
Il nome della risorsa di destinazione dell'azione segnalata, ad esempio:
|
Set di regole di Cloud Hacktool
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Indirizzo email dell'utente principale | Nome dell'elenco di riferimento: "gcti__cld__hacktls__principal_user_email_addresses__exclusion_list`.
Indirizzo email associato all'azione segnalata, ad esempio:
|
| User agent HTTP | Nome dell'elenco di riferimento: "gcti__cld__hacktls__network_http_user_agent__exclusion_list`.
La stringa dello user agent HTTP, ad esempio |
| ID utente principale | Nome dell'elenco di riferimento: "gcti__cld__hacktls__principal_user_userid__exclusion_list`.
ID utente associato all'azione segnalata, ad esempio |
| Progetto cloud di destinazione | Nome dell'elenco di riferimento: "gcti__cld__hacktls__target_cloud_project_name__exclusion_list`.
Il nome del progetto Google Cloud associato all'azione segnalata, ad esempio |
Set di regole di abuso IAM
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Indirizzo email dell'utente principale | Nome dell'elenco di riferimento: "gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list`.
Indirizzo email di origine associato all'azione segnalata, ad esempio |
| Nome risorsa di destinazione | Nome dell'elenco di riferimento: "gcti__cld__iamabuse__target_resource_name__exclusion_list`.
Account di servizio scelto come target associato all'azione segnalata, ad esempio |
| User agent HTTP | Nome dell'elenco di riferimento: "gcti__cld__iamabuse__network_http_user_agent__exclusion_list".
La stringa dello user agent HTTP, ad esempio |
Potenziale regola per attività di esfiltrazione impostata
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Nome della risposta | Nome elenco di riferimento: gcti__cld__exfil__answer_name__exclusion_list.
Risposta alla query DNS specificata, ad esempio |
| Nome domanda | Nome elenco di riferimento: gcti__cld__exfil__question_name__exclusion_list.
Oggetto della query DNS, ad esempio |
| Nome risorsa | Nome elenco di riferimento: gcti__cld__exfil__resource_name__exclusion_list.
Nome host o nome della risorsa della VM che esegue le query DNS. |
| Dati risposta | Nome elenco di riferimento: gcti__cld__exfil__response_data__exclusion_list.
Parte dei dati della risposta, ad esempio |
Set di regole di mascheramento delle risorse
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Nome progetto cloud di destinazione | Nome dell'elenco di riferimento: "gcti__cld__res_masq__target_cloud_project_name__exclusion_list".
Nome del progetto Google Cloud associato all'azione segnalata, ad esempio project-example-123456 |
| User agent HTTP di rete | Nome dell'elenco di riferimento: "gcti__cld__res_masq__network_http_user_agent__exclusion_list".
Nome dello user agent di origine, ad esempio Mozilla/5.0
(Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv)
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0
Chrome/94.0.4606.71 Mobile Safari/537.36. |
| Nome risorsa di destinazione | Nome dell'elenco di riferimento: "gcti__cld__res_masq__target_resource_name__exclusion_list"
Nome della risorsa scelta come target dell'azione segnalata, ad esempio il nome di un'istanza Compute Engine o di un nodo Google Kubernetes Engine. |
Set di regole di interruzione dei servizi
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Indirizzo email dell'utente principale | Nome dell'elenco di riferimento: "gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list". Indirizzo email di origine associato all'azione segnalata, ad esempio: foobar@example.com |
| Nome progetto cloud di destinazione | Nome dell'elenco di riferimento: "gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list". Nome del progetto Google Cloud scelto come target associato all'azione segnalata, ad esempio: unicorn-prod-424543 |
| User agent HTTP | Nome dell'elenco di riferimento: "gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list". Stringa dello user agent HTTP che può identificare l'origine del traffico di rete, ad esempio: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko)
Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36. |
Set di regole di comportamento sospetto
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Indirizzo email dell'utente principale | Nome dell'elenco di riferimento: "gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list" Indirizzo email di origine associato all'azione segnalata, ad esempio foobar@example.com |
| Indirizzo email utente di destinazione | Nome dell'elenco di riferimento: "gcti__cld__susbehavior__target_user_email_addresses__exclusion_list". Indirizzo email target associato all'azione segnalata, ad esempio: foobar@example.com |
| Nome risorsa di destinazione | Nome dell'elenco di riferimento: "gcti__cld__susbehavior__target_resource_name__exclusion_list`. Nome della risorsa scelta come target dall'azione segnalata. Ad esempio, il nome del progetto o dell'istanza. |
| Nome progetto cloud di destinazione | Nome dell'elenco di riferimento: "gcti__cld__susbehavior__target_cloud_project_name__exclusion_list". Nome del progetto Google Cloud target associato all'azione segnalata, ad esempio: unicorn-prod-424543 |
Set di regole di modifica dell'infrastruttura sospetto
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Nome progetto cloud di destinazione | Nome dell'elenco di riferimento: "gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list" Nome del progetto Google Cloud associato all'azione segnalata, ad esempio project-example-123456 |
| Indirizzo email dell'utente principale | Nome dell'elenco di riferimento: "gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list" Indirizzo email di origine associato all'azione segnalata, ad esempio alice@example.com |
| User agent HTTP di rete | Nome dell'elenco di riferimento: `gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list` Il nome dello user agent di origine, ad esempio Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36.
|
| Nome risorsa di destinazione | Nome dell'elenco di riferimento: "gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list" Nome della risorsa scelta come target dell'azione segnalata, ad esempio il nome di un disco o di un'immagine Compute. |
| Etichetta attributo risorsa di destinazione | Nome dell'elenco di riferimento: "gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list" Nome dell'attributo della risorsa scelto come target dall'azione segnalata, ad esempio il nome di uno snapshot di Compute. |
Set di regole di configurazione deboli
Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.
| Nome generico | Descrizione |
|---|---|
| Nome ruolo attributo entità | Nome dell'elenco di riferimento: 'gcti__cld__weak_config__principal_attribute_role_name__exclusion_list`
Il ruolo che l'utente principale ha applicato o attribuito a una risorsa di destinazione, ad esempio:
|
| Indirizzo email dell'entità | Nome dell'elenco di riferimento: "gcti__cld__weak_config__principal_email_address__exclusion_list`
Indirizzo email associato all'azione segnalata, ad esempio:
|
| Tipo di evento del prodotto | Nome dell'elenco di riferimento: 'gcti__cld__weak_config__product_event_type__exclusion_list`
Specifica la risorsa e il metodo associati all'evento nell'azione segnalata, ad esempio:
|
| Nome progetto di destinazione | Nome dell'elenco di riferimento: "gcti__cld__weak_config__target_project_name__exclusion_list"
Il nome del progetto di destinazione dell'azione segnalata, ad esempio:
|