Panoramica della categoria delle minacce cloud

Questo documento fornisce una panoramica delle serie di regole nella categoria Minacce Cloud, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni serie di regole. Le serie di regole aiutano a identificare le minacce negli ambienti Google Cloud utilizzando i dati di Google Cloud e in ambienti AWS con i dati AWS.

Descrizioni delle serie di regole

Nella categoria Cloud Minacce sono disponibili le seguenti serie di regole.

L'abbreviazione CDIR è l'acronimo di Cloud Detection, Investigation and Response.

Rilevamenti selezionati per i dati di Google Cloud

Le serie di regole Google Cloud aiutano a identificare le minacce negli ambienti AWS utilizzando dati di eventi e contesto e includono le seguenti serie di regole:

  • Azione amministrativa: attività associata ad azioni amministrative, ritenute sospette ma potenzialmente legittime a seconda dell'uso organizzativo.
  • Esfiltrazione avanzata SCC CDIR: contiene regole sensibili al contesto che correlano i risultati dell'esfiltrazione di Security Command Center con altre origini log, come i log di Cloud Audit Logs, il contesto di Sensitive Data Protection, il contesto BigQuery e i log di configurazione errata di Security Command Center.
  • CDIR SCC Advanced Defense Evasion: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Evasion o Defense Evasion con i dati di altre origini dati Google Cloud come Cloud Audit Logs.
  • Malware avanzato SCC CDIR: contiene regole sensibili al contesto che correlano i risultati del malware di Security Command Center a dati come la presenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati come i log di Cloud DNS.
  • Persistenza avanzata SCC di CDIR: contiene regole sensibili al contesto che correlano i risultati relativi alla persistenza di Security Command Center con dati provenienti da origini come i log di Cloud DNS e i log di analisi IAM.
  • Escalation dei privilegi avanzata di CDIR SCC: contiene regole sensibili al contesto che correlano i risultati dell'escalation dei privilegi di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • Accesso alle credenziali SCC CDIR: contiene regole sensibili al contesto che correlano i risultati dell'accesso alle credenziali di Security Command Center ai dati di diverse altre origini dati, come Cloud Audit Logs
  • CDIR SCC Advanced Discovery: contiene regole sensibili al contesto che correlano i risultati dell'escalation di Security Command Center Discovery con dati provenienti da origini come i servizi Google Cloud e Cloud Audit Logs.
  • CDIR SCC - Forza bruta: contiene regole sensibili al contesto che correlano i risultati dell'escalation di forza bruta di Security Command Center a dati come i log di Cloud DNS.
  • Distruzione dei dati SCC CDIR: contiene regole sensibili al contesto che correlano i risultati dell'escalation dei dati di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • Inhibit System Recovery di CDIR SCC: contiene regole sensibili al contesto che correlano i risultati di Security Command Center Inhibit System Recovery ai dati di diverse altre origini dati come Cloud Audit Logs.
  • Esecuzione SCC di CDIR: contiene regole sensibili al contesto che correlano i risultati dell'esecuzione di Security Command Center ai dati di diverse altre origini dati, come Cloud Audit Logs.
  • Accesso iniziale SCC CDIR: contiene regole sensibili al contesto che correlano i risultati dell'accesso iniziale di Security Command Center ai dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC danneggia le difese: contiene regole sensibili al contesto che correlano i risultati delle difese di Security Command Center con i dati di diverse altre origini dati come Cloud Audit Logs.
  • Impatto SCC di CDIR: contiene regole che rilevano i risultati dell'Impatto da Security Command Center con una classificazione di gravità critica, elevata, media e bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati del Cloud Intrusion Detection System da Security Command Center con una classificazione di gravità critica, alta, media e bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • CDIR SCC Custom Module: contiene regole che rilevano i risultati del modulo personalizzato Event Threat Detection da Security Command Center.
  • Cloud Hacktool: attività rilevata da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in natura da parte di autori di minacce che prendono di mira in modo specifico risorse cloud.
  • Ransom Cloud SQL: rileva le attività associate all'esfiltrazione o al riscatto dei dati all'interno dei database Cloud SQL.
  • Strumenti sospetti di Kubernetes: rileva il comportamento di ricognizione e exploit da parte di strumenti Kubernetes open source.
  • Abuso di Kubernetes RBAC: rileva l'attività Kubernetes associata all'abuso di controlli degli accessi basati sui ruoli (RBAC) che tentano l'escalation dei privilegi o il movimento laterale.
  • Azioni sensibili ai certificati Kubernetes: rileva le azioni relative ai certificati e alle richieste di firma di certificati (CSR) di Kubernetes che potrebbero essere utilizzate per stabilire la persistenza o riassegnare i privilegi.
  • Abuso IAM: attività associata all'abuso di ruoli e autorizzazioni IAM per eseguire potenzialmente l'escalation dei privilegi o lo spostamento laterale all'interno di un determinato progetto Cloud o all'interno di un'organizzazione Cloud.
  • Potenziale attività di esfiltrazione: rileva l'attività associata alla potenziale esfiltrazione di dati.
  • Masquerading delle risorse: rileva le risorse Google Cloud create con nomi o caratteristiche di un'altra risorsa o un altro tipo di risorsa. Potrebbero essere utilizzati per mascherare le attività dannose svolte dalla risorsa o al suo interno, con l'intento di sembrare legittime.
  • Minacce serverless : rileva l'attività associata a potenziali compromissioni o abusi di risorse serverless in Google Cloud, come Cloud Run e Cloud Functions.
  • Interruzione del servizio: rileva azioni distruttive o di disturbo che, se eseguite in un ambiente di produzione funzionante, potrebbero causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente benigno negli ambienti di test e sviluppo.
  • Comportamento sospetto: attività considerata non comune e sospetta nella maggior parte degli ambienti.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche all'infrastruttura di produzione in linea con le tattiche di persistenza note.
  • Configurazione indebolita: attività associata a indebolimento o riduzione di un controllo di sicurezza. Considerati sospetti e potenzialmente legittimi a seconda dell'uso dell'organizzazione.
  • Potenziale esfiltrazione di dati provenienti da Chrome: rileva le attività associate a potenziali comportamenti di minacce interne, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a una base di riferimento di 30 giorni.
  • Potenziale esfiltrazione di dati interni da Drive: rileva le attività associate a potenziali comportamenti di minacce interne, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a 30 giorni di riferimento.
  • Potenziale esfiltrazione di dati provenienti da personale interno da Gmail: rileva le attività associate a potenziali comportamenti di minacce interne, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Ciò include comportamenti di Gmail considerati anomali rispetto a 30 giorni di riferimento.
  • Potenziale compromissione dell'account Workspace: rileva i comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e che potrebbe causare tentativi di escalation dei privilegi o tentativi di movimento laterale all'interno di un'organizzazione Google Workspace. Sono inclusi comportamenti considerati rari o anomali rispetto a un valore basale di 30 giorni.
  • Azioni amministrative di Workspace sospette: rileva i comportamenti che indicano potenziali evasione, downgrade della sicurezza o comportamenti rari e anomali mai rilevati negli ultimi 30 giorni da utenti con privilegi più elevati, come gli amministratori.

L'abbreviazione CDIR è l'acronimo di Cloud Detection, Investigation and Response.

Dispositivi e tipi di log supportati

Le seguenti sezioni descrivono i dati richiesti necessari per le serie di regole nella categoria Minacce Cloud.

Per importare i dati dai servizi Google Cloud, vedi Importare i log di Cloud in Chronicle. Contatta il rappresentante di Chronicle se devi raccogliere questi log utilizzando un meccanismo diverso.

Chronicle fornisce parser predefiniti che analizzano e normalizzano i log non elaborati dei servizi Google Cloud per creare record UDM con i dati richiesti da questi set di regole.

Per un elenco di tutte le origini dati supportate da Chronicle, consulta Analizzatori predefiniti supportati.

Tutte le serie di regole

Per utilizzare qualsiasi set di regole, consigliamo di raccogliere gli audit log di Google Cloud Cloud. Alcune regole richiedono che i clienti abilitino il logging di Cloud DNS. Assicurati che i servizi Google Cloud siano configurati in modo da registrare i dati nei seguenti log:

Set di regole ransomware Cloud SQL

Per utilizzare il set di regole Ransom di Cloud SQL, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

Serie di regole avanzate SCC CDIR

Tutte le serie di regole che iniziano con il nome CDIR SCC Advanced utilizzano i risultati di Security Command Center Premium contestualizzati con diverse altre origini log di Google Cloud, tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto di Compute Engine

Per utilizzare le serie di regole CDIR SCC avanzate, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

  • Registra i dati elencati nella sezione Tutti i set di regole.

  • I seguenti dati di log, elencati per nome del prodotto e etichetta di importazione di Chronicle:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protezione dei dati sensibili (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Le seguenti classi di risultati di Security Command Center, elencate in base all'identificatore findingClass e all'etichetta di importazione di Chronicle:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Anche i set di regole CDIR SCC avanzata dipendono dai dati provenienti dai servizi Google Cloud. Per inviare i dati richiesti a Chronicle, assicurati di completare questi passaggi:

I seguenti set di regole creano un rilevamento quando vengono identificati i risultati di Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service e Moduli personalizzati per Event Threat Detection:

  • ID cloud SCC CDIR
  • CDIR SCC Cloud Armor
  • Impatto di CDIR SCC
  • Persistenza avanzata SCC CDIR
  • Evasione di difesa avanzata SCC CDIR
  • Modulo personalizzato CDIR SCC

Set di regole Kubernetes sospette

Per utilizzare il set di regole Strumenti sospetti di Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutti i set di regole. Assicurati che i servizi Google Cloud siano configurati in modo da registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)

Set di regole relative agli abusi RBAC di Kubernetes

Per utilizzare il set di regole Abuso di Kubernetes RBAC, ti consigliamo di raccogliere gli audit log di Cloud, elencati nella sezione Tutti i set di regole.

Set di regole per azioni sensibili del certificato Kubernetes

Per utilizzare il set di regole Azioni sensibili ai certificati Kubernetes, ti consigliamo di raccogliere gli audit log di Cloud, elencati nella sezione Tutti i set di regole.

Set di regole correlate a Google Workspace

Le seguenti serie di regole rilevano pattern nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati provenienti da addetti ai lavori da Chrome
  • Potenziale esfiltrazione di dati provenienti da personale interno da Drive
  • Potenziale esfiltrazione di dati provenienti da personale interno da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative sospette nell'area di lavoro

Queste serie di regole richiedono i seguenti tipi di log, elencati per nome del prodotto ed etichetta di importazione di Chronicle:

  • Attività dell'area di lavoro (WORKSPACE_ACTIVITY)
  • Avvisi Workspace (WORKSPACE_ALERTS)
  • Dispositivi ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Set di regole per le minacce serverless

I log di Cloud Run includono log delle richieste e log dei container che vengono importati come tipo di log GCP_RUN in Chronicle. I log GCP_RUN possono essere importati utilizzando l'importazione diretta o utilizzando Feed e Cloud Storage. Per filtri di log specifici e altri dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Chronicle. Il seguente filtro di esportazione esporta i log di Google Cloud Run (GCP_RUN), oltre ai log predefiniti, sia tramite il meccanismo di importazione diretta che tramite Cloud Storage e Sink:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per le serie di regole AWS

Le serie di regole AWS in questa categoria consentono di identificare le minacce negli ambienti AWS utilizzando dati di contesto e evento e includono le seguenti serie di regole:

  • AWS - Computing: rileva l'attività anomala relativa alle risorse di calcolo AWS come EC2 e Lambda.
  • AWS - Dati: rileva l'attività AWS associata a risorse di dati come gli snapshot RDS o i bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi di AWS GuardDuty sensibili al contesto per comportamenti, accesso alle credenziali, cryptomining, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, riassegnazione dei privilegi e accesso non autorizzato.
  • AWS - Hacktools: rileva l'uso di Hacktools in un ambiente AWS come scanner, toolkit e framework.
  • AWS - Identity: rilevamenti di attività AWS associate ad IAM e attività di autenticazione, come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissiva o attività IAM da strumenti sospetti.
  • AWS - Logging e monitoraggio: rileva l'attività AWS relativa alla disattivazione dei servizi di logging e monitoraggio, come CloudTrail, CloudWatch e GuardDuty.
  • AWS - Rete: rileva le modifiche non sicure alle impostazioni della rete AWS, come gruppi di sicurezza e firewall.
  • AWS - Organizzazione: rileva l'attività AWS associata alla tua organizzazione, come l'aggiunta o la rimozione di account, e gli eventi imprevisti relativi all'utilizzo della regione.
  • AWS - Secret: rileva l'attività AWS associata a secret, token e password, ad esempio l'eliminazione di secret KMS o di secret di Secret Manager.

Dispositivi e tipi di log supportati

Queste serie di regole sono state testate e sono supportate con le seguenti origini dati Chronicle, elencate per nome del prodotto ed etichetta di importazione.

Consulta Configura l'importazione dei dati AWS per informazioni sulla configurazione dell'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, consulta Analizzatori predefiniti supportati.

Le seguenti sezioni descrivono i dati richiesti dalle serie di regole che identificano i pattern nei dati.

Puoi importare i dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). A livello generale, dovrai:

  • Configurare Amazon S3 o Amazon S3 con Amazon SQS per raccogliere i dati dei log.
  • Configurare un feed Chronicle per importare i dati da Amazon S3 o Amazon SQS

Consulta Importazione dei log AWS in Chronicle per i passaggi dettagliati necessari per configurare i servizi AWS e configurare un feed Chronicle per importare i dati AWS.

Puoi utilizzare le regole di test di AWS Managed Detection Testing per verificare che i dati AWS vengano importati in Chronicle SIEM. Queste regole di test aiutano a verificare se i dati di log di AWS vengono importati come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

Consulta la pagina relativa alla verifica dell'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test di AWS Managed Detection Testing.

Avvisi restituiti dalle serie di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte della serie di regole o di regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume di rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni di regole.

Passaggi successivi