Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Panoramica della categoria Cloud Threats

Questo documento fornisce una panoramica delle serie di regole nella categoria Cloud Threats, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ogni serie di regole. Questi set di regole aiutano a identificare le minacce negli ambienti Google Cloud utilizzando Cloud Audit Logs e includono quanto segue:

  • Azione amministrativa: attività associata alle azioni amministrative, considerata sospetta ma potenzialmente legittima a seconda dell'uso organizzativo.
  • Cloud Hacktool: attività rilevata da piattaforme di sicurezza offensive note o
    da strumenti/software offensivi utilizzati in natura da utenti malintenzionati che hanno come target specifiche risorse cloud.
  • Abuso IAM: attività associata all'abuso dei ruoli e delle autorizzazioni IAM per
    eseguire l'escape dei privilegi o spostarsi lateralmente all'interno di un determinato progetto Cloud o in un'organizzazione Cloud.
  • Potenziale attività di espulsione: rileva le attività associate a potenziali esfiltrazioni di dati.
  • Disagi nel servizio: rileva azioni dannose o dannose che, se eseguite in un ambiente di produzione funzionante, possono causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente positivo negli ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenuta insolita e sospetta in
    gran parte degli ambienti.
  • Configurazione debole: attività associata all'indebolimento o al degrado di un controllo di sicurezza. Sono ritenuti sospetti e potenzialmente legittimi in base all'uso organizzativo.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche all'infrastruttura di produzione che si allineano alle tattiche di persistenza note

Dispositivi e tipi di log supportati

La sezione seguente descrive i dati richiesti dalle serie di regole nella categoria Cloud minre.

Ti consigliamo di raccogliere gli audit log di Google Cloud Cloud. Alcune regole richiedono ai clienti di abilitare Cloud DNS Logging. Assicurati che i servizi Google Cloud siano configurati per registrare i dati nei seguenti log:

Per importare questi log in Chronicle, consulta la pagina Importare i log di Cloud in Chronicle. Contatta il tuo rappresentante Chronicle se devi raccogliere questi log utilizzando un meccanismo diverso.

Per un elenco di tutte le origini dati supportate da Chronicle, consulta Analizzatori predefiniti supportati.

Avvisi di ottimizzazione restituiti dalla categoria Cloud Threats

Gli insiemi di regole nella categoria Cloud Threats includono elenchi di riferimento che consentono di controllare gli avvisi generati da ogni insieme di regole. In ogni elenco di riferimento, definisci i criteri di un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Questa sezione descrive ciascun elenco di riferimento e fornisce valori di esempio che possono essere forniti nell'elenco di riferimenti.

Set di regole di azione amministratore

Questo set di regole utilizza i seguenti elenchi di riferimento per identificare criteri in un evento UDM che esclude l'evento dalla valutazione.

Nome generico Descrizione
Indirizzo email principale Nome elenco di riferimento: gcticldadminaction_principal_emailaddress_exclusion_list

E-mail address associated with the flagged action, for example: foobar@google.com

Nome risorsa di destinazione Nome elenco di riferimento: gcti__cld__admin_action__target_resource_name__exclusion_list

Il nome della risorsa di destinazione dell'azione segnalata, ad esempio:

progetto/foobar

organizzazione/foobar

instance/foobar

Set di regole Cloud Hacktool

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Indirizzo email dell'utente principale Nome elenco di riferimento: gcti__cld__hacktls__principal_user_email_addresses__exclusion_list
Indirizzo email associato all'azione segnalata, ad esempio: foobar@example.com
User agent HTTP Nome elenco di riferimento: gcti__cld__hacktls__network_http_user_agent__exclusion_list
Agente utente HTTP, ad esempio Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, come Gecko) Versione/4.0 Chrome/94.0.4606.713 Safari per dispositivi mobili/53
ID utente principale Nome elenco di riferimento: gcti__cld__hacktls__principal_user_userid__exclusion_list
User-ID associato all'azione segnalata, ad esempio: "123456789012345678901" o "system:serviceaccount:foo:bar"
Progetto cloud di destinazione Nome elenco di riferimento: gcti__cld__hacktls__target_cloud_project_name__exclusion_list
Il nome del progetto Cloud associato all'azione segnalata, ad esempio: project-foobar-123

Regola abuso IAM

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Indirizzo email dell'utente principale Nome dell'elenco di riferimento: gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list
Indirizzo email di origine associato all'azione segnalata, ad esempio foobar@example.com
Nome risorsa di destinazione Nome dell'elenco di riferimento: gcti__cld__iamabuse__target_resource_name__exclusion_list
Account di servizio target associato all'azione segnalata, ad esempio foobar-123@foofoo.iam.gserviceaccount.com.

Potenziale regola di attività di evasione impostata

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Nome della risposta Nome elenco di riferimento: gcticldexfilanswer_nameexclusion_list

Rispondi alla query DNS fornita, ad esempio analytics.example.com.

Nome della domanda Nome elenco di riferimento: gcti__cld__exfil__question_name__exclusion_list

Oggetto della query DNS, ad esempio analytics.example.com.

Nome della risorsa Nome elenco di riferimento: gcti__cld__exfil__resource_name__exclusion_list

Nome host o nome della risorsa della VM che esegue le query DNS.

Dati risposta Nome elenco di riferimento: gcti__cld__exfil__response_data__exclusion_list

Parte dei dati della risposta, ad esempio analytics.bar.com.example.net.

Set di regole di interruzione del servizio

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Indirizzo email dell'utente principale Nome elenco di riferimento: gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list.
Indirizzo email di origine associato all'azione segnalata, ad esempio: foobar@example.com
Nome progetto cloud di destinazione Nome elenco di riferimento: gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list.
Nome del progetto cloud target associato all'azione segnalata, ad esempio: unicorn-prod-424543
User agent HTTP Nome dell'elenco di riferimento: gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list
User agent HTTP che può identificare l'origine del traffico di rete, ad esempio:
Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, come Gecko) Versione/4.0 Chrome/94.0.460/660

Set di regole di comportamento sospetto

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Indirizzo email dell'utente principale Nome dell'elenco di riferimento: gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list
Indirizzo email di origine associato all'azione segnalata, ad esempio foobar@example.com
Indirizzo email dell'utente di destinazione Nome elenco di riferimento: gcti__cld__susbehavior__target_user_email_addresses__exclusion_list.
Indirizzo email target associato all'azione segnalata, ad esempio: foobar@example.com
Nome risorsa di destinazione Nome elenco di riferimento: gcti__cld__susbehavior__target_resource_name__exclusion_list.
Nome della risorsa scelta come target dell'azione segnalata. Ad esempio, il nome del progetto o dell'istanza.
Nome progetto cloud di destinazione Nome elenco di riferimento: gcti__cld__susbehavior__target_cloud_project_name__exclusion_list.
Nome del progetto cloud scelto come target associato all'azione segnalata, ad esempio: unicorn-prod-424543

Set di regole di configurazione deboli

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Nome ruolo attributo principale Nome elenco di riferimento: `gcti__cld__weak_config__principal_attribute_role_name__exclusion_list`

Il ruolo che l'utente principale ha applicato o attribuito a una risorsa di destinazione, ad esempio:

role/instance.viewer

role/storage/owner

Indirizzo email principale Nome elenco di riferimento: `gcti__cld__weak_config__principal_email_address__exclusion_list`

Indirizzo email associato all'azione segnalata, ad esempio: foobar@google.com

Tipo di evento prodotto Nome dell'elenco di riferimento: `gcti__cld__weak_config__product_event_type__exclusion_list`

Specifica la risorsa e il metodo associati all'evento nell'azione segnalata, ad esempio:

compute.instances.setMetadata

storage.setiamPermissions

Nome progetto di destinazione Nome elenco di riferimento: `gcti__cld__weak_config__target_project_name__exclusion_list`

Il nome del progetto di destinazione dell'azione segnalata, ad esempio:

progetto/foobar

Modifica dell'infrastruttura sospetta

Utilizza i seguenti elenchi di riferimento per definire i criteri in un evento UDM che esclude l'evento dalla valutazione della serie di regole.

Nome generico Descrizione
Nome progetto cloud di destinazione Nome dell'elenco di riferimento: gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list
Nome del progetto cloud associato all'azione segnalata, ad esempio project-example-123456
Indirizzo email dell'utente principale Nome dell'elenco di riferimento: gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list
Indirizzo email di origine associato all'azione segnalata, ad esempio alice@example.com
User agent HTTP di rete Nome elenco di riferimento: gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list
Nome dello user agent di origine, ad esempio Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, come Gecko) Versione/4.0 Chrome/94.0.4606.71 Mobile Safari/53
Nome risorsa di destinazione Nome elenco di riferimento: gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list
Nome della risorsa scelta come target dell'azione segnalata, come il nome di un disco o di un'immagine Compute.
Etichetta attributo risorsa di destinazione Nome elenco di riferimento: gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list
Nome dell'attributo della risorsa scelto come target dall'azione segnalata, ad esempio il nome di uno snapshot Compute.