クラウド脅威のカテゴリの概要

このドキュメントでは、Cloud 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。このルールセットは、Cloud Audit Logs を使用して Google Cloud 環境内の脅威を識別する際に利用されます。

• 管理操作: 管理操作に関連するアクティビティ。不審なアクティビティであるものの、組織の使用状況に応じて潜在的に正当なものと考えられます。
• Cloud Hacktool: 既知の攻撃可能なセキュリティ プラットフォームから検出されたアクティビティ、またはクラウド リソースを対象とした脅威アクターによって悪用された、悪意のあるツールやソフトウェアから検出されたアクティビティ。
• IAM の不正使用: IAM のロールと権限を不正使用して、特定の Cloud プロジェクト内または Cloud 組織全体で潜在的に権限を昇格または移動させることに関連するアクティビティ。
• 潜在的な引き出しのアクティビティ: 潜在的なデータの引き出しに関連するアクティビティを検出します。
• リソース マスカレード: 別のリソースまたはリソースタイプの名前や特徴を使用して作成された Google Cloud リソースを検出します。これは、正当なリクエストであるように意図してリソースにより実行される、またはリソース内で実行される悪意のあるアクティビティをマスクするために使用できます。
• サービスの中断: 本番環境で動作している場合、重大な停止を引き起こす可能性がある破壊的または混乱を引き起こすアクションを検出します。検出された動作は一般的であり、テスト環境や開発環境では問題ないと考えられます。
• 不審なアクティビティ: ほとんどの環境で、一般的ではなく疑わしいと考えられるアクティビティ。
• 不審なインフラストラクチャ変更: 既知の永続性戦術に合わせて本番環境のインフラストラクチャに対する変更を検出します。
• 脆弱な構成: セキュリティ制御の弱化または低下に関連するアクティビティ。不審と考えられ、組織の使用状況に応じて潜在的に正当と考えられます。

サポート対象のデバイスとログタイプ

次のセクションでは、Cloud 脅威カテゴリのルールセットに必要なデータについて説明します。

Google Cloud の Cloud Audit Logs を収集することをおすすめします。一部のルールでは、Cloud DNS Logging を有効にする必要があります。 データが次のログに記録されるように Google Cloud サービスが構成されていることを確認します。

• Cloud Audit Logs
• Cloud DNS のログ

これらのログを Chronicle に取り込むには、Chronicle への Cloud ログの取り込みをご覧ください。別の仕組みを使用してこれらのログを収集する必要がある場合は、Chronicle の担当者にお問い合わせください。

Chronicle のサポート対象となっているすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Cloud 脅威のカテゴリから返されるアラートの調整

Cloud 脅威カテゴリのルールセットには、各ルールセットによって生成されたアラートを制御できる参照リストが含まれています。各参照リストで、ルールセットによる評価からイベントを除外する UDM イベントの条件を定義します。

このセクションでは、各参照リストについて説明し、参照リストで指定可能なサンプル値を示します。

管理アクション ルールセット

このルールセットでは、次の参照リストを使用して、評価対象のイベントを除外する UDM イベントの条件を特定します。

一般名	説明
HTTP ユーザー エージェント	参照リスト名: gcti__cld__admin_action__network_http_user_agent__exclusion_list。 HTTP ユーザー エージェント文字列（例: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36.）。
プリンシパル メールアドレス	参照リスト名: gcti__cld__admin_action__principal_email_address__exclusion_list。 フラグ対象の操作に関連付けられたメールアドレス（例: foobar@google.com）。
ターゲット リソース名	参照リスト名: gcti__cld__admin_action__target_resource_name__exclusion_list。 フラグ対象のアクションのターゲット リソースの名前。例: project/foobar organization/foobar instance/foobar

Cloud Hacktool ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
プリンシパル ユーザーのメールアドレス	参照リスト名: `gcti__cld__hacktls__principal_user_email_addresses__exclusion_list`。 フラグ対象の操作に関連付けられたメールアドレス（例: foobar@example.com）。
HTTP ユーザー エージェント	参照リスト名: `gcti__cld__hacktls__network_http_user_agent__exclusion_list`。 HTTP ユーザー エージェント文字列（例: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36）。
プリンシパル ユーザー ID	参照リスト名: `gcti__cld__hacktls__principal_user_userid__exclusion_list`。 フラグ対象の操作に関連付けられたユーザー ID（例: 123456789012345678901、system:serviceaccount:foo:bar）。
ターゲット クラウド プロジェクト	参照リスト名: `gcti__cld__hacktls__target_cloud_project_name__exclusion_list`。 フラグ対象の操作に関連付けられた Google Cloud プロジェクトの名前（例: project-foobar-123）。

IAM 不正使用ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
プリンシパル ユーザーのメールアドレス	参照リスト名: `gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list`。 フラグ対象の操作に関連付けられた元のメールアドレス（例: foobar@example.com）。
ターゲット リソース名	参照リスト名: `gcti__cld__iamabuse__target_resource_name__exclusion_list`。 フラグ対象の操作に関連付けられたターゲット サービス アカウント（例: foobar-123@foofoo.iam.gserviceaccount.com）。
HTTP ユーザー エージェント	参照リスト名: `gcti__cld__iamabuse__network_http_user_agent__exclusion_list`。 HTTP ユーザー エージェント文字列（例: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36.）。

潜在的な漏洩行為ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
回答の名前	参照リスト名: gcti__cld__exfil__answer_name__exclusion_list。 指定された DNS クエリに対する回答（例: analytics.example.com）。
質問の名前	参照リスト名: gcti__cld__exfil__question_name__exclusion_list。 DNS クエリのサブジェクト（例: analytics.example.com）。
リソース名	参照リスト名: gcti__cld__exfil__resource_name__exclusion_list。 DNS クエリを行う VM のホスト名またはリソース名。
回答のデータ	参照リスト名: gcti__cld__exfil__response_data__exclusion_list。 回答のデータ部分（例: analytics.bar.com.example.net）。

リソース マスカレード ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
対象の Cloud プロジェクト名	参照リスト名: `gcti__cld__res_masq__target_cloud_project_name__exclusion_list`。 フラグ対象の操作に関連付けられた Google Cloud プロジェクト名（例: project-example-123456）。
ネットワーク HTTP ユーザー エージェント	参照リスト名: `gcti__cld__res_masq__network_http_user_agent__exclusion_list`。 元のユーザー エージェントの名前（例: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36）。
ターゲット リソース名	参照リスト名: `gcti__cld__res_masq__target_resource_name__exclusion_list`。 フラグ対象の操作のターゲットとなるリソースの名前（Compute Engine インスタンスや Google Kubernetes Engine ノードの名前など）。

サービス中断ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
プリンシパル ユーザーのメールアドレス	参照リスト名: `gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list`。 フラグ対象の操作に関連付けられた元のメールアドレス（例: foobar@example.com）。
対象の Cloud プロジェクト名	参照リスト名: `gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list`。 フラグ対象の操作に関連付けられたターゲット Google Cloud プロジェクト名（例: unicorn-prod-424543）。
HTTP ユーザー エージェント	参照リスト名: `gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list`。 ネットワーク トラフィックのソースを識別できる HTTP ユーザー エージェント文字列（例: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36）。

不審な行為ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
プリンシパル ユーザーのメールアドレス	参照リスト名: `gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list`。 フラグ対象の操作に関連付けられた元のメールアドレス（例: foobar@example.com）。
対象ユーザーのメールアドレス	参照リスト名: `gcti__cld__susbehavior__target_user_email_addresses__exclusion_list`。 フラグ対象の操作に関連付けられたターゲット メールアドレス（例: foobar@example.com）。
ターゲット リソース名	参照リスト名: `gcti__cld__susbehavior__target_resource_name__exclusion_list`。 フラグ対象の操作のターゲットとなるリソースの名前。たとえば、プロジェクト名やインスタンス名などです。
対象の Cloud プロジェクト名	参照リスト名: `gcti__cld__susbehavior__target_cloud_project_name__exclusion_list`。 フラグ対象の操作に関連付けられたターゲット Google Cloud プロジェクト名（例: unicorn-prod-424543）。

不審なインフラストラクチャの変更のルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
対象の Cloud プロジェクト名	参照リスト名: `gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list`。 フラグ対象の操作に関連付けられた Google Cloud プロジェクト名（例: project-example-123456）。
プリンシパル ユーザーのメールアドレス	参照リスト名: `gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list`。 フラグ対象の操作に関連付けられた元のメールアドレス（例: alice@example.com）。
ネットワーク HTTP ユーザー エージェント	参照リスト名: `gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list`。 元のユーザー エージェントの名前（例: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36）。
ターゲット リソース名	参照リスト名: `gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list`。 フラグ対象の操作のターゲットとなるリソース名（例: コンピューティング ディスクやイメージの名前など）。
ターゲット リソース属性ラベル	参照リスト名: `gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list`。 フラグ対象の操作のターゲットとなるリソース属性の名前（例: コンピューティング スナップショットの名前など）。

脆弱な構成ルールセット

UDM イベントでルールセットによって評価されるイベントを除外する条件を定義するには、次の参照リストを使用します。

一般名	説明
プリンシパル属性のロール名	参照リスト名: `gcti__cld__weak_config__principal_attribute_role_name__exclusion_list` プリンシパル ユーザーがターゲット リソースに適用または関連付けたロール。例: role/instance.viewer role/storage.owner
プリンシパル メールアドレス	参照リスト名: `gcti__cld__weak_config__principal_email_address__exclusion_list` フラグ対象の操作に関連付けられたメールアドレス（例: foobar@google.com）。
プロダクト イベントタイプ	参照リスト名: `gcti__cld__weak_config__product_event_type__exclusion_list` フラグ付きのアクションで、イベントに関連するリソースとメソッドを指定します。例: compute.instances.setMetadata storage.setiamPermissions
ターゲット プロジェクト名	参照リスト名: `gcti__cld__weak_config__target_project_name__exclusion_list` フラグ対象のアクションのターゲット プロジェクトの名前。例: project/foobar