コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

クラウド脅威のカテゴリの概要

このドキュメントでは、Cloud 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。このルールセットは、Cloud Audit Logs を使用して Google Cloud 環境内の脅威を識別する際に利用されます。

  • 管理操作: 管理操作に関連するアクティビティ。不審なアクティビティであるものの、組織の使用状況に応じて潜在的に正当なものと考えられます。
  • 潜在的なデータの引き出し: データの引き出しに関連するアクティビティを検出します。
  • 不審な動作: ほとんどの環境で不審な動作に関連付けられているアクティビティ。
  • 脆弱な構成: セキュリティ管理の脆弱性または低下に関連するアクティビティ。不審と考えられ、組織の使用状況に応じて潜在的に正当と考えられます。

サポート対象のデバイスとログタイプ

次のセクションでは、Cloud 脅威カテゴリのルールセットに必要なデータについて説明します。

Google Cloud の Cloud Audit Logs を収集することをおすすめします。一部のルールでは、Cloud DNS Logging を有効にする必要があります。 データが次のログに記録されるように Google Cloud サービスが構成されていることを確認します。

これらのログを Chronicle に取り込むには、Chronicle への Cloud ログの取り込みをご覧ください。別のメカニズムを使用してこれらのログを収集する必要がある場合は、Chronicle の担当者にお問い合わせください。

Chronicle のサポート対象となっているすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

Cloud 脅威のカテゴリから返されるアラートの調整

Cloud 脅威カテゴリのルールセットには、各ルールセットによって生成されたアラートを制御できる参照リストが含まれています。各参照リストで、ルールセットによって評価されるイベントを除外する UDM イベントの基準を定義します。

このセクションでは、各リファレンス リストについて説明し、リファレンス リストで指定できる値の例を示します。

管理アクション ルールセット

このルールセットでは、次の参照リストを使用して、評価対象のイベントを除外する UDM イベントの条件を特定します。

一般名 説明
プリンシパル メールアドレス 参照リストの名前: gcti__cld__admin_action__principal_email_address__exclusion_list

フラグ対象の操作に関連付けられたメールアドレス(例: foobar@google.com)。

ターゲット リソース名 参照リストの名前: gcti__cld__admin_action__target_resource_name__exclusion_list

フラグ対象のアクションのターゲット リソースの名前。例:

project/foobar

organization/foobar

instance/foobar

潜在的なデータの引き出しルールセット

UDM イベントで条件をルールセットの評価対象から除外する条件を定義するには、次の参照リストを使用します。

一般名 説明
回答の名前 参照リストの名前: gcti__cld__exfil__answer_name__exclusion_list

該当する DNS クエリに対する回答(例: analytics.example.com)。

質問の名前 参照リストの名前: gcti__cld__exfil__question_name__exclusion_list

DNS クエリのサブジェクト(例: analytics.example.com)。

リソース名 参照リストの名前: gcti__cld__exfil__resource_name__exclusion_list

DNS クエリを行う VM のホスト名またはリソース名。

回答のデータ 参照リストの名前: gcti__cld__exfil__response_data__exclusion_list

回答のデータ部分(例: analytics.bar.com.example.net)。

脆弱な構成ルールセット

UDM イベントで条件をルールセットの評価対象から除外する条件を定義するには、次の参照リストを使用します。

一般名 説明
プリンシパル属性のロール名 参照リストの名前: gcti__cld__weak_config__principal_attribute_role_name__exclusion_list

プリンシパル ユーザーがターゲット リソースに適用または関連付けたロール。例:

role/instance.viewer

role/storage.owner

プリンシパル メールアドレス 参照リストの名前: gcti__cld__weak_config__principal_email_address__exclusion_list

フラグ対象の操作に関連付けられたメールアドレス(例: foobar@google.com)。

プロダクトのイベントタイプ 参照リストの名前: gcti__cld__weak_config__product_event_type__exclusion_list

フラグ付きのアクションで、イベントに関連するリソースとメソッドを指定します。例:

compute.instances.setMetadata

storage.setiamPermissions

ターゲット プロジェクト名 参照リストの名前: gcti__cld__weak_config__target_project_name__exclusion_list

フラグ対象のアクションのターゲット プロジェクトの名前。例:

project/foobar