クラウド脅威のカテゴリの概要

このドキュメントでは、Cloud 脅威カテゴリのルールセットの概要、必要なデータソース、これらのルールセットによって生成されるアラートの調整に使用できる構成について説明します。これらのルールセットは、Google Cloud データを使用する Google Cloud 環境と AWS データを使用する AWS 環境での脅威の特定に役立ちます。

ルールセットの説明

クラウド脅威のカテゴリでは、次のルールセットを使用できます。

• Google Cloud データのルールセット

• AWS データのルールセット

CDIR という略語は、Cloud Detection, Investigation, and Response の略です。

Google Cloud データのキュレーテッド検出

Google Cloud ルールセットは、イベントデータとコンテキスト データを使用して Google Cloud 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

• 管理操作: 管理操作に関連するアクティビティ。不審なアクティビティであるものの、組織の使用状況に応じて潜在的に正当なものと考えられます。
• CDIR SCC の高度な引き出し: Security Command Center の漏洩の検出結果を Cloud Audit Logs のログ、Sensitive Data Protection のコンテキスト、BigQuery のコンテキスト、Security Command Center の構成ミスのログなどの他のログソースに関連付けるコンテキストアウェア ルールが含まれます。
• CDIR SCC の高度な防御回避: Security Command Center の回避または防御回避の検出結果を、Cloud Audit Logs などの他の Google Cloud データソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC の高度なマルウェア: Cloud DNS のログなどの他のデータソースに加えて、Security Command Center のマルウェアの検出結果を IP アドレスとドメインの発生状況とその普及率スコアなどのデータと関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC の高度な永続性: Security Command Center の永続性の検出結果を、Cloud DNS ログや IAM 分析ログなどのソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC の高度な権限昇格: Security Command Center 権限昇格の検出結果を Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC 認証情報アクセス: Security Command Center 認証情報アクセスの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC の高度な検出: Security Command Center Discovery のエスカレーションの検出結果を Google Cloud サービスや Cloud Audit Logs などのソースのデータと関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC ブルート フォース: Security Command Center のブルート フォースのエスカレーションの検出結果を Cloud DNS ログなどのデータと関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC データ破棄: Security Command Center のデータ破棄のエスカレーションの検出結果を Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC システム復旧の抑制: Security Command Center のシステム復旧の抑制 の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC 実行: Security Command Center 実行の検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC 初期アクセス: Security Command Center の初期アクセスの検出結果を、Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC Impair Defenses: Security Command Center の Impair Defenses の検出結果を Cloud Audit Logs などの他のデータソースのデータに関連付けるコンテキストアウェア ルールが含まれています。
• CDIR SCC の影響: 重大、高、中、低の重大度の分類で、Security Command Center から影響の検出結果を検出するルールが含まれています。
• CDIR SCC Cloud IDS: 重大、高、中、低の重大度の分類で、Security Command Center から Cloud Intrusion Detection System の検出結果を検出するルールが含まれています。
• CDIR SCC Cloud Armor: Security Command Center から Google Cloud Armor の検出結果を検出するルールが含まれています。
• CDIR SCC カスタム モジュール: Security Command Center から Event Threat Detection のカスタム モジュールの検出結果を検出するルールが含まれています。
• Cloud Hacktool: 既知の攻撃に利用されるセキュリティ プラットフォームから検出されたアクティビティ、またはクラウド リソースを特定の対象とした脅威アクターによって悪用され攻撃に利用されるツールやソフトウェアから検出されたアクティビティ。
• Cloud SQL Ransom: Cloud SQL データベース内のデータ漏洩やランサムに関連するアクティビティを検出します。
• Kubernetes の不審なツール: オープンソースの Kubernetes ツールによる偵察攻撃や悪用の動作を検出します。
• Kubernetes RBAC の不正使用: 権限昇格やラテラル ムーブメントを試みるロールベースのアクセス制御（RBAC）の不正使用に関連する Kubernetes アクティビティを検出します。
• Kubernetes 証明書に影響するアクション: 永続性の確立や権限の昇格に使用できる Kubernetes 証明書と証明書署名リクエスト（CSR）の動作を検出します。
• IAM の不正使用: IAM のロールと権限を不正使用して、特定の Cloud プロジェクト内または Cloud 組織全体で潜在的に権限を昇格または移動させることに関連するアクティビティ。
• 潜在的な引き出しのアクティビティ: 潜在的なデータの引き出しに関連するアクティビティを検出します。
• リソース マスカレード: 別のリソースまたはリソースタイプの名前や特徴を使用して作成された Google Cloud リソースを検出します。これは、正当なリクエストであるように意図してリソースにより実行される、またはリソース内で実行される悪意のあるアクティビティをマスクするために使用できます。
• サーバーレスの脅威: Cloud Run や Cloud Functions など、Google Cloud のサーバーレス リソースの潜在的な侵害や不正使用に関連するアクティビティを検出します。
• サービスの中断: 正常に稼働している本番環境で行われた場合に、重大なサービス停止を引き起こす可能性がある破壊的または混乱を引き起こすアクションを検出します。検出された動作は一般的であり、テスト環境や開発環境では無害である可能性があります。
• 不審なアクティビティ: ほとんどの環境で、一般的ではなく疑わしいと考えられるアクティビティ。
• 不審なインフラストラクチャ変更: 既知の永続性戦術に合わせて本番環境のインフラストラクチャに対する変更を検出します。
• 脆弱な構成: セキュリティ制御の脆弱化または低下に関連するアクティビティ。不審と考えられ、組織の使用状況に応じて潜在的に正当と考えられます。
• Chrome からの潜在的なインサイダー データの引き出し: Google Workspace 組織外への潜在的なデータの引き出しや機密データの損失など、潜在的なインサイダー脅威の動作に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して Chrome が異常とみなされます。
• ドライブからの潜在的なインサイダー データの引き出し: Google Workspace 組織外への潜在的なデータの引き出しや機密データの損失など、潜在的なインサイダー脅威の動作に関連するアクティビティを検出します。これには、30 日間のベースラインと比較した場合の、異常なドライブの動作が含まれます。
• Gmail からのインサイダーデータの引き出し: Google Workspace 組織外への潜在的なデータの引き出しや機密データの損失など、潜在的なインサイダー脅威の動作に関連するアクティビティを検出します。これには、30 日間のベースラインと比較して Gmail の異常な動作が含まれます。
• Workspace アカウントの不正使用の可能性: アカウントが侵害された可能性があることを示すインサイダー脅威の動作を検出し、Google Workspace 組織内で権限昇格の試行やラテラル ムーブメントを試みる可能性があることを示します。これには、30 日間のベースラインと比較した場合の、まれな異常または異常な行動が含まれます。
• 不審なワークスペース管理アクション: 管理者などのより高い権限を持つユーザーから、過去 30 日間に見られる可能性のある回避、セキュリティ ダウングレード、またはまれに異常な動作を示す動作を検出します。

CDIR という略語は、Cloud Detection, Investigation, and Response の略です。

サポート対象のデバイスとログタイプ

以降のセクションでは、Cloud 脅威カテゴリのルールセットに必要なデータについて説明します。

Google Cloud サービスからデータを取り込むには、Chronicle への Cloud ログの取り込みをご覧ください。別の仕組みを使用してこれらのログを収集する必要がある場合は、Chronicle の担当者にお問い合わせください。

Chronicle には、Google Cloud サービスから取得した未加工のログを解析し、正規化するデフォルトのパーサーが用意されており、これらのルールセットで必要なデータを使用して UDM レコードを作成します。

Chronicle のサポート対象となっているすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

すべてのルールセット

ルールセットを使用するには、Google Cloud の Cloud Audit Logs を収集することをおすすめします。一部のルールでは、お客様が Cloud DNS ロギングを有効にする必要があります。Google Cloud サービスが次のログにデータを記録するように構成されていることを確認します。

• Cloud Audit Logs
• Cloud DNS のログ

Cloud SQL ランサム ルールセット

Cloud SQL ランサム ルールセットを使用するには、次の Google Cloud データを収集することをおすすめします。

• [すべてのルールセット] セクションにリストされているデータをログに記録します。
• Cloud SQL のログ

CDIR SCC 拡張ルールセット

CDIR SCC Enhanced で始まるすべてのルールセットは、次のような他の Google Cloud ログソースのコンテキスト情報に基づく Security Command Center Premium の検出結果を使用します。

• Cloud Audit Logs
• Cloud DNS のログ
• Identity and Access Management（IAM）の分析
• Sensitive Data Protection のコンテキスト
• BigQuery のコンテキスト
• Compute Engine のコンテキスト

CDIR SCC Enhanced ルールセットを使用するには、次の Google Cloud データを収集することをおすすめします。

• [すべてのルールセット] セクションにリストされているデータをログに記録します。

• 次のログデータがプロダクト名と Chronicle の取り込みラベルで一覧表示されています。

  • BigQuery（GCP_BIGQUERY_CONTEXT）
  • Compute Engine（GCP_COMPUTE_CONTEXT）
  • IAM（GCP_IAM_CONTEXT）
  • Sensitive Data Protection（GCP_DLP_CONTEXT）
  • Cloud Audit Logs（GCP_CLOUDAUDIT）
  • Google Workspace のアクティビティ（WORKSPACE_ACTIVITY）
  • Cloud DNS クエリ（GCP_DNS）

• 次の Security Command Center 検出結果クラスは、findingClass 識別子と Chronicle 取り込みラベルで一覧表示されています。

  • Threat（GCP_SECURITYCENTER_THREAT）
  • Misconfiguration（GCP_SECURITYCENTER_MISCONFIGURATION）
  • Vulnerability（GCP_SECURITYCENTER_VULNERABILITY）
  • SCC Error（GCP_SECURITYCENTER_ERROR）

CDIR SCC Enhanced ルールセットは、Google Cloud サービスのデータにも依存します。必要なデータを Chronicle に送信するには、次の操作が完了していることを確認してください。

• 必要な Google Cloud プロダクトやサービスのロギングを有効にします。
• Security Command Center Premium と関連サービスを有効にします。
• Chronicle に Google Cloud ログの取り込みを構成します。
• Chronicle への Event Threat Detection の検出結果のエクスポートを構成します。デフォルトでは、Security Command Center のすべての検出結果が取り込まれます。Chronicle のデフォルト パーサーがデータ フィールドをマッピングする方法については、Security Command Center の検出結果のエクスポートをご覧ください。
• Cloud Audit Logs を有効にして、Chronicle への Cloud Audit Logs のエクスポートを構成します。詳細については、Cloud Audit Logs の収集をご覧ください。
• Google Workspace ログを有効にして、これらのログを Chronicle に送信します。 詳細については、Google Workspace のログを収集するをご覧ください。
• Google Cloud アセットのメタデータとコンテキスト関連データの Chronicle へのエクスポートを構成します。 詳細については、Chronicle への Google Cloud アセットのメタデータのエクスポートと Chronicle にSensitive Data Protection のデータをエクスポートするをご覧ください。

次のルールセットは、Security Command Center Event Threat Detection、Google Cloud Armor、Security Command Center の Sensitive Actions Service、Event Threat Detection 用のカスタム モジュールからの検出結果が特定されると、検出を作成します。

• CDIR SCC Cloud IDS
• CDIR SCC Cloud Armor
• CDIR SCC の影響
• CDIR SCC のエンハンスト永続性
• CDIR SCC のエンハンスト防御回避
• CDIR SCC カスタム モジュール

Kubernetes の不審なツールのルールセット

Kubernetes の不審なツールのルールセットを使用するには、すべてのルールセット セクションに記載されているデータを収集することをおすすめします。Google Kubernetes Engine（GKE）ノードログにデータを記録するように Google Cloud サービスが構成されていることを確認する

Kubernetes RBAC の不正行為のルールセット

Kubernetes RBAC の不正使用ルールセットを使用するには、すべてのルールセットセクションの一覧に記載されている Cloud 監査ログを収集することをおすすめします。

Kubernetes 証明書に影響するアクションのルールセット

Kubernetes 証明書に影響するアクションのルールセットを使用するには、すべてのルールセットセクションに一覧表示されているCloud 監査ログを収集することをおすすめします。

Google Workspace 関連のルールセット

次のルールは、Google Workspace データのパターンを検出します。

• Chrome からの潜在的な情報漏洩の可能性
• 潜在的なインサイダー データがドライブから漏洩する
• Gmail における内部からのデータの引き出し
• Workspace アカウントの不正使用の可能性
• 不審なワークスペース管理アクション

これらのルールセットには、プロダクト名と Chronicle 取り込みラベルで一覧表示された次のログタイプが必要です。

• Workspace アクティビティ（WORKSPACE_ACTIVITY）
• Workspace アラート（WORKSPACE_ALERTS）
• Workspace ChromeOS デバイス（WORKSPACE_CHROMEOS）
• Workspace のモバイル デバイス（WORKSPACE_MOBILE）
• Workspace ユーザー（WORKSPACE_USERS）
• Google Chrome ブラウザ クラウド管理（CHROME_MANAGEMENT）
• Gmail のログ（GMAIL_LOGS）

必要なデータを取り込むには、次のようにします。

• このドキュメントの [すべてのルールセット] セクションにリストされているデータを収集します。

• Google Workspace のデータを Chronicle に取り込むを参照して、WORKSPACE_ACTIVITY、WORKSPACE_CHROMEOS、CHROME_MANAGEMENT、GMAIL のログを収集してください。

• 次のログを取り込むには、Google Workspace のログを収集するをご覧ください。

  • WORKSPACE_ALERTS
  • WORKSPACE_MOBILE
  • WORKSPACE_USERS

サーバーレス脅威ルールセット

• このドキュメントの [すべてのルールセット] セクションにリストされているデータを収集します。
• Cloud Run ログ（GCP_RUN）。

Cloud Run ログには、Chronicle で GCP_RUN ログタイプとして取り込まれるリクエストログとコンテナログが含まれます。GCP_RUN ログは、直接取り込みを使用するか、フィードと Cloud Storage を使用して取り込むことができます。特定のログフィルタと取り込みの詳細については、Chronicle への Google Cloud ログのエクスポートをご覧ください。次のエクスポート フィルタは、直接取り込みメカニズムおよび Cloud Storage とシンクの両方を介するデフォルトログに加えて、Google Cloud Run（GCP_RUN）ログをエクスポートします。

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS ルールセットのキュレーテッド検出

このカテゴリの AWS ルールセットは、イベントデータとコンテキスト データを使用して AWS 環境での脅威を識別するのに役立ちます。次のルールセットが含まれています。

• AWS - コンピューティング: EC2 や Lambda などの AWS コンピューティング リソースの周囲の異常なアクティビティを検出します。
• AWS - データ: 一般公開された RDS スナップショットや S3 バケットなどのデータリソースに関連する AWS アクティビティを検出します。
• AWS - GuardDuty: 行動、クレデンシャル アクセス、クリプトマイニング、検出、回避、実行、引き出し、影響、初期アクセス、マルウェア、ペネトレーション テスト、永続性、ポリシー、権限昇格、未承認アクセスに対するコンテキストアウェア AWS GuardDuty アラート。
• AWS - ハックツール: スキャナ、ツールキット、フレームワークなどの AWS 環境でのハックツールの使用を検出します。
• AWS - ID: 複数の地理位置情報からの異常なログイン、制限が緩すぎるロールの作成、不審なツールからの IAM アクティビティなど、IAM と認証アクティビティに関連する AWS アクティビティの検出。
• AWS - ロギングとモニタリング: CloudTrail、CloudWatch、GuardDuty など、ロギングとモニタリング サービスの無効化に関連する AWS アクティビティを検出します。
• AWS - ネットワーク: セキュリティ グループやファイアウォールなどの AWS ネットワーク設定に対する安全でない変更を検出します。
• AWS - 組織: アカウントの追加や削除、リージョンの使用に関連する予期しないイベントなど、組織に関連付けられている AWS アクティビティを検出します。
• AWS - Secret: KMS シークレットや Secrets Manager のシークレットの削除など、シークレット、トークン、パスワードに関連付けられた AWS アクティビティを検出します。

サポート対象のデバイスとログタイプ

これらのルールセットはテスト済みであり、次の Chronicle データソースでサポートされています（プロダクト名と取り込みラベルが一覧表示されています）。

• AWS CloudTrail（AWS_CLOUDTRAIL）
• AWS GuardDuty（GUARDDUTY）
• AWS EC2 ホスト（AWS_EC2_HOSTS）
• AWS EC2 インスタンス（AWS_EC2_INSTANCES）
• AWS EC2 VPCS（AWS_EC2_VPCS）
• AWS Identity and Access Management（IAM）（AWS_IAM）

AWS データの取り込みを設定するには、AWS データの取り込みの構成をご覧ください。

すべてのサポートされているデータソースのリストについては、サポートされているデフォルトのパーサーをご覧ください。

以下のセクションでは、データのパターンを識別するルールセットが必要とする必要なデータについて説明します。

ソースタイプとして Amazon Simple Storage Service（Amazon S3）バケットを使用して AWS データを取り込むことができます。また、必要に応じて、Amazon Simple Queue Service（Amazon SQS）で Amazon S3 を使用して取り込むこともできます。高レベルでは、以下を行う必要があります。

• Amazon S3 または Amazon S3 を Amazon SQS で構成して、ログデータを収集します。
• Amazon S3 または Amazon SQS からデータを取り込むように Chronicle フィードを構成します

AWS サービスを構成し、AWS データを取り込むように Chronicle フィードを構成するために必要な詳細な手順については、Chronicle への AWS ログの取り込みをご覧ください。

AWS Managed Detection Testing テストルールを使用して、AWS データが Chronicle SIEM に取り込まれていることを確認できます。これらのテストルールは、AWS ログデータが想定どおりに取り込まれているかどうかを検証するのに役立ちます。AWS データの取り込みを設定したら、テストルールをトリガーする必要がある AWS のアクションを行います。

AWS Managed Detection Testing テストルールを使用して AWS データの取り込みを検証する方法については、クラウド脅威のカテゴリについて AWS データの取り込みを検証するをご覧ください。

ルールセットから返されるアラートの調整

ルール除外を使用して、ルールまたはルールセットが生成する検出数を減らすことができます。

ルールの除外では、ルールセットまたはルールセット内の特定のルールによる評価対象からイベントを除外するために使用される条件を定義します。1 つ以上のルールの除外を作成して、検出の量を減らします。これを行う方法については、ルール除外を構成するをご覧ください。

次のステップ

• Google Cloud ログを取り込む
• AWS ログを取り込む
• アラートの調査