Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Visão geral da categoria Cloud Threats

Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria "Ameaças de nuvem", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças nos ambientes do Google Cloud usando os registros de auditoria do Cloud e incluem o seguinte:

  • Ação do administrador: atividade associada a ações administrativas, considerada suspeita, mas potencialmente legítima, dependendo do uso organizacional.
  • Cloud Hacktool: atividade detectada de plataformas de segurança ofensivas conhecidas ou
    de ferramentas/softwares ofensivos usados em situações reais por agentes de ameaça que direcionam especificamente recursos de nuvem.
  • Abuso de IAM: atividade associada ao abuso de papéis e permissões do IAM para
    poder escalar privilégios ou mover-se lateralmente em um determinado projeto do Cloud ou em uma organização do Cloud.
  • Possível atividade de exfiltração: detecta a atividade associada à possível exfiltração de dados.
  • Interrupção do serviço: detecta ações destrutivas ou que podem causar uma falha temporária significativa se forem executadas em um ambiente de produção funcional. O comportamento detectado é comum e provavelmente será benigno em ambientes de teste e desenvolvimento.
  • Comportamento suspeito: atividade que pode ser incomum e suspeita na
    maioria dos ambientes.
  • Configuração fraca: atividade associada a enfraquecimento ou degradação de um controle de segurança. Considerado suspeito, possivelmente legítimo dependendo do uso organizacional.
  • Mudança de infraestrutura suspeita: detecta modificações na infraestrutura de produção que se alinham a táticas de persistência conhecidas

Dispositivos e tipos de registro compatíveis

A seção a seguir descreve os dados exigidos pelos conjuntos de regras na categoria "Ameaças do Cloud".

Recomendamos que você colete os registros de auditoria do Google Cloud. Algumas regras exigem que os clientes ativem a geração de registros do Cloud DNS. Verifique se os serviços do Google Cloud estão configurados para gravar dados nos registros a seguir:

Para ingerir esses registros no Chronicle, consulte Ingerir registros do Cloud no Chronicle. Entre em contato com seu representante do Chronicle se precisar coletar esses registros usando um mecanismo diferente.

Para ver uma lista de todas as fontes de dados compatíveis do Chronicle, consulte analisadores padrão compatíveis.

Ajuste de alertas retornados pela categoria do Cloud Threats

Os conjuntos de regras na categoria "Ameaças de nuvem" incluem listas de referência que permitem controlar os alertas gerados por cada conjunto de regras. Em cada lista de referência, você define critérios de um evento do UDM que exclui a avaliação do evento pelo conjunto de regras.

Nesta seção, descrevemos cada lista de referência e fornecemos valores de exemplo que podem ser fornecidos na lista de referência.

Regra de ação do administrador definida

Esse conjunto de regras usa as listas de referência a seguir para identificar critérios em um evento do UDM que exclui o evento de avaliação.

Nome genérico Descrição
Endereço de e-mail principal Nome da lista de referência: gcticldadminaction_principal_emailaddress_exclusion_list

E-mail address associated with the flagged action, for example: foobar@google.com

Nome do recurso de destino Nome da lista de referência: gcti__cld__admin_action__target_resource_name__exclusion_list

O nome do recurso de destino da ação sinalizada, por exemplo:

projeto/foobar

organização/foobar

instance/foobar

Conjunto de regras do Cloud Hacktool

Use as listas de referência a seguir para definir critérios em um evento do UDM que exclua o evento de ser avaliado pelo conjunto de regras.

Nome genérico Descrição
Endereço de e-mail principal do usuário Nome da lista de referência: gcti__cld__hacktls__principal_user_email_addresses__exclusion_list
Endereço de e-mail associado à ação sinalizada, por exemplo: foobar@example.com
User agent HTTP Nome da lista de referência: gcti__cld__hacktls__network_http_user_agent__exclusion_list
Agente do usuário HTTP, por exemplo, Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, como Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537
ID do usuário principal Nome da lista de referência: gcti__cld__hacktls__principal_user_userid__exclusion_list
ID do usuário associado à ação sinalizada, por exemplo: "123456789012345678901" ou "system:serviceaccount:foo:bar"
Projeto de nuvem de destino Nome da lista de referência: gcti__cld__hacktls__target_cloud_project_name__exclusion_list
O nome do projeto do Cloud associado à ação sinalizada, por exemplo: project-foobar-123

Regra de abuso do IAM

Use as listas de referência a seguir para definir critérios em um evento do UDM que exclua o evento de ser avaliado pelo conjunto de regras.

Nome genérico Descrição
Endereço de e-mail principal do usuário Nome da lista de referência: gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list
Endereço de e-mail de origem associado à ação sinalizada, por exemplo, foobar@example.com
Nome do recurso de destino Nome da lista de referência: gcti__cld__iamabuse__target_resource_name__exclusion_list
Conta de serviço segmentada associada à ação sinalizada, por exemplo: foobar-123@foofoo.iam.gserviceaccount.com.

Possível regra de atividade do Exfil

Use as listas de referência a seguir para definir critérios em um evento do UDM que impede que o evento seja avaliado pelo conjunto de regras.

Nome genérico Descrição
Nome da resposta Nome da lista de referência: gcticldexfilanswer_nameexclusion_list

Responda à consulta DNS fornecida, por exemplo: analytics.example.com.

Nome da pergunta Nome da lista de referência: gcti__cld__exfil__question_name__exclusion_list

Assunto da consulta DNS, por exemplo: analytics.example.com.

Nome do recurso Nome da lista de referência: gcti__cld__exfil__resource_name__exclusion_list

Nome do host ou nome do recurso da VM que faz as consultas DNS.

Dados de resposta Nome da lista de referência: gcti__cld__exfil__response_data__exclusion_list

Parte de dados da resposta, por exemplo: analytics.bar.com.example.net.

Conjunto de regras de interrupção de serviço

Use as listas de referência a seguir para definir critérios em um evento do UDM que impede que o evento seja avaliado pelo conjunto de regras.

Nome genérico Descrição
Endereço de e-mail principal do usuário Nome da lista de referência: gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list.
Endereço de e-mail de origem associado à ação sinalizada, por exemplo: foobar@example.com
Nome do projeto do Cloud de destino Nome da lista de referência: gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list.
Nome do projeto na nuvem segmentado associado à ação sinalizada, por exemplo: unicorn-prod-424543
User agent HTTP Nome da lista de referência: gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list
user agent HTTP, que pode identificar a origem do tráfego de rede, por exemplo:
Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, como Gecko) Version/4.0 Chrome/94.0.4606

Conjunto de regras de comportamento suspeito

Use as listas de referência a seguir para definir critérios em um evento do UDM que impede que o evento seja avaliado pelo conjunto de regras.

Nome genérico Descrição
Endereço de e-mail principal do usuário Nome da lista de referência: gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list
Endereço de e-mail de origem associado à ação sinalizada, por exemplo: foobar@example.com
Endereço de e-mail do usuário de destino Nome da lista de referência: gcti__cld__susbehavior__target_user_email_addresses__exclusion_list.
Endereço de e-mail segmentado associado à ação sinalizada, por exemplo: foobar@example.com
Nome do recurso de destino Nome da lista de referência: gcti__cld__susbehavior__target_resource_name__exclusion_list.
Nome do recurso segmentado pela ação sinalizada. Por exemplo, o nome do projeto ou da instância.
Nome do projeto do Cloud de destino Nome da lista de referência: gcti__cld__susbehavior__target_cloud_project_name__exclusion_list.
Nome do projeto na nuvem de destino associado à ação sinalizada, por exemplo: unicorn-prod-424543

Conjunto de regras de configuração fraco

Use as listas de referência a seguir para definir critérios em um evento do UDM que impede que o evento seja avaliado pelo conjunto de regras.

Nome genérico Descrição
Nome da função do atributo principal Nome da lista de referência: `gcti__cld__weak_config__principal_attribute_role_name__exclusion_list`

O papel que o usuário principal aplicou ou atribuiu a um recurso de destino, por exemplo:

role/instance.viewer

role/storage.owner

Endereço de e-mail principal Nome da lista de referência: `gcti__cld__weak_config__principal_email_address__exclusion_list`

Endereço de e-mail associado à ação sinalizada, por exemplo: foobar@google.com

Tipo de evento de produto Nome da lista de referência: `gcti__cld__weak_config__product_event_type__exclusion_list`

Especifique o recurso e o método associados ao evento na ação sinalizada, por exemplo:

compute.instances.setMetadata

storage.setiamPermissions

Nome do projeto de destino Nome da lista de referência: `gcti__cld__weak_config__target_project_name__exclusion_list`

O nome do projeto de destino da ação sinalizada, por exemplo:

projeto/foobar

Mudança de infraestrutura suspeita

Use as listas de referência a seguir para definir critérios em um evento do UDM que exclua o evento de ser avaliado pelo conjunto de regras.

Nome genérico Descrição
Nome do projeto do Cloud de destino Nome da lista de referência: gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list
Nome do projeto do Cloud associado à ação sinalizada, por exemplo: project-example-123456
Endereço de e-mail principal do usuário Nome da lista de referência: gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list
Endereço de e-mail de origem associado à ação sinalizada, por exemplo: alice@example.com
User agent HTTP de rede Nome da lista de referência: gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list
Nome do user agent de origem, como Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, as Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari6/537
Nome do recurso de destino Nome da lista de referência: gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list
Nome do recurso segmentado pela ação sinalizada, como o nome de uma imagem ou um disco do Compute.
Rótulo do atributo do recurso de destino Nome da lista de referência: gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list
Nome do atributo de recurso segmentado pela ação sinalizada, como o nome de um snapshot do Compute.