Informações gerais da categoria "Ameaças na nuvem"

Neste documento, apresentamos uma visão geral dos conjuntos de regras na categoria "Ameaças do Cloud", das fontes de dados necessárias e da configuração que você pode usar para ajustar os alertas gerados por cada conjunto de regras. Esses conjuntos de regras ajudam a identificar ameaças nos ambientes do Google Cloud usando dados do Google Cloud e em ambientes da AWS usando dados da AWS.

Descrições do conjunto de regras

Os seguintes grupos de regras estão disponíveis na categoria "Ameaças à nuvem".

A abreviação CDIR significa Detecção, Investigação e Resposta da Nuvem.

Detecções selecionadas para dados do Google Cloud

Os conjuntos de regras do Google Cloud ajudam a identificar ameaças em ambientes do Google Cloud usando dados de eventos e contextos e incluem os seguintes conjuntos de regras:

  • Ação do administrador: atividade associada a ações administrativas, consideradas suspeitas, mas potencialmente legítimas, dependendo do uso organizacional.
  • Exfiltração avançada de SCC do CDIR: contém regras com base no contexto que correlacionam as descobertas de exfiltração do Security Command Center a outras origens de registro, como Registros de auditoria do Cloud, contexto de proteção de dados sensíveis, contexto do BigQuery e registros de configuração incorreta do Security Command Center.
  • Evasão de defesa avançada do SCC SCC: contém regras contextuais que correlacionam as descobertas de evasão ou evasão do Security Command Center com dados de outras fontes de dados do Google Cloud, como os Registros de auditoria do Cloud.
  • Malware SCC Enhanced SCC: contém regras contextuais que correlacionam as descobertas de malware do Security Command Center com dados, como a ocorrência de endereços IP e domínios e as pontuações de prevalência deles, além de outras fontes de dados, como registros do Cloud DNS.
  • Persistência aprimorada do SCC do CDIR: contém regras com base no contexto que correlacionam as descobertas da persistência do Security Command Center com dados de fontes como registros do Cloud DNS e de análise do IAM.
  • Escalonamento de privilégios aprimorado do SCC do CDIR: contém regras baseadas no contexto que correlacionam as descobertas de escalonamento de privilégios do Security Command Center com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Acesso a credenciais do SCC do CDIR: contém regras contextuais que correlacionam as descobertas de acesso a credenciais do Security Command Center com dados de várias outras fontes de dados, como os registros de auditoria do Cloud
  • Descoberta avançada do SCC do CDIR: contém regras contextuais que correlacionam as descobertas de encaminhamento da descoberta do Security Command Center com dados de fontes como os serviços do Google Cloud e os Registros de auditoria do Cloud.
  • Força bruta do SCC do CDIR: contém regras com reconhecimento de contexto que correlacionam as descobertas de encaminhamento de força bruta do Security Command Center a dados como os registros do Cloud DNS.
  • Destruição de dados do SCC do CDIR: contém regras contextuais que correlacionam as descobertas de escalonamento de destruição de dados do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
  • CDIR SCC Inhibit System Recovery: contém regras contextuais que correlacionam as descobertas de recuperação do sistema e do Security Command Center com dados de várias outras fontes, como os Registros de auditoria do Cloud.
  • Execução do SCC do CDIR: contém regras contextuais que correlacionam as descobertas de execução do Security Command Center com dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Acesso inicial do SCC do CDIR: contém regras contextuais que correlacionam as descobertas de acesso inicial do Security Command Center a dados de várias outras fontes de dados, como os Registros de auditoria do Cloud.
  • Defesas de danos do SCC do CDIR: contém regras baseadas no contexto que correlacionam as descobertas do Security Command Center à Impair Defenses com os dados de várias outras fontes, como os Registros de auditoria do Cloud.
  • Impacto do SCC do CDIR: contém regras que detectam descobertas de impacto do Security Command Center com uma classificação de gravidade crítica, alta, média e baixa.
  • CDIR Cloud IDS do SCC: contém regras que detectam descobertas do Cloud Intrusion Detection System (Sistema de detecção de intrusões do Cloud) no Security Command Center com classificação de gravidade crítica, alta, média e baixa.
  • CDIR SCC Cloud Armor: contém regras que detectam descobertas do Google Cloud Armor no Security Command Center.
  • Módulo personalizado do CDIR SCC: contém regras que detectam descobertas do módulo personalizado do Event Threat Detection no Security Command Center.
  • Cloud Hacktool: atividade detectada de plataformas de segurança ofensivas conhecidas ou de ferramentas ou softwares ofensivos usados de forma livre por agentes invasores que visam especificamente recursos da nuvem.
  • Ransom do Cloud SQL: detecta atividades associadas à exfiltração ou ao resgate de dados nos bancos de dados do Cloud SQL.
  • Ferramentas suspeitas do Kubernetes: detecta comportamento de reconhecimento e exploração de ferramentas de código aberto do Kubernetes.
  • Abuso do RBAC do Kubernetes: detecta a atividade do Kubernetes associada ao abuso de controles de acesso baseados em papéis (RBAC, na sigla em inglês) que tentam aumentar os privilégios ou movimentar-se lateralmente.
  • Ações confidenciais de certificado do Kubernetes: detecta ações de certificados e solicitações de assinatura de certificado (CSR, na sigla em inglês) do Kubernetes que podem ser usadas para estabelecer persistência ou escalar privilégios.
  • Abuso do IAM: atividade associada ao abuso de papéis e permissões do IAM para aumentar os privilégios ou mover-se lateralmente em um determinado projeto do Cloud ou em uma organização do Cloud.
  • Possível atividade de exfiltração: detecta atividades associadas a uma possível exfiltração de dados.
  • Mascaramento de recursos: detecta recursos do Google Cloud criados com nomes ou características de outro recurso ou tipo de recurso. Isso pode ser usado para mascarar atividades maliciosas realizadas pelo recurso ou dentro dele, com a intenção de parecer legítima.
  • Ameaças sem servidor : detecta atividades associadas a possíveis comprometimentos ou abusos de recursos sem servidor no Google Cloud, como o Cloud Run e o Cloud Functions.
  • Interrupção de serviço: detecta ações destrutivas ou disruptivas que, se realizadas em um ambiente de produção em funcionamento, podem causar uma interrupção significativa. O comportamento detectado é comum e provavelmente benigno em ambientes de teste e desenvolvimento.
  • Comportamento suspeito: atividade considerada incomum e suspeita na maioria dos ambientes.
  • Alteração de infraestrutura suspeita: detecta modificações na infraestrutura de produção alinhadas a táticas de persistência conhecidas
  • Configuração fraca: atividade associada ao enfraquecimento ou degradação de um controle de segurança. considerados suspeitos, potencialmente legítimos dependendo do uso organizacional.
  • Possível exfiltração de dados internos do Chrome: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Chrome considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível exfiltração de dados internos do Drive: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Drive considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível exfiltração de dados internos do Gmail: detecta atividades associadas a possíveis comportamentos de ameaças internas, como exfiltração de dados ou perda de dados potencialmente sensíveis fora de uma organização do Google Workspace. Isso inclui comportamentos do Gmail considerados anômalos em comparação com um valor de referência de 30 dias.
  • Possível comprometimento da conta do Workspace: detecta comportamentos de ameaças internas que indicam que a conta pode ter sido comprometida e pode levar a tentativas de escalonamento de privilégios ou tentativas de movimentação lateral dentro de uma organização do Google Workspace. Isso inclui comportamentos considerados raros ou anômalos em comparação com um valor de referência de 30 dias.
  • Ações administrativas suspeitas do Workspace: detecte comportamentos que indiquem possível evasão, downgrade de segurança ou comportamentos raros e anômalos nunca vistos nos últimos 30 dias de usuários com privilégios mais altos, como administradores.

A abreviação CDIR significa Detecção, Investigação e Resposta da Nuvem.

Dispositivos e tipos de registro compatíveis

As seções a seguir descrevem os dados necessários para os conjuntos de regras na categoria "Ameaças do Cloud".

Para ingerir dados dos serviços do Google Cloud, consulte Ingerir registros do Cloud no Chronicle. Entre em contato com seu representante do Chronicle se precisar coletar esses registros usando um mecanismo diferente.

O Chronicle fornece analisadores padrão que analisam e normalizam registros brutos dos serviços do Google Cloud para criar registros UDM com dados exigidos por esses conjuntos de regras.

Para conferir uma lista de todas as fontes de dados compatíveis com o Chronicle, consulte analisadores padrão compatíveis.

Todos os grupos de regras

Para usar qualquer conjunto de regras, recomendamos que você colete registros de auditoria do Cloud do Google Cloud. Algumas regras exigem que os clientes ativem a geração de registros do Cloud DNS. Verifique se os serviços do Google Cloud estão configurados para gravar dados nos seguintes registros:

Conjunto de regras de resgate do Cloud SQL

Para usar o conjunto de regras de Ransom do Cloud SQL, recomendamos que você colete os seguintes dados do Google Cloud:

Conjuntos de regras aprimoradas do CDIR SCC

Todos os conjuntos de regras que começam com o nome CDIR SCC Enhanced usam as descobertas do Security Command Center Premium contextualizadas com várias outras origens de registro do Google Cloud, incluindo:

  • Registros de auditoria do Cloud
  • Registros do Cloud DNS
  • Análise do Identity and Access Management (IAM)
  • Contexto de Proteção de Dados Sensíveis
  • Contexto do BigQuery
  • Contexto do Compute Engine

Para usar os conjuntos de regras CDIR SCC Enhanced, recomendamos que você colete os seguintes dados do Google Cloud:

  • Dados de registro listados na seção Todos os conjuntos de regras.

  • Estes dados de registro, listados por nome do produto e rótulo de ingestão do Chronicle:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Proteção de dados sensíveis (GCP_DLP_CONTEXT)
    • Registros de auditoria do Cloud (GCP_CLOUDAUDIT)
    • Atividade no Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas do Cloud DNS (GCP_DNS)

  • As seguintes classes de descoberta do Security Command Center, listadas pelo identificador findingClass e pelo rótulo de ingestão do Chronicle:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Os conjuntos de regras CDIR SCC Enhanced também dependem dos dados dos serviços do Google Cloud. Para enviar os dados necessários ao Chronicle, conclua o seguinte:

Os conjuntos de regras a seguir criam uma detecção quando são identificadas as descobertas da Detecção de ameaças de eventos do Security Command Center, do Google Cloud Armor, do Serviço de ações confidenciais do Security Command Center e dos Módulos personalizados para a Detecção de ameaças a eventos:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • Impacto do CDIR SCC
  • Persistência aprimorada do CDIR SCC
  • Evasão de Defesa Reforçada do CDIR SCC
  • Módulo personalizado CDIR SCC

Conjunto de regras de ferramentas suspeitas do Kubernetes

Para usar o conjunto de regras Ferramentas suspeitas do Kubernetes, recomendamos que você colete os dados listados na seção Todos os conjuntos de regras. Verifique se os serviços do Google Cloud estão configurados para gravar dados nos registros de nós do Google Kubernetes Engine (GKE)

Conjunto de regras contra abuso do RBAC do Kubernetes

Para usar o conjunto de regras Abuso de RBAC do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Conjunto de regras de ações sensíveis do certificado do Kubernetes

Para usar o conjunto de regras Ações confidenciais de certificado do Kubernetes, recomendamos que você colete os Registros de auditoria do Cloud, listados na seção Todos os conjuntos de regras.

Grupos de regras relacionados ao Google Workspace

Os seguintes grupos de regras detectam padrões nos dados do Google Workspace:

  • Possível vazamento de dados internos no Chrome
  • Possível exfiltração de dados internos do Drive
  • Possível vazamento de dados privilegiados pelo Gmail
  • Possível comprometimento na conta do Workspace
  • Ações administrativas suspeitas do Google Workspace

Esses conjuntos de regras exigem os seguintes tipos de registro, listados por nome de produto e rótulo de ingestão do Chronicle:

  • Atividades do Workspace (WORKSPACE_ACTIVITY)
  • Alertas do Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS do Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móveis do Workspace (WORKSPACE_MOBILE)
  • Usuários do Workspace (WORKSPACE_USERS)
  • Gerenciamento de nuvem do navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros do Gmail (GMAIL_LOGS)

Para ingerir os dados necessários, faça o seguinte:

Conjunto de regras de ameaças sem servidor

Os registros do Cloud Run incluem registros de solicitação e registros de contêiner que são ingeridos como o tipo de registro GCP_RUN no Chronicle. Os registros GCP_RUN podem ser ingeridos por ingestão direta ou usando feeds e o Cloud Storage. Para conferir filtros de registro específicos e mais detalhes de ingestão, consulte Como exportar registros do Google Cloud para o Chronicle. O filtro de exportação a seguir exporta registros do Google Cloud Run (GCP_RUN), além dos registros padrão, tanto pelo mecanismo de ingestão direta quanto pelo Cloud Storage e coletores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecções selecionadas para conjuntos de regras da AWS

Os conjuntos de regras da AWS nesta categoria ajudam a identificar ameaças em ambientes da AWS usando dados de evento e contexto e incluem os seguintes conjuntos de regras:

  • AWS - Computação: detecta atividades anômalas em torno de recursos de computação da AWS, como EC2 e Lambda.
  • AWS - Dados: detecta a atividade da AWS associada a recursos de dados, como snapshots do RDS ou buckets S3 disponibilizados publicamente.
  • AWS - GuardDuty: alertas do AWS GuardDuty baseados no contexto para comportamento, acesso a credenciais, criptomineração, descoberta, evasão, execução, exfiltração, impacto, acesso inicial, malware, teste de penetração, persistência, política, escalonamento de privilégios e acesso não autorizado.
  • AWS - Hacktools: detecta o uso de Hacktools em um ambiente da AWS, como scanners, kits de ferramentas e frameworks.
  • AWS - Identidade: detecções de atividades da AWS associadas ao IAM e à atividade de autenticação, como logins incomuns de várias localizações geográficas, criação de papéis excessivamente permissiva ou atividade do IAM de ferramentas suspeitas.
  • AWS - Logging e Monitoring: detecta a atividade da AWS relacionada à desativação dos serviços de geração de registros e monitoramento, como CloudTrail, CloudWatch e GuardDuty.
  • AWS - Rede: detecta alterações não seguras nas configurações de rede da AWS, como grupos de segurança e firewalls.
  • AWS - Organização: detecta a atividade da AWS associada à sua organização, como a adição ou remoção de contas, e eventos inesperados relacionados ao uso da região.
  • AWS - Secrets: detecta a atividade da AWS associada a secrets, tokens e senhas, como exclusão de secrets do KMS ou do Secrets Manager.

Dispositivos e tipos de registro compatíveis

Esses conjuntos de regras foram testados e são compatíveis com as fontes de dados do Chronicle a seguir, listadas por nome do produto e rótulo de ingestão.

Para informações sobre como configurar a ingestão de dados da AWS, consulte Configurar a ingestão de dados da AWS.

Para conferir uma lista de todas as fontes de dados compatíveis, consulte analisadores padrão compatíveis.

As seções a seguir descrevem os dados necessários para os conjuntos de regras que identificam padrões nos dados.

É possível ingerir dados da AWS usando um bucket do Amazon Simple Storage Service (Amazon S3) como um tipo de origem ou, opcionalmente, usando o Amazon S3 com o Amazon Simple Queue Service (Amazon SQS). De modo geral, você precisará fazer o seguinte:

  • Configure o Amazon S3 ou o Amazon S3 com o Amazon SQS para coletar dados de registro.
  • Configure um feed do Chronicle para ingerir dados do Amazon S3 ou do Amazon SQS

Consulte Ingerir registros da AWS no Chronicle para conferir as etapas detalhadas necessárias para configurar os serviços da AWS e um feed do Chronicle para ingerir dados da AWS.

É possível usar as regras de teste do Teste de detecção gerenciada da AWS para verificar se os dados da AWS estão sendo ingeridos no Chronicle SIEM. Essas regras de teste ajudam a verificar se os dados de registro da AWS estão sendo ingeridos conforme o esperado. Depois de configurar a ingestão de dados da AWS, você executa ações no AWS que acionam as regras de teste.

Consulte Verificar a ingestão de dados da AWS para a categoria "Ameaças do Cloud" para saber como verificar a ingestão de dados da AWS usando as regras de teste do Teste de detecção gerenciada da AWS.

Ajuste de alertas retornados por grupos de regras

É possível reduzir o número de detecções geradas por uma regra ou um grupo de regras usando as exclusões de regras.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regra para reduzir o volume de detecções. Consulte Configurar exclusões de regras para saber como fazer isso.

A seguir