Cloud Threats 类别概览

支持以下语言:

本文档简要介绍了“云端威胁”类别中的规则集、所需的数据源,以及您可以用来调整每个规则集生成的提醒的配置。这些规则集可帮助您使用 Google Cloud 数据识别 Google Cloud 环境中的威胁,以及使用 AWS 数据识别 AWS 环境中的威胁。

规则集说明

“云端威胁”类别中提供了以下规则集。

CDIR云端检测、调查和响应的缩写。

针对 Google Cloud 数据的精选检测

Google Cloud 规则集利用事件帮助识别 Google Cloud 环境中的威胁 和上下文数据,并包含以下规则集:

  • 管理操作:与管理操作相关的活动,被视为可疑,但可能合法,具体取决于组织的使用情况。
  • CDIR SCC 增强型渗漏:包含上下文感知规则,用于将 Security Command Center 渗漏发现结果与其他日志来源(例如 Cloud Audit Logs 日志、Sensitive Data Protection 上下文、BigQuery 上下文和 Security Command Center 配置错误日志)相关联。
  • CDIR SCC 增强的防御规避:包含与 Security Command Center Evasion 或 Defense Evasion 发现结果以及其他来源的数据 Google Cloud 数据源,例如 Cloud Audit Logs。
  • CDIR SCC 增强型恶意软件:包含 Security Command Center 恶意软件发现结果,以及 IP 出现次数等数据 地址和域名及其普遍性得分,以及其他数据 例如 Cloud DNS 日志
  • CDIR SCC 增强持久性:包含 使用来自 Cloud DNS 等来源的数据的 Security Command Center 持久性发现结果 日志和 IAM 分析日志
  • CDIR SCC 增强型特权提升:包含上下文感知规则,用于将 Security Command Center 特权提升发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC Credential Access:包含情境感知规则,用于将 Security Command Center Credential Access 发现结果与来自多个其他数据源(例如 Cloud Audit Logs)的数据相关联
  • CDIR SCC 增强型发现:包含上下文感知规则,用于将 Security Command Center 发现问题上报结果与 Google Cloud 服务和 Cloud Audit Logs 等来源中的数据相关联。
  • CDIR SCC 暴力破解:包含上下文感知规则,用于将 Security Command Center 暴力破解升级发现结果与 Cloud DNS 日志等数据相关联。
  • CDIR SCC Data Destruction:包含上下文感知规则,用于将 Security Command Center 数据销毁上报发现结果与来自多个其他数据源(例如 Cloud Audit Logs)的数据相关联。
  • CDIR SCC Inhibit System Recovery:包含上下文感知规则,用于将 Security Command Center 的“抑制系统恢复”发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC 执行:包含与 Security Command Center 相关的情境感知规则 使用来自其他多个数据源(例如 Cloud Audit Logs)的数据执行发现结果。
  • CDIR SCC 初始访问:包含情境感知规则,用于将 Security Command Center 初始访问发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC Impair Defenses:包含情境感知规则,用于将 Security Command Center Impair Defenses 发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC 影响:包含从 Security Command Center 检测严重程度为“严重”“高”“中”和“低”的影响发现结果的规则。
  • CDIR SCC Cloud IDS:包含用于从 Security Command Center 检测 Cloud Intrusion Detection System 发现结果的规则 严重程度分为“严重”“高”“中”和“低”
  • CDIR SCC Cloud Armor:包含用于检测 Security Command Center 中的 Google Cloud Armor 发现结果的规则。
  • CDIR SCC 自定义模块:包含用于检测 Security Command Center 中的 Event Threat Detection 自定义模块发现结果的规则。
  • Cloud Hacktool:从已知的攻击性安全平台或 来自攻击性工具或软件的攻击, 以云资源为目标
  • Cloud SQL 勒索:检测与 Cloud SQL 数据库中数据渗漏或勒索相关的活动。
  • Kubernetes 可疑活动:可检测来自以下来源的侦察和利用行为: 来源 Kubernetes 工具。
  • Kubernetes RBAC 滥用:检测与滥用基于角色的访问控制 (RBAC) 的 Kubernetes 活动相关联的活动,这些活动会尝试提升权限或横向移动。
  • Kubernetes 证书敏感操作:检测可用于建立持久性或提升权限的 Kubernetes 证书和证书签名请求 (CSR) 操作。
  • IAM 滥用:与滥用 IAM 角色和权限的活动相关,可能导致在给定 Cloud 项目内或跨 Cloud 组织横向移动或提升权限。
  • 潜在渗漏活动:检测与潜在数据渗漏相关的活动。
  • 资源伪装:检测使用名称或 其他资源或资源类型的特征。可以是 来掩盖由资源或资源内部实施的恶意活动, 意图显得合法。
  • 无服务器威胁:检测与 Google Cloud 中无服务器资源(例如 Cloud Run 和 Cloud Run 函数)的潜在入侵或滥用相关的活动。
  • 服务故障:检测造成以下后果的破坏性或干扰性操作: 在正常运行的生产环境中执行的任务,可能会导致 重大服务中断检测到的行为是常见且可能是良性的 测试和开发环境
  • 可疑行为:在下列国家/地区被认为不常见和可疑的活动 大多数环境中都存在此问题。
  • 可疑的基础架构更改:检测对生产环境的修改 符合已知持久化策略的基础架构
  • 配置弱化:与弱化或降低安全控制措施相关的活动。被视为可疑,但可能合法,具体取决于组织的使用情况。
  • Chrome 中潜在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外可能敏感数据的丢失。这包括与 30 天的基准数据相比,被视为异常的 Chrome 行为。
  • Google 云端硬盘中可能存在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外部可能敏感数据的丢失。这包括 与 30 天的基准相比,云端硬盘中的行为异常。
  • Gmail 中可能发生内部人员外泄数据渗漏:检测与以下内容相关的活动: 数据渗漏或数据泄露等潜在的内部威胁行为, 存储在 Google Workspace 组织外部。这包括 与 30 天的基准相比,Gmail 被认为存在异常。
  • Workspace 账号可能遭到入侵:检测内部人员威胁行为,表明账号可能已遭到入侵,并可能导致在 Google Workspace 组织内尝试提升权限或横向移动。这包括与 30 天的基准相比被视为罕见或异常的行为。
  • 可疑的 Workspace 管理员操作:检测表明潜在原因的行为 风险、安全、风险和道德问题 管理员等拥有较高权限的用户

CDIRCloud Detection, Investigation, and Response(云检测、调查和响应)的缩写。

支持的设备和日志类型

以下各部分介绍了 Google Cloud 规则集所需的 威胁类别。

如需从 Google Cloud 服务注入数据,请参阅将云日志注入 Google Security Operations。 如果您需要使用其他机制收集这些日志,请与您的 Google Security Operations 代表联系。

Google Security Operations 提供默认解析器,可解析原始日志并进行标准化 来创建包含这些规则集所需数据的 UDM 记录。

如需查看 Google Security Operations 支持的所有数据源的列表,请参阅 支持的默认解析器

所有规则集

要使用任何规则集,我们建议您收集 Google Cloud Cloud Audit Logs。某些规则要求客户启用 Cloud DNS 日志记录。确保将 Google Cloud 服务配置为记录 将数据复制到以下日志:

Cloud SQL 赎金规则集

如需使用 Cloud SQL Ransom 规则集,我们建议您收集以下 Google Cloud 数据:

CDIR SCC 增强型规则集

所有以 CDIR SCC Enhanced 开头的规则集均使用 Security Command Center Premium 发现结果,并将其与其他几个 Google Cloud 日志来源(包括以下来源)的上下文相关联:

  • Cloud Audit Logs
  • Cloud DNS 日志
  • Identity and Access Management (IAM) 分析
  • Sensitive Data Protection 上下文
  • BigQuery 上下文
  • Compute Engine 上下文

如需使用 CDIR SCC 增强规则集,我们建议您收集以下 Google Cloud 数据:

  • 所有规则集部分中列出的日志数据。

  • 以下日志数据(按产品名称和 Google Security Operations 注入标签列出):

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • 敏感数据保护 (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Google Workspace 活动记录 (WORKSPACE_ACTIVITY)
    • Cloud DNS 查询 (GCP_DNS)

  • 以下 Security Command Center 发现结果类,按 findingClass 标识符和 Google Security Operations 提取标签列出:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

CDIR SCC 增强型规则集也依赖于 Google Cloud 服务中的数据。如需将所需的数据发送给 Google Security Operations,请确保您已完成 以下:

Security Command Center Event Threat Detection 中的发现结果、 已确定 Google Cloud ArmorSecurity Command Center Sensitive Actions Service用于事件威胁检测的自定义模块

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC 影响
  • CDIR SCC 增强持久性
  • CDIR SCC 增强型防护规避
  • CDIR SCC 自定义模块

Kubernetes 可疑工具规则集

如需使用 Kubernetes 可疑工具规则集,我们建议您收集所有规则集部分中列出的数据。确保 Google Cloud 服务配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志

Kubernetes RBAC 滥用行为规则集

如需使用 Kubernetes RBAC Abuse 规则集,我们建议您收集 Cloud Audit Logs所有规则集部分中列出的规则。

Kubernetes 证书敏感操作规则集

如需使用 Kubernetes 证书敏感操作规则集,我们建议您收集 Cloud Audit Logs所有规则集部分中列出的规则。

与 Google Workspace 相关的规则集

以下规则集可检测 Google Workspace 数据中的模式:

  • Chrome 可能发生内部人员数据渗漏
  • 云端硬盘中可能存在内部人员数据渗漏
  • Gmail 中可能发生内部人员数据渗漏
  • Workspace 账号可能遭到入侵
  • 可疑的 Workspace 管理员操作

这些规则集需要以下日志类型,按产品名称和 Google 安全运营数据提取标签列出:

  • Workspace Activities (WORKSPACE_ACTIVITY)
  • Workspace 提醒(WORKSPACE_ALERTS 条)
  • Workspace ChromeOS 设备 (WORKSPACE_CHROMEOS)
  • Workspace 移动设备 (WORKSPACE_MOBILE)
  • Workspace 用户 (WORKSPACE_USERS)
  • Google Chrome 浏览器云管理 (CHROME_MANAGEMENT)
  • Gmail 日志 (GMAIL_LOGS)

如需注入所需的数据,请执行以下操作:

无服务器威胁规则集

Cloud Run 日志包括请求日志和容器日志,这些日志会作为 GCP_RUN 日志类型在 Google 安全运维中提取。GCP_RUN 日志可通过直接注入或 使用 Feed 和 Cloud Storage 存储数据针对特定的日志过滤条件和更多提取 如需了解详情,请参阅将 Google Cloud 日志导出到 Google Security Operations。以下 导出过滤条件用于导出 Google Cloud Run (GCP_RUN) 日志 通过直接提取机制以及 Cloud Storage 和 接收器

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

针对 AWS 规则集的精选检测

此类别的 AWS 规则集使用 事件数据和上下文数据,并且包括以下规则集:

  • AWS - 计算:检测与 EC2 和 Lambda 等 AWS 计算资源相关的异常活动。
  • AWS - 数据:检测与数据资源(例如公开提供的 RDS 快照或 S3 存储桶)相关的 AWS 活动。
  • AWS - GuardDuty:针对行为、凭据访问、加密挖矿、发现、逃避、执行、渗漏、影响、初始访问、恶意软件、渗透测试、持久性、政策、特权提升和未经授权的访问情况提供情境感知型 AWS GuardDuty 提醒。
  • AWS - Hacktools:检测 AWS 环境中是否使用了 Hacktools,例如扫描器、工具包和框架。
  • AWS - Identity:检测与 IAM 和 身份验证活动,例如来自多个地理位置的异常登录、 创建权限过于宽松的角色或通过可疑工具执行 IAM 活动。
  • AWS - 日志记录和监控:检测与停用日志记录和监控服务(例如 CloudTrail、CloudWatch 和 GuardDuty)相关的 AWS 活动。
  • AWS - 网络:检测对 AWS 网络设置的不安全更改,例如 安全组和防火墙
  • AWS - 组织:检测与贵组织相关的 AWS 活动,例如添加或移除账号,以及与区域使用情况相关的意外事件。
  • AWS - Secrets:检测与 Secret、令牌和 密码,例如删除 KMS 密钥或 Secret Manager 密钥。

支持的设备和日志类型

以下 Google Security Operations 数据源已过测试,支持这些规则集,按产品名称和提取标签列出。

请参阅配置 AWS 的注入 数据 了解如何设置 AWS 数据注入。

如需查看所有受支持的数据源的列表, 请参阅支持的默认解析器

以下部分介绍了用于识别数据中模式的规则集所需的数据。

您可以使用 Amazon Simple Storage Service (Amazon S3) 注入 AWS 数据 存储桶作为来源类型,或者(可选)将 Amazon S3 与 Amazon Simple Queue 搭配使用 Service (Amazon SQS)。概括来讲,您需要执行以下操作:

  • 使用 Amazon SQS 配置 Amazon S3 或 Amazon S3 以收集日志数据。
  • 配置 Google 安全运营 Feed,以从 Amazon S3 或 Amazon SQS 提取数据

请参阅将 AWS 日志注入 Google Security Operations 了解配置 AWS 服务和配置 用于注入 AWS 数据的 Google Security Operations Feed。

您可以使用 AWS Managed Detection Testing 测试规则验证 AWS 数据 正在提取到 Google Security Operations SIEM 中。这些测试规则有助于验证 AWS 日志数据是否按预期提取。设置 AWS 数据提取后,您可以在 AWS 中执行应触发测试规则的操作。

如需了解如何使用 AWS 托管式检测测试测试规则验证 AWS 数据的提取情况,请参阅验证“云端威胁”类别的 AWS 数据提取情况

调整规则集返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除项用于定义排除某个事件的条件,以免该事件被规则集或规则集中的特定规则评估。创建一条或多条规则排除项,以帮助减少检测量。请参阅配置规则排除项,了解如何操作。

后续步骤