Cloud Threats 类别概览

支持的平台:

本文档简要介绍了“云端威胁”类别中的规则集、所需的数据源,以及您可以用来调整每个规则集生成的提醒的配置。这些规则集有助于使用 Google Cloud 数据在 Google Cloud环境中识别威胁,以及使用 AWS 数据在 AWS 环境中识别威胁。

规则集说明

“云端威胁”类别中提供了以下规则集。

CDIR云端检测、调查和响应的缩写。

Google Cloud 数据的精选检测

Google Cloud 规则集有助于使用事件和情境数据识别环境中的威胁 Google Cloud ,其中包含以下规则集:

  • 管理操作:与管理操作相关的活动,被视为可疑,但可能合法,具体取决于组织的使用情况。
  • CDIR SCC 增强型渗漏:包含上下文感知规则,用于将 Security Command Center 渗漏发现结果与其他日志来源(例如 Cloud Audit Logs 日志、Sensitive Data Protection 上下文、BigQuery 上下文和 Security Command Center 配置错误日志)相关联。
  • CDIR SCC Enhanced Defense Evasion:包含情境感知规则,用于将 Security Command Center 中的规避或防御规避发现结果与其他数据源(例如 Cloud Audit Logs)中的数据相关联。Google Cloud
  • CDIR SCC 增强型恶意软件:包含情境感知规则,可将 Security Command Center 恶意软件发现结果与 IP 地址和网域的出现频率及其流行度得分等数据相关联,以及 Cloud DNS 日志等其他数据源。
  • CDIR SCC 增强型持久性:包含上下文感知规则,用于将 Security Command Center 持久性发现结果与 Cloud DNS 日志和 IAM 分析日志等来源中的数据相关联。
  • CDIR SCC 增强型特权提升:包含上下文感知规则,用于将 Security Command Center 特权提升发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC Credential Access:包含情境感知规则,用于将 Security Command Center Credential Access 发现结果与来自多个其他数据源(例如 Cloud Audit Logs)的数据相关联
  • CDIR SCC 增强型发现:包含情境感知规则,用于将 Security Command Center 发现问题上报结果与来自服务和 Cloud Audit Logs 等来源的数据相关联。 Google Cloud
  • CDIR SCC 暴力破解:包含情境感知规则,用于将 Security Command Center 暴力破解升级发现结果与 Cloud DNS 日志等数据相关联。
  • CDIR SCC Data Destruction:包含情境感知规则,用于将 Security Command Center 数据销毁上报发现结果与来自多个其他数据源(例如 Cloud Audit Logs)的数据相关联。
  • CDIR SCC Inhibit System Recovery:包含情境感知规则,用于将 Security Command Center 的“抑制系统恢复”发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC Execution:包含情境感知规则,用于将 Security Command Center Execution 发现结果与来自 Cloud Audit Logs 等多个其他数据源的数据相关联。
  • CDIR SCC Initial Access:包含情境感知规则,用于将 Security Command Center 初始访问发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC Impair Defenses:包含情境感知规则,用于将 Security Command Center Impair Defenses 发现结果与来自多个其他数据源(例如 Cloud 审核日志)的数据相关联。
  • CDIR SCC 影响:包含用于检测 Security Command Center 中严重程度分类为严重、高、中和低的影响发现结果的规则。
  • CDIR SCC Cloud IDS:包含用于检测 Security Command Center 中严重程度分类为“严重”“高”“中”和“低”的 Cloud IDS 发现结果的规则。
  • CDIR SCC Cloud Armor:包含用于检测 Security Command Center 中的 Google Cloud Armor 发现结果的规则。
  • CDIR SCC 自定义模块:包含用于从 Security Command Center 检测 Event Threat Detection 自定义模块发现结果的规则。
  • 云端黑客工具:从已知的攻击性安全平台检测到的活动,或从专门针对云端资源的威胁行为者在野外使用的攻击性工具或软件检测到的活动。
  • Cloud SQL 勒索:检测与 Cloud SQL 数据库中数据渗漏或勒索相关的活动。
  • Kubernetes 可疑工具:检测开源 Kubernetes 工具中的侦察和利用行为。
  • Kubernetes RBAC 滥用:检测与滥用基于角色的访问控制 (RBAC) 的 Kubernetes 活动相关联的活动,这些活动会尝试提升权限或横向移动。
  • Kubernetes 证书敏感操作:检测可用于建立持久性或提升特权的 Kubernetes 证书和证书签名请求 (CSR) 操作。
  • IAM 滥用:与滥用 IAM 角色和权限的活动相关,可能导致在给定 Cloud 项目内或跨 Cloud 组织横向移动或提升权限。
  • 潜在渗漏活动:检测与潜在数据渗漏相关的活动。
  • 资源伪装:检测 Google Cloud 使用其他资源或资源类型的名称或特征创建的资源。这可能用于掩盖资源执行或在资源中执行的恶意活动,目的是使其看起来合法。
  • 无服务器威胁:检测与 Google Cloud中无服务器资源(例如 Cloud Run 和 Cloud Run 函数)的潜在入侵或滥用相关的活动。
  • 服务中断:检测破坏性或破坏性操作,如果这些操作在正常运行的生产环境中执行,可能会导致严重的中断。检测到的行为在测试和开发环境中很常见,并且可能属于良性行为。
  • 可疑行为:在大多数环境中被认为不常见且可疑的活动。
  • 可疑的基础架构更改:检测与已知的持久化策略一致的生产基础架构修改
  • 配置弱化:与弱化或降低安全控制措施相关的活动。被视为可疑,但可能合法,具体取决于组织的使用情况。
  • Chrome 中潜在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外可能敏感数据的丢失。这包括与 30 天的基准相比,被视为异常的 Chrome 行为。
  • Google 云端硬盘中可能存在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外部可能敏感数据的丢失。这包括与 30 天的基准数据相比,被视为异常的云端硬盘行为。
  • Gmail 中可能存在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外部可能敏感数据的丢失。这包括与 30 天的基准数据相比,被视为异常的 Gmail 行为。
  • Workspace 账号可能遭到入侵:检测内部人员威胁行为,表明账号可能已遭到入侵,并可能导致在 Google Workspace 组织内尝试提升权限或横向移动。这包括与 30 天的基准相比被视为罕见或异常的行为。
  • Workspace 中可疑的管理员操作:检测高权限用户(例如管理员)的行为,如果这些行为表明可能存在规避行为、安全级别降低或过去 30 天内从未见过的罕见异常行为,则会发出警报。

支持的设备和日志类型

以下部分介绍了“云端威胁”类别中的规则集所需的数据。

如需从 Google Cloud 服务注入数据,请参阅将 Cloud 日志注入到 Google Security Operations。如果您需要使用其他机制收集这些日志,请与您的 Google Security Operations 代表联系。

Google 安全运营中心提供默认解析器,用于解析和标准化来自 Google Cloud 服务的原始日志,以便创建包含这些规则集所需数据的 UDM 记录。

如需查看 Google Security Operations 支持的所有数据源的列表,请参阅支持的默认解析器

所有规则集

如需使用任何规则集,我们建议您收集 Google CloudCloud 审核日志。某些规则要求客户启用 Cloud DNS 日志记录。确保 Google Cloud 服务已配置为将数据记录到以下日志:

Cloud SQL 勒索规则集

如需使用 Cloud SQL 勒索规则集,我们建议您收集以下 Google Cloud 数据:

CDIR SCC 增强型规则集

所有以 CDIR SCC Enhanced 开头的规则集均使用 Security Command Center Premium 发现结果,并将其与其他几个 Google Cloud 日志来源相关联,包括:

  • Cloud Audit Logs
  • Cloud DNS 日志
  • Identity and Access Management (IAM) 分析
  • 敏感数据保护情境
  • BigQuery 上下文
  • Compute Engine 情境

如需使用 CDIR SCC 增强型规则集,我们建议您收集以下 Google Cloud 数据:

  • 所有规则集部分中列出的日志数据。

  • 以下日志数据(按产品名称和 Google Security Operations 提取标签列出):

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • 敏感数据保护 (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Google Workspace 活动记录 (WORKSPACE_ACTIVITY)
    • Cloud DNS 查询 (GCP_DNS)

  • 以下 Security Command Center 发现结果类,按 findingClass 标识符和 Google Security Operations 提取标签列出:

    • ThreatGCP_SECURITYCENTER_THREAT
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC ErrorGCP_SECURITYCENTER_ERROR

CDIR SCC 增强型规则集也依赖于 Google Cloud 服务中的数据。如需将所需数据发送到 Google Security Operations,请务必完成以下操作:

Security Command Center Event Threat DetectionGoogle Cloud ArmorSecurity Command Center Sensitive Actions ServiceEvent Threat Detection 的自定义模块中的发现结果被识别出来时,以下规则集会创建检测:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC 影响
  • CDIR SCC 增强型持久性
  • CDIR SCC 增强型防护规避
  • CDIR SCC 自定义模块

Kubernetes 可疑工具规则集

如需使用 Kubernetes 可疑工具规则集,我们建议您收集所有规则集部分中列出的数据。确保 Google Cloud服务已配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志

Kubernetes RBAC 滥用规则集

如需使用 Kubernetes RBAC 滥用规则集,我们建议您收集 所有规则集部分中列出的 Cloud Audit Logs

Kubernetes 证书敏感操作规则集

如需使用 Kubernetes Certificate Sensitive Actions 规则集,我们建议您收集 All rule sets 部分中列出的 Cloud Audit Logs

与 Google Workspace 相关的规则集

以下规则集可检测 Google Workspace 数据中的模式:

  • Chrome 中可能存在内部人员数据外泄
  • 云端硬盘中可能存在内部人员数据渗漏
  • 潜在的 Gmail 内部人员数据渗漏
  • Workspace 账号可能遭到入侵
  • 可疑的 Workspace 管理员操作

这些规则集需要以下日志类型,按产品名称和 Google 安全运营数据提取标签列出:

  • Workspace Activities (WORKSPACE_ACTIVITY)
  • Workspace Alerts (WORKSPACE_ALERTS)
  • Workspace ChromeOS 设备 (WORKSPACE_CHROMEOS)
  • Workspace Mobile Devices (WORKSPACE_MOBILE)
  • Workspace 用户 (WORKSPACE_USERS)
  • Google Chrome 浏览器云管理 (CHROME_MANAGEMENT)
  • Gmail 日志 (GMAIL_LOGS)

如需提取所需数据,请执行以下操作:

“无服务器威胁”规则集

Cloud Run 日志包括请求日志和容器日志,这些日志会作为 GCP_RUN 日志类型在 Google 安全运维中提取。您可以使用直接提取或使用 Feed 和 Cloud Storage 提取 GCP_RUN 日志。如需了解具体日志过滤条件和更多提取详情,请参阅将日志导出到 Google Security Operations Google Cloud 。除默认日志外,以下导出过滤条件还会通过直接提取机制以及 Cloud Storage 和接收器导出 Google Cloud Cloud Run (GCP_RUN) 日志:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS 规则集的精选检测

此类别中的 AWS 规则集可帮助您使用事件和上下文数据识别 AWS 环境中的威胁,其中包括以下规则集:

  • AWS - 计算:检测与 EC2 和 Lambda 等 AWS 计算资源相关的异常活动。
  • AWS - 数据:检测与数据资源(例如公开提供的 RDS 快照或 S3 存储分区)相关的 AWS 活动。
  • AWS - GuardDuty:针对行为、凭据访问、加密挖矿、发现、逃避、执行、渗漏、影响、初始访问、恶意软件、渗透测试、持久性、政策、特权提升和未经授权的访问情况提供情境感知型 AWS GuardDuty 提醒。
  • AWS - Hacktools:检测 AWS 环境中是否使用了 Hacktools,例如扫描器、工具包和框架。
  • AWS - Identity:检测与 IAM 和身份验证活动相关的 AWS 活动,例如来自多个地理位置的异常登录、过于宽松的角色创建或可疑工具中的 IAM 活动。
  • AWS - 日志记录和监控:检测与停用日志记录和监控服务(例如 CloudTrail、CloudWatch 和 GuardDuty)相关的 AWS 活动。
  • AWS - 网络:检测对 AWS 网络设置(例如安全组和防火墙)的不安全更改。
  • AWS - 组织:检测与贵组织相关的 AWS 活动,例如添加或移除账号,以及与区域使用情况相关的意外事件。
  • AWS - 密钥:检测与密钥、令牌和密码相关的 AWS 活动,例如删除 KMS 密钥或 Secrets Manager 密钥。

AWS 支持的设备和日志类型

以下 Google Security Operations 数据源已过测试,支持这些规则集,按产品名称和提取标签列出。

如需了解如何设置 AWS 数据的提取,请参阅配置 AWS 数据的提取

如需查看所有受支持的数据源的列表,请参阅支持的默认解析器

以下部分介绍了用于识别数据中模式的规则集所需的数据。

您可以使用 Amazon Simple Storage Service (Amazon S3) 存储分区作为来源类型来提取 AWS 数据,也可以选择将 Amazon S3 与 Amazon Simple Queue Service (Amazon SQS) 搭配使用。概括来讲,您需要执行以下操作:

  • 将 Amazon S3 或 Amazon S3 与 Amazon SQS 搭配配置,以收集日志数据。
  • 配置 Google 安全运营 Feed,以从 Amazon S3 或 Amazon SQS 提取数据

如需了解配置 AWS 服务和配置 Google Security Operations Feed 以提取 AWS 数据的详细步骤,请参阅将 AWS 日志提取到 Google Security Operations

您可以使用 AWS 托管式检测测试规则来验证 AWS 数据是否已提取到 Google Security Operations SIEM。这些测试规则有助于验证 AWS 日志数据是否按预期提取。设置 AWS 数据提取后,您可以在 AWS 中执行应触发测试规则的操作。

如需了解如何使用 AWS 托管式检测测试测试规则验证 AWS 数据的提取情况,请参阅验证“云端威胁”类别的 AWS 数据提取情况

针对 Azure 数据的精选检测

此类别中的某些规则集旨在与 Azure 数据搭配使用,以便使用事件数据、情境数据和提醒来识别 Azure 环境中的威胁。其中包括:

  • Azure - 计算:检测与 Azure 计算资源(例如 Kubernetes 和虚拟机 [VM])相关的异常活动。
  • Azure - 数据:检测与数据资源相关的活动,例如 Azure blob 权限、修改以及邀请外部用户在租户中使用 Azure 服务。
  • Azure - Defender for Cloud:识别从情境感知型 Microsoft Defender for Cloud 收到的与用户行为、凭据访问、加密挖矿、发现、规避、执行、渗漏、影响、初始访问、恶意软件、渗透测试、持久性、政策、特权提升或所有 Azure 云服务中的未经授权的访问相关的提醒。
  • Azure - Hacktools:检测 Azure 环境中是否使用了黑客工具,例如 Tor 和 VPN 匿名化工具、扫描器和红队工具包。
  • Azure - Identity:检测与身份验证和授权相关的活动,指明异常行为,例如从多个地理位置同时访问、过于宽松的访问权限管理政策,或可疑工具中的 Azure RBAC 活动。
  • Azure - 日志记录和监控:检测与在 Azure 中停用日志记录和监控服务相关的活动。
  • Azure - 网络:检测 Azure 网络设备或设置(例如安全群组或防火墙、Azure Web 应用防火墙和拒绝服务政策)的明显不安全更改。
  • Azure - 组织:检测与贵组织相关的活动,例如添加或移除订阅和账号。
  • Azure - 密钥:检测与密钥、令牌和密码相关的活动(例如对 Azure Key Vault 或存储账号访问密钥的修改)。

Azure 支持的设备和所需的日志类型

以下数据源已过测试,支持这些规则集,按产品名称和 Google SecOps 提取标签列出。

提取 Azure 和 Microsoft Entra ID 数据

您必须从每个数据源提取数据,才能最大限度地扩大规则覆盖面。如需了解如何从每个来源提取数据,请参阅以下文档。

以下部分介绍了如何使用预定义的测试规则验证 Azure 数据的提取。

验证 Azure 数据的提取

通过 Google SecOps 的“数据提取和运行状况”信息中心,您可以查看使用 SIEM 提取功能提取到 Google SecOps 的所有数据的类型、数量和运行状况。

您还可以使用 Azure 托管式检测测试测试规则来验证 Azure 数据的提取。设置提取后,您可以在 Azure 门户中执行应触发测试规则的操作。它们旨在验证数据是否已提取且格式是否符合预期,以便对 Azure 数据使用经过人工审核的检测结果。

启用 Azure 托管式检测测试规则

  1. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开“精选检测”页面
  2. 依次选择托管式检测测试 > Azure 托管式检测测试
  3. 宽泛精确规则同时启用状态提醒

发送用户操作数据以触发测试规则

如需验证数据是否按预期提取,请创建用户并登录,以验证这些操作是否触发了测试规则。如需了解如何在 Microsoft Entra ID 中创建用户,请参阅如何创建、邀请和删除用户

  1. 在 Azure 中,创建一个新的 Microsoft Entra ID 用户。

    1. 前往 Azure 门户。
    2. 打开 Microsoft Entra ID
    3. 依次点击添加创建新用户。 请执行以下操作来定义用户:
      1. 请输入以下信息:
        • 用户正文名称:GCTI_ALERT_VALIDATION
        • 用户正文名称:GCTI_ALERT_VALIDATION
        • 显示名:GCTI_ALERT_VALIDATION
      2. 选择自动生成密码,为此用户自动生成密码。
      3. 选中已启用账号复选框。
      4. 打开审核 + 创建标签页。
      5. 记下自动生成的密码。您将在后续步骤中使用此信息。
      6. 点击创建
    4. 在无痕模式下打开一个浏览器窗口,然后前往 Azure 门户。
    5. 使用新创建的用户名和密码登录。
    6. 更改用户密码。
    7. 根据贵组织的政策注册多重身份验证 (MFA)。
    8. 确保您已成功退出 Azure 门户。

  2. 如需验证是否已在 Google Security Operations 中创建提醒,请执行以下操作:

    1. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面

    2. 点击信息中心

    3. 在检测列表中,检查是否触发了以下规则:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. 确认数据已发送且这些规则已触发后,请停用或停用用户账号。

发送示例提醒以触发测试规则

请执行以下步骤,验证在 Azure 中生成示例安全提醒是否会触发测试规则。如需详细了解如何在 Microsoft Defender for Cloud 中生成示例安全提醒,请参阅 Microsoft Defender for Cloud 中的提醒验证

  1. 在 Azure 门户中,前往所有服务
  2. 安全下,打开 Microsoft Defender for Cloud
  3. 前往安全提醒
  4. 点击示例提醒,然后执行以下操作:
    1. 选择您的订阅。
    2. 针对 Defender for Cloud 方案,选择全部
    3. 点击创建示例提醒
  5. 验证是否触发了测试提醒。
  6. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面
  7. 点击信息中心
  8. 在检测列表中,检查是否触发了以下规则:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

在 Microsoft Graph Explorer 中执行 GET API 请求以触发测试规则

请执行以下步骤,验证在 Azure 中生成示例安全提醒是否会触发测试规则。

  1. 前往 Microsoft Graph Explorer
  2. 确保在右上角选择了适当的租户。
  3. 点击 Run Query
  4. 验证是否触发了测试提醒。
  5. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面
  6. 点击信息中心
  7. 在检测列表中,检查是否触发了 tst_microsoft_graph_api_get_activity 规则。

停用 Azure 托管式检测测试规则集

  1. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面
  2. 依次选择托管式检测测试 > Azure 托管式检测测试规则。
  3. 宽泛精确规则停用状态提醒

调整规则集返回的提醒

您可以使用规则排除对象来减少规则或规则集生成的检测数量。

规则排除项用于定义排除某个事件的条件,以免该事件被规则集或规则集中的特定规则评估。创建一条或多条规则排除项,以帮助减少检测量。如需了解具体操作方法,请参阅配置规则排除项

后续步骤

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。