Ringkasan Event Threat Detection

Apa itu Deteksi Ancaman Peristiwa?

Event Threat Detection adalah layanan bawaan untuk paket Security Command Center Premium yang terus memantau organisasi atau project Anda serta mengidentifikasi ancaman dalam sistem Anda hampir secara real time. Event Threat Detection diupdate secara berkala dengan pendeteksi baru untuk mengidentifikasi ancaman yang muncul pada skala cloud.

Cara kerja Event Threat Detection

Event Threat Detection memantau aliran Cloud Logging untuk organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Event Threat Detection akan menggunakan log untuk project Anda saat dibuat dan Event Threat Detection dapat memantau Log Google Workspace. Cloud Logging berisi entri log panggilan API dan tindakan lainnya yang membuat, membaca, atau mengubah konfigurasi atau metadata resource Anda. Log Google Workspace melacak login pengguna ke domain Anda dan memberikan data tindakan yang dilakukan di Konsol Admin Google Workspace Anda.

Entri log berisi status dan informasi peristiwa yang digunakan Event Threat Detection untuk mendeteksi ancaman dengan cepat. Event Threat Detection menerapkan logika deteksi dan kecerdasan ancaman kepemilikan, termasuk pencocokan indikator tripwire, pembuatan profil berjendela, pembuatan profil lanjutan, machine learning, dan deteksi anomali, untuk mengidentifikasi ancaman hampir secara real-time.

Saat mendeteksi ancaman, Event Threat Detection akan menulis temuan ke Security Command Center. Jika Anda mengaktifkan paket Security Command Center Premium di tingkat organisasi, Security Command Center dapat menulis temuan ke project Cloud Logging. Dari Cloud Logging dan logging Google Workspace, Anda dapat mengekspor temuan ke sistem lain dengan Pub/Sub dan memprosesnya dengan Cloud Functions.

Jika mengaktifkan paket Premium Security Command Center di level organisasi, Anda juga dapat menggunakan Chronicle untuk menyelidiki beberapa temuan. Chronicle adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih antar-entitas terkait dalam linimasa terpadu. Untuk mengetahui petunjuk tentang cara mengirim temuan ke Chronicle, lihat Menyelidiki temuan di Chronicle.

Kemampuan Anda untuk melihat serta mengedit temuan dan log ditentukan oleh peran Identity and Access Management (IAM) yang diberikan. Untuk mengetahui informasi selengkapnya tentang peran IAM Security Command Center, lihat Kontrol akses.

Aturan Event Threat Detection

Aturan menentukan jenis ancaman yang dideteksi Event Threat Detection dan jenis log yang harus diaktifkan agar detektor dapat berfungsi. Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi atau menonaktifkannya.

Event Threat Detection menyertakan aturan default berikut:

Nama tampilan Nama API Jenis sumber log Deskripsi
Pemindaian Aktif: Log4j Rentan terhadap RCE Tidak tersedia Log Cloud DNS Mendeteksi kerentanan Log4j aktif dengan mengidentifikasi kueri DNS untuk domain yang tidak di-obfuscate yang dimulai oleh pemindai kerentanan Log4j yang didukung.
Menghambat Pemulihan Sistem: Host DR dan Cadangan Google Cloud yang dihapus BACKUP_HOSTS_DELETE_HOST Cloud Audit Logs:
Log Akses Data Layanan Cadangan dan DR 		Host dihapus dari Pencadangan dan DR. Aplikasi yang terkait dengan host yang dihapus mungkin tidak dilindungi.
Pemusnahan Data: Gambar habis masa berlaku Pencadangan dan DR Google Cloud BACKUP_EXPIRE_IMAGE Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Pengguna meminta penghapusan gambar cadangan dari Cadangan dan DR. Penghapusan gambar cadangan tidak mencegah pencadangan di masa mendatang.
Menghambat Pemulihan Sistem: Paket penghapusan DR dan Pencadangan Google Cloud BACKUP_REMOVE_PLAN Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Rencana cadangan dengan beberapa kebijakan untuk aplikasi telah dihapus dari Cadangan dan DR. Penghapusan rencana cadangan dapat mencegah pencadangan di masa mendatang.
Pemusnahan Data: Masa berlaku semua image cadangan dan DR Google Cloud habis BACKUP_EXPIRE_IMAGES_ALL Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Pengguna meminta penghapusan semua gambar cadangan untuk aplikasi yang dilindungi dari Pencadangan dan DR. Penghapusan gambar cadangan tidak mencegah pencadangan di masa mendatang.
Menghambat Pemulihan Sistem: Template penghapusan DR dan Pencadangan Google Cloud BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Template cadangan yang telah ditentukan, yang digunakan untuk menyiapkan cadangan untuk beberapa aplikasi, telah dihapus. Kemampuan untuk menyiapkan pencadangan di masa mendatang mungkin akan terpengaruh.
Menghambat Pemulihan Sistem: Kebijakan penghapusan DR dan Pencadangan Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Kebijakan Cadangan dan DR, yang menentukan cara cadangan diambil dan tempat penyimpanannya, dihapus. Pencadangan berikutnya yang menggunakan kebijakan ini mungkin akan gagal.
Menghambat Pemulihan Sistem: Profil penghapusan DR dan Pencadangan Google Cloud BACKUP_PROFILES_DELETE_PROFILE Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Profil Pencadangan dan DR, yang menentukan kumpulan penyimpanan mana yang harus digunakan untuk menyimpan cadangan, telah dihapus. Pencadangan berikutnya yang menggunakan profil tersebut mungkin akan gagal.
Kerusakan Data: Pencadangan dan alat penghapusan DR Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Peralatan cadangan dihapus dari Pencadangan dan DR. Aplikasi yang terkait dengan alat pencadangan yang dihapus mungkin tidak dilindungi.
Menghambat Pemulihan Sistem: Penyimpanan gabungan DR dan Pencadangan Google Cloud BACKUP_STORAGE_POOLS_DELETE Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Kumpulan penyimpanan, yang mengaitkan bucket Cloud Storage dengan Pencadangan dan DR, telah dihapus dari Pencadangan dan DR. Pencadangan mendatang untuk target penyimpanan ini akan gagal.
Dampak: Pencadangan dan DR Google Cloud mengurangi akhir masa berlaku pencadangan BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Tanggal habis masa berlaku untuk cadangan yang dilindungi oleh Pencadangan dan DR telah dikurangi.
Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan BACKUP_REDUCE_BACKUP_FREQUENCY Cloud Audit Logs:
Log Akses Data Cadangan dan DR 		Jadwal Pencadangan dan DR telah diubah untuk mengurangi frekuensi pencadangan.
SSH brute force BRUTE_FORCE_SSH authlog Deteksi keberhasilan {i>brute force<i} SSH pada {i>host<i}.
Cloud IDS: THREAT_IDENTIFIER Pratinjau CLOUD_IDS_THREAT_ACTIVITY Log Cloud IDS Peristiwa yang terdeteksi oleh Cloud IDS. Cloud IDS mendeteksi serangan lapisan 7 dengan menganalisis paket yang dicerminkan dan, jika suatu peristiwa terdeteksi, mengirimkan temuan ke Security Command Center. Menemukan nama kategori dimulai dengan "Cloud IDS" diikuti dengan ID ancaman Cloud IDS. Untuk mempelajari deteksi Cloud IDS lebih lanjut, lihat Informasi Logging Cloud IDS.
Akses Kredensial: Anggota Eksternal Ditambahkan Ke Grup Hak Istimewa EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Log Google Workspace:
Audit Login
Izin:
DATA_READ

Mendeteksi peristiwa ketika anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif). Temuan hanya dibuat jika grup tersebut tidak berisi anggota eksternal lain dari organisasi yang sama dengan anggota yang baru ditambahkan. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan kelompok. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Temuan ini tidak tersedia untuk aktivasi level project.
Akses Kredensial: Grup Hak Istimewa Dibuka Untuk Publik PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Audit Admin
Izin:
DATA_READ

Mendeteksi peristiwa saat Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan kelompok. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Temuan ini tidak tersedia untuk aktivasi level project.
Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Log Audit Cloud:
Log audit Aktivitas Admin IAM

Mendeteksi peristiwa ketika peran sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan kelompok. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Temuan ini tidak tersedia untuk aktivasi level project.
Defense Evasion: Deployment Workload Break Glass DibuatPratinjau BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit Logs:
Log Aktivitas Admin		 Mendeteksi deployment workload yang di-deploy dengan menggunakan flag akses darurat untuk mengganti kontrol Otorisasi Biner.
Defense Evasion: Deployment Workload BreakGlas DiperbaruiPratinjau BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit Logs:
Log Aktivitas Admin		 Mendeteksi kapan workload diupdate dengan menggunakan flag akses darurat untuk mengganti kontrol Otorisasi Biner.
Penghindaran Pertahanan: Memodifikasi Kontrol Layanan VPC DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud Audit Logs Log audit Kontrol Layanan VPC

Mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang ada, yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut.

Temuan ini tidak tersedia untuk aktivasi level project.

Discovery: Dapat mendapatkan pemeriksaan objek Kubernetes yang sensitif GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs:
Log Akses Data GKE

Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka buat kuerinya, dengan menggunakan perintah kubectl auth can-i get. Secara khusus, aturan ini mendeteksi apakah aktor memeriksa akses API pada objek berikut:
Discovery: Investigasi Mandiri Akun Layanan SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
Log audit Akses Data IAM
Izin:
DATA_READ

Deteksi kredensial akun layanan IAM yang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.

Peran sensitif

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
Pengelakan: Akses dari Anonymizing Proxy ANOMALOUS_ACCESS Cloud Audit Logs:
Log Aktivitas Admin		 Deteksi modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Pemindahan yang tidak sah: Pemindahan Data yang Tidak Sah DATA_EXFILTRATION_BIG_QUERY Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ 		Mendeteksi skenario berikut:

  • Resource yang dimiliki oleh organisasi yang dilindungi dan disimpan di luar organisasi, termasuk operasi penyalinan atau transfer.

    Skenario ini ditunjukkan oleh subaturan exfil_to_external_table dan tingkat keparahan HIGH.

  • Percobaan untuk mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC.

    Skenario ini ditunjukkan oleh subaturan vpc_perimeter_violation dan tingkat keparahan LOW.
Pemindahan yang tidak sah: Ekstraksi Data BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ 		Mendeteksi skenario berikut:

  • Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage di luar organisasi.
  • Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage yang dapat diakses secara publik milik organisasi tersebut.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.
Pemindahan yang tidak sah: Data BigQuery ke Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ 		Mendeteksi hal berikut:

  • Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke folder Google Drive.
Pemindahan yang tidak sah: Pemindahan Data yang Tidak Sah Cloud SQL
 CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS		 Cloud Audit Logs: Log akses data MySQL
Log akses data PostgreSQL
Log akses data SQL Server 		Mendeteksi skenario berikut:

  • Data instance live yang diekspor ke bucket Cloud Storage di luar organisasi.
  • Data instance live yang diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.
Pemindahan yang tidak sah: Cloud SQL Memulihkan Cadangan ke Organisasi Eksternal CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs: Log aktivitas admin MySQL
Log aktivitas admin PostgreSQL
Log aktivitas admin SQL Server

Mendeteksi peristiwa saat cadangan instance Cloud SQL dipulihkan ke instance di luar organisasi.
Pemindahan yang Tidak Sah: Pemberian Hak Istimewa Berlebih Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: Log akses data PostgreSQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.

Mendeteksi peristiwa saat pengguna atau peran Cloud SQL untuk PostgreSQL telah diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam suatu skema.

Akses Awal: Superuser Database Menulis ke Tabel Pengguna CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Log akses data Cloud SQL untuk PostgreSQL
Log akses data Cloud SQL untuk MySQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk PostgreSQL atau audit database agar MySQL dapat menggunakan aturan ini.

Mendeteksi peristiwa saat superuser Cloud SQL (postgres untuk server PostgreSQL atau root untuk pengguna MySQL) menulis ke tabel non-sistem.
PratinjauEskalasi Hak Istimewa: Pemberian Hak Istimewa AlloyDB yang Berlebihan ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: AlloyDB untuk log akses data PostgreSQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.

Mendeteksi peristiwa saat pengguna atau peran AlloyDB for PostgreSQL telah diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam suatu skema.

PratinjauEskalasi Hak Istimewa: Superuser Database AlloyDB Menulis ke Tabel Pengguna ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: AlloyDB untuk log akses data PostgreSQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.

Mendeteksi peristiwa saat superuser AlloyDB untuk PostgreSQL (postgres) menulis ke tabel non-sistem.
Akses Awal: Tindakan Akun Layanan Istirahat DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs: Log Aktivitas Admin

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna dorman memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Eskalasi Akses: Akun Layanan Tidak Aktif yang Diberikan Peran Sensitif DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs: Log audit Aktivitas Admin IAM

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna dorman diberi satu atau beberapa peran IAM yang sensitif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Peran sensitif

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Persistensi: Peran Peniruan Identitas Diberikan untuk Akun Layanan Tidak Aktif DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit Logs: Log audit Aktivitas Admin IAM

Mendeteksi peristiwa saat akun utama diberi izin untuk meniru akun layanan yang dikelola oleh pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Akses Awal: Kunci Akun Layanan Dorman Dibuat DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit Logs: Log Aktivitas Admin

Mendeteksi peristiwa saat kunci dibuat untuk akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Akses Awal: Kebocoran Kunci Akun Layanan yang Digunakan LEAKED_SA_KEY_USED Cloud Audit Logs: Log Aktivitas Admin
Log Akses Data

Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik.
Akses Awal: Tindakan Penolakan Izin Berlebihan EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs: Log Aktivitas Admin

Mendeteksi peristiwa saat akun utama berulang kali memicu error izin ditolak dengan mencoba melakukan perubahan di beberapa metode dan layanan.
Gangguan Pertahanan: Autentikasi Kuat Dinonaktifkan ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit Admin 		Verifikasi 2 langkah telah dinonaktifkan untuk organisasi.

Temuan ini tidak tersedia untuk aktivasi level project.

Gangguan Pertahanan: Verifikasi Dua Langkah Dinonaktifkan 2SV_DISABLE Log Google Workspace:
Audit Login
Izin:
DATA_READ 		Pengguna menonaktifkan verifikasi 2 langkah.

Temuan ini tidak tersedia untuk aktivasi level project.

Akses Awal: Akun Dinonaktifkan Dibajak ACCOUNT_DISABLED_HIJACKED Log Google Workspace:
Audit Login
Izin:
DATA_READ 		Akun pengguna ditangguhkan karena aktivitas mencurigakan.

Temuan ini tidak tersedia untuk aktivasi level project.

Akses Awal: Kebocoran Sandi Dinonaktifkan ACCOUNT_DISABLED_PASSWORD_LEAK Log Google Workspace:
Audit Login
Izin:
DATA_READ 		Akun pengguna dinonaktifkan karena kebocoran sandi terdeteksi.

Temuan ini tidak tersedia untuk aktivasi level project.

Akses Awal: Serangan Berbasis Pemerintah GOV_ATTACK_WARNING Log Google Workspace:
Audit Login
Izin:
DATA_READ 		Penyerang yang didukung pemerintah mungkin mencoba menyusupi akun pengguna atau komputer.

Temuan ini tidak tersedia untuk aktivasi level project.

Akses Awal: Upaya Pembobolan Log4j Tidak tersedia Log Cloud Load Balancing:
Load Balancer HTTP Cloud
Catatan: Anda harus mengaktifkan logging Load Balancer Aplikasi eksternal untuk menggunakan aturan ini. 		Mendeteksi lookups Java Naming and Directory Interface (JNDI) dalam header atau parameter URL. Pencarian ini dapat menunjukkan upaya eksploitasi Log4Shell. Temuan ini memiliki tingkat keparahan rendah, karena hanya menunjukkan upaya deteksi atau eksploitasi, bukan kerentanan atau penyusupan.
Aturan ini selalu aktif.
Akses Awal: Login Mencurigakan Diblokir SUSPICIOUS_LOGIN Log Google Workspace:
Audit Login
Izin:
DATA_READ 		Login yang mencurigakan ke akun pengguna telah terdeteksi dan diblokir.

Temuan ini tidak tersedia untuk aktivasi level project.

Malware Log4j: Domain Buruk LOG4J_BAD_DOMAIN Log Cloud DNS Deteksi Log4j mengeksploitasi traffic berdasarkan koneksi ke, atau pencarian, domain yang dikenal yang digunakan dalam serangan Log4j.
Malware Log4j: IP Buruk LOG4J_BAD_IP Log aliran traffic VPC
Log Aturan Firewall
Log Cloud NAT		 Deteksi log4j mengeksploitasi traffic berdasarkan koneksi ke alamat IP yang diketahui dan digunakan dalam serangan Log4j.
Malware: domain buruk MALWARE_BAD_DOMAIN Log Cloud DNS Deteksi malware berdasarkan koneksi ke, atau pencarian, domain buruk yang diketahui.
Malware: IP buruk MALWARE_BAD_IP Log aliran traffic VPC
Log Aturan Firewall
Log Cloud NAT		 Deteksi malware berdasarkan koneksi ke alamat IP buruk yang diketahui.
Malware: Cryptomining Domain Buruk CRYPTOMINING_POOL_DOMAIN Log Cloud DNS Deteksi cryptomining berdasarkan koneksi ke, atau pencarian, domain penambangan yang diketahui.
Malware: Cryptomining IP Buruk CRYPTOMINING_POOL_IP Log aliran traffic VPC
Log Aturan Firewall
Log Cloud NAT		 Deteksi cryptomining berdasarkan koneksi ke alamat IP penambangan yang diketahui.
DoS Keluar OUTGOING_DOS Log aliran traffic VPC Mendeteksi traffic denial of service keluar.
Persistensi: Admin GCE Menambahkan Kunci SSH GCE_ADMIN_ADD_SSH_KEY Log Audit Cloud:
Log audit Compute Engine		 Deteksi modifikasi pada nilai kunci ssh metadata instance Compute Engine pada instance yang dibangun (lebih lama dari 1 minggu).
Persistensi: Skrip Startup Menambahkan Admin GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Log Audit Cloud:
Log audit Compute Engine		 Deteksi modifikasi pada nilai skrip startup metadata instance Compute Engine pada instance yang ditetapkan (lebih lama dari 1 minggu).
Persistensi: Pemberian IAM Tidak Wajar IAM_ANOMALOUS_GRANT Log Audit Cloud:
Log audit Aktivitas Admin IAM

Temuan ini mencakup subaturan yang memberikan informasi lebih spesifik tentang setiap instance temuan ini.

Daftar berikut menunjukkan semua kemungkinan sub-aturan:

  • external_service_account_added_to_policy, external_member_added_to_policy: Deteksi hak istimewa yang diberikan kepada pengguna IAM dan akun layanan yang bukan anggota organisasi Anda atau, jika Security Command Center diaktifkan pada level project saja, project Anda. Catatan: Jika Security Command Center diaktifkan pada level organisasi di tingkat apa pun, detektor ini akan menggunakan kebijakan IAM organisasi yang ada sebagai konteks. Jika aktivasi Security Command Center hanya terjadi pada level project, detektor hanya akan menggunakan kebijakan IAM project sebagai konteks. Jika pemberian IAM yang sensitif kepada anggota eksternal terjadi, dan ada kurang dari tiga kebijakan IAM yang ada dan serupa, detektor ini menghasilkan temuan.

    Peran sensitif

    Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

  • external_member_invited_to_policy: Mendeteksi saat anggota eksternal diundang sebagai pemilik project melalui InsertProjectOwnershipInvite API.
  • custom_role_given_sensitive_permissions: Mendeteksi saat izin setIAMPolicy ditambahkan ke peran khusus.
  • service_account_granted_sensitive_role_to_member: Mendeteksi kapan peran dengan hak istimewa diberikan kepada anggota melalui akun layanan. Sub-aturan ini dipicu oleh sekumpulan peran sensitif yang hanya mencakup peran IAM dasar dan peran penyimpanan data tertentu. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif
  • policy_modified_by_default_compute_service_account: Mendeteksi kapan akun layanan Compute Engine default digunakan untuk mengubah setelan IAM project
PratinjauPersistensi: Peran Sensitif yang Diberikan Akun yang Tidak Dikelola
 UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Deteksi peran sensitif yang diberikan ke akun yang tidak dikelola.
Persistensi: Metode API Baru
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs:
Log Aktivitas Admin		 Deteksi penggunaan layanan Google Cloud yang tidak wajar oleh akun layanan IAM.
Persistensi: Geografi Baru
 IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
Log Aktivitas Admin		 Deteksi akun pengguna dan layanan IAM yang mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta.

Temuan ini tidak tersedia untuk aktivasi level project.

Persistensi: Agen Pengguna Baru IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs:
Log Aktivitas Admin		 Deteksi akun layanan IAM yang mengakses Google Cloud dari agen pengguna yang tidak wajar atau mencurigakan.

Temuan ini tidak tersedia untuk aktivasi level project.

Persistensi: Tombol Pengaktifan SSO TOGGLE_SSO_ENABLED Google Workspace:
Audit Admin 		Setelan Aktifkan SSO (single sign-on) di akun admin telah dinonaktifkan.

Temuan ini tidak tersedia untuk aktivasi level project.

Persistensi: Setelan SSO Diubah CHANGE_SSO_SETTINGS Google Workspace:
Audit Admin 		Setelan SSO untuk akun admin telah diubah.

Temuan ini tidak tersedia untuk aktivasi level project.

Eskalasi Akses: Peniruan Identitas Tidak Wajar pada Akun Layanan untuk Aktivitas Admin ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit Logs:
Log Aktivitas Admin		 Mendeteksi saat akun layanan tiruan yang berpotensi tidak wajar digunakan untuk aktivitas administratif.
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multi-Langkah Anomali untuk Aktivitas Admin ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit Logs:
Log Aktivitas Admin		 Mendeteksi saat permintaan delegasi multilangkah yang tidak wajar ditemukan untuk aktivitas administratif.
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multi-Langkah yang Anomali untuk Akses Data ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
Log Akses Data		 Mendeteksi saat permintaan delegasi multilangkah yang tidak wajar ditemukan untuk aktivitas akses data.
Eskalasi Akses: Peniru Akun Layanan Anomali untuk Aktivitas Admin ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit Logs:
Log Aktivitas Admin		 Mendeteksi saat pemanggil/peniru identitas yang berpotensi tidak wajar dalam rantai delegasi digunakan untuk aktivitas administratif.
Eskalasi Hak Istimewa: Peniru Akun Layanan Anomali untuk Akses Data ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs:
Log Akses Data		 Mendeteksi saat pemanggil/peniru identitas yang berpotensi tidak wajar dalam rantai delegasi digunakan untuk aktivitas akses data.
Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
Log Aktivitas Admin GKE		 Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole atau ClusterRoleBinding dari peran cluster-admin yang sensitif menggunakan permintaan PUT atau PATCH.
Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
Log Aktivitas Admin GKE 		Pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberinya akses cluster-admin .
Eskalasi Hak Istimewa: Pembuatan binding Kubernetes yang sensitif GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.
Eskalasi Hak Istimewa: Dapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupi GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs:
Log Akses Data GKE 		Pelaku yang berpotensi berbahaya membuat kueri permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.
Eskalasi Akses: Peluncuran container Kubernetes dengan hak istimewa GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
Log Aktivitas Admin GKE

Pelaku yang berpotensi berbahaya membuat Pod yang berisi container atau container dengan hak istimewa dengan kemampuan eskalasi hak istimewa.

Penampung dengan hak istimewa memiliki kolom privileged yang ditetapkan ke true. Penampung dengan kemampuan eskalasi hak istimewa memiliki kolom allowPrivilegeEscalation yang ditetapkan ke true. Untuk mengetahui informasi selengkapnya, lihat referensi API SecurityContext v1 core di dokumentasi Kubernetes.
Persistensi: Kunci Akun Layanan Dibuat SERVICE_ACCOUNT_KEY_CREATION Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Mendeteksi pembuatan kunci akun layanan. Kunci akun layanan adalah kredensial berumur panjang yang meningkatkan risiko akses tidak sah ke resource Google Cloud.
Eskalasi Akses: Skrip Penonaktifan Global Ditambahkan GLOBAL_SHUTDOWN_SCRIPT_ADDED Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Mendeteksi saat skrip shutdown global ditambahkan ke project.
Persistensi: Skrip Startup Global Ditambahkan GLOBAL_STARTUP_SCRIPT_ADDED Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Mendeteksi saat skrip startup global ditambahkan ke project.
Defense Evasion: Peran Kreator Token Akun Layanan Tingkat Organisasi Ditambahkan ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Mendeteksi saat peran IAM Service Account Token Creator diberikan di level organisasi.
Defense Evasion: Peran Kreator Token Akun Layanan Tingkat Project Ditambahkan PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Mendeteksi saat peran IAM Service Account Token Creator diberikan pada level project.
Gerakan Lateral: Eksekusi Patch OS Dari Akun Layanan OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Log Audit Cloud:
Log audit Aktivitas Admin IAM		 Mendeteksi kapan akun layanan menggunakan fitur Patch Compute Engine untuk mengupdate sistem operasi semua instance Compute Engine yang sedang berjalan.
Gerakan Lateral: Boot Disk Modifikasi yang Dikaitkan ke Pratinjau Instance MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud Audit Logs:
Log audit Compute Engine		 Mendeteksi saat boot disk terlepas dari satu instance Compute Engine dan terpasang ke instance lainnya, yang dapat mengindikasikan adanya upaya berbahaya untuk menyusupi sistem menggunakan boot disk yang dimodifikasi.
Akses Kredensial: Secret Diakses di Kubernetes Namespace SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs:
Log Akses Data GKE		 Mendeteksi kapan secret atau token akun layanan diakses oleh akun layanan di namespace Kubernetes saat ini.
Pengembangan Resource: Aktivitas Distro Keamanan Menyinggung OFFENSIVE_SECURITY_DISTRO_ACTIVITY Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi keberhasilan manipulasi resource Google Cloud dari uji penetrasi yang diketahui atau distro keamanan yang menyinggung.
Eskalasi Akses: Akun Layanan Baru adalah Pemilik atau Editor SERVICE_ACCOUNT_EDITOR_OWNER Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat akun layanan baru dibuat dengan peran Editor atau Pemilik untuk sebuah project.
Penemuan: Alat Pengumpulan Informasi yang Digunakan INFORMATION_GATHERING_TOOL_USED Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi penggunaan ScoutSuite, alat audit keamanan cloud yang diketahui digunakan oleh pelaku ancaman.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat izin iam.serviceAccounts.implicitDelegation disalahgunakan untuk membuat token akses dari akun layanan dengan hak istimewa lebih.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat akun layanan menggunakan metode serviceAccounts.signJwt untuk membuat token akses bagi akun layanan lain.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi penggunaan izin IAM iam.serviceAccounts.getOpenIdToken lintas project.

Temuan ini tidak tersedia untuk aktivasi level project.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi penggunaan izin IAM iam.serviceAccounts.getAccessToken lintas project.

Temuan ini tidak tersedia untuk aktivasi level project.
Eskalasi Akses: Penggunaan Izin Lintas Project yang Mencurigakan SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi penggunaan izin IAM datafusion.instances.create lintas project.

Temuan ini tidak tersedia untuk aktivasi level project.
Perintah dan Kontrol: DNS Tunneling DNS_TUNNELING_IODINE_HANDSHAKE Log Cloud DNS Mendeteksi handshake alat tunneling DNS Iodine.
Penghindaran Pertahanan: Upaya Penyamaran Rute VPC VPC_ROUTE_MASQUERADE Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi pembuatan rute VPC secara manual yang menyamar sebagai rute default Google Cloud, sehingga memungkinkan traffic keluar ke alamat IP eksternal.
Dampak: Penagihan Dinonaktifkan BILLING_DISABLED_SINGLE_PROJECT Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi kapan penagihan untuk sebuah project dinonaktifkan.
Dampak: Penagihan Dinonaktifkan BILLING_DISABLED_MULTIPLE_PROJECTS Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat penagihan dinonaktifkan untuk beberapa project di organisasi dalam jangka waktu singkat.
Dampak: Pemblokiran Prioritas Tinggi Firewall VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat aturan firewall VPC yang memblokir semua traffic ditambahkan dengan prioritas 0.
Dampak: Penghapusan Aturan Massa Firewall VPC VPC_FIREWALL_MASS_RULE_DELETION Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi penghapusan massal aturan firewall VPC oleh akun non-layanan.
Dampak: Service API Dinonaktifkan SERVICE_API_DISABLED Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat Google Cloud Service API dinonaktifkan di lingkungan produksi.
Dampak: Penskalaan Otomatis Grup Instance Terkelola Disetel ke Maksimum MIG_AUTOSCALING_SET_TO_MAX Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi kapan grup instance terkelola dikonfigurasi untuk penskalaan otomatis maksimum.
Penemuan: Panggilan API Akun Layanan Tidak Sah UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Log Audit Cloud:
Log audit Aktivitas Admin IAM 		Mendeteksi saat akun layanan melakukan panggilan API lintas project yang tidak sah.
Defense Evasion: Sesi Anonim Memberikan Akses Admin Cluster ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit Logs:
Log Aktivitas Admin GKE		 Mendeteksi pembuatan objek ClusterRoleBinding kontrol akses berbasis peran (RBAC) yang menambahkan perilaku root-cluster-admin-binding ke pengguna anonim.
Akses Awal: Resource GKE Anonim yang Dibuat dari Internet Pratinjau GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Log Aktivitas Admin GKE		 Mendeteksi peristiwa pembuatan resource dari pengguna internet yang secara efektif anonim.
Akses Awal: Resource GKE Dimodifikasi secara Anonim dari Internet Pratinjau GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Log Aktivitas Admin GKE		 Mendeteksi peristiwa manipulasi resource dari pengguna internet yang secara efektif anonim.

Modul kustom untuk Event Threat Detection

Selain aturan deteksi bawaan, Event Threat Detection menyediakan template modul yang dapat Anda gunakan untuk membuat aturan deteksi kustom. Untuk mengetahui informasi selengkapnya, lihat Ringkasan modul kustom untuk Event Threat Detection.

Untuk membuat aturan deteksi yang tidak menyediakan template modul kustom, Anda dapat mengekspor data log ke BigQuery, lalu menjalankan kueri SQL yang unik atau berulang yang menangkap model ancaman Anda.

Perubahan Google Grup yang tidak aman

Bagian ini menjelaskan cara Event Threat Detection menggunakan log Google Workspace, log Audit Cloud, dan kebijakan IAM untuk mendeteksi perubahan Google Grup yang tidak aman. Mendeteksi perubahan Google Grup hanya didukung jika Anda mengaktifkan Security Command Center di tingkat organisasi.

Pelanggan Google Cloud dapat menggunakan Google Grup untuk mengelola peran dan izin bagi anggota di organisasi mereka, atau menerapkan kebijakan akses ke koleksi pengguna. Administrator dapat memberikan peran dan izin ke Google Grup, lalu menambahkan anggota ke grup tertentu, bukan memberikan peran secara langsung kepada anggota. Anggota grup mewarisi semua peran dan izin grup, yang memungkinkan anggota mengakses resource dan layanan tertentu.

Meskipun Google Grup adalah cara mudah untuk mengelola kontrol akses dalam skala besar, hal tersebut dapat menimbulkan risiko jika pengguna eksternal dari luar organisasi atau domain ditambahkan ke grup dengan hak istimewa—grup yang diberi peran atau izin sensitif. Peran sensitif mengontrol akses ke setelan keamanan dan jaringan, log, serta informasi identitas pribadi (PII), dan tidak direkomendasikan untuk anggota grup eksternal.

Di organisasi besar, administrator mungkin tidak mengetahui saat anggota eksternal ditambahkan ke grup dengan hak istimewa. Log Audit Cloud mencatat pemberian peran ke grup, tetapi peristiwa log tersebut tidak berisi informasi tentang anggota grup, yang dapat mengaburkan potensi dampak dari beberapa perubahan grup.

Jika Anda berbagi log Google Workspace dengan Google Cloud, Event Threat Detection akan memantau streaming logging Anda untuk menemukan anggota baru yang ditambahkan ke Google Grup organisasi Anda. Karena log berada di level organisasi, Event Threat Detection dapat memindai log Google Workspace hanya jika Anda mengaktifkan Security Command Center di tingkat organisasi. Event Threat Detection tidak dapat memindai log ini saat Anda mengaktifkan Security Command Center di level project.

Event Threat Detection mengidentifikasi anggota grup eksternal dan, dengan menggunakan log Cloud Audit, meninjau peran IAM grup yang terpengaruh untuk memeriksa apakah grup tersebut diberi peran sensitif. Informasi tersebut digunakan untuk mendeteksi perubahan yang tidak aman berikut untuk Google Grup dengan hak istimewa:

  • Anggota grup eksternal ditambahkan ke grup dengan hak istimewa
  • Peran atau izin sensitif yang diberikan ke grup dengan anggota grup eksternal
  • Grup hak istimewa yang diubah untuk mengizinkan siapa saja umum untuk bergabung

Event Threat Detection menulis temuan ke Security Command Center. Temuan berisi alamat email anggota eksternal yang baru ditambahkan, anggota grup internal yang memulai peristiwa, nama grup, dan peran sensitif yang terkait dengan grup. Anda dapat menggunakan informasi tersebut untuk menghapus anggota eksternal dari grup atau mencabut peran sensitif yang diberikan ke grup.

Untuk mengetahui informasi selengkapnya tentang temuan Event Threat Detection, lihat Aturan Deteksi Ancaman Peristiwa.

Peran dan izin IAM yang sensitif

Bagian ini menjelaskan cara Event Threat Detection menentukan peran IAM yang sensitif. Deteksi seperti Pemberian Anomali IAM dan perubahan Google Grup yang Tidak Aman menghasilkan temuan hanya jika perubahan melibatkan peran sensitivitas tinggi atau sedang. Sensitivitas peran memengaruhi tingkat keparahan yang ditetapkan untuk temuan.

  • Peran dengan sensitivitas tinggi mengontrol layanan penting dalam organisasi, termasuk penagihan, setelan firewall, dan logging. Temuan yang cocok dengan peran ini diklasifikasikan sebagai tingkat keseriusan Tinggi.
  • Peran sensitivitas sedang memiliki izin pengeditan yang memungkinkan akun utama membuat perubahan pada resource Google Cloud; dan melihat serta menjalankan izin pada layanan penyimpanan data yang sering kali menyimpan data sensitif. Tingkat keparahan yang ditetapkan untuk temuan bergantung pada resource:
    • Jika peran dengan sensitivitas sedang diberikan di tingkat organisasi, penemuannya diklasifikasikan sebagai tingkat keseriusan Tinggi.
    • Jika peran dengan sensitivitas sedang diberikan pada tingkat yang lebih rendah dalam hierarki resource Anda (antara lain folder, project, dan bucket), temuan akan diklasifikasikan sebagai tingkat keparahan Sedang.

Memberikan peran sensitif ini dianggap berbahaya jika penerima hibah adalah Anggota Eksternal atau identitas yang tidak normal, seperti akun utama yang tidak aktif dalam waktu yang lama. Memberikan peran sensitif kepada anggota eksternal akan menimbulkan potensi ancaman karena peran tersebut dapat disalahgunakan untuk penyusupan akun dan pemindahan data yang tidak sah.

Menemukan kategori yang menggunakan peran sensitif ini mencakup:

  • Persistensi: Pemberian IAM Tidak Wajar
    • Sub-aturan: external_service_account_added_to_policy
    • Sub-aturan: external_member_added_to_policy
  • Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid
  • Eskalasi Akses: Akun Layanan Tidak Aktif yang Diberikan Peran Sensitif

Menemukan kategori yang menggunakan subset peran sensitif meliputi:

  • Persistensi: Pemberian IAM Tidak Wajar
    • Sub-aturan: service_account_granted_sensitive_role_to_member

Subaturan service_account_granted_sensitive_role_to_member menargetkan anggota eksternal dan internal secara umum sehingga hanya menggunakan sebagian peran sensitif, seperti yang dijelaskan dalam aturan Deteksi Ancaman Peristiwa.

Tabel 1. Peran dengan sensitivitas tinggi
Kategori Peran Deskripsi
Peran dasar: berisi ribuan izin di seluruh layanan Google Cloud. roles/owner Peran dasar
roles/editor
Peran keamanan: mengontrol akses ke setelan keamanan roles/cloudkms.* Semua peran Cloud Key Management Service
roles/cloudsecurityscanner.* Semua peran Web Security Scanner
roles/dlp.* Semua Peran Perlindungan Data Sensitif
roles/iam.* Semua peran IAM
roles/secretmanager.* Semua peran Secret Manager
roles/securitycenter.* Semua peran Security Command Center
Peran logging: mengontrol akses ke log organisasi roles/errorreporting.* Semua peran Error Reporting
roles/logging.* Semua peran Cloud Logging
roles/stackdriver.* Semua peran Cloud Monitoring
Peran informasi pribadi: mengontrol akses ke resource yang berisi informasi identitas pribadi, termasuk informasi perbankan dan kontak roles/billing.* Semua peran Penagihan Cloud
roles/healthcare.* Semua peran Cloud Healthcare API
roles/essentialcontacts.* Semua peran Kontak Penting
Peran jaringan: mengontrol akses ke setelan jaringan organisasi roles/dns.* Semua peran Cloud DNS
roles/domains.* Semua peran Cloud Domains
roles/networkconnectivity.* Semua peran Network Connectivity Center
roles/networkmanagement.* Semua peran Network Connectivity Center
roles/privateca.* Semua peran Certificate Authority Service
Peran layanan: mengontrol akses ke resource layanan di Google Cloud roles/cloudasset.* Semua peran Inventaris Aset Cloud
roles/servicedirectory.* Semua peran Direktori Layanan
roles/servicemanagement.* Semua peran Pengelolaan Layanan
roles/servicenetworking.* Semua peran Service Networking
roles/serviceusage.* Semua peran Penggunaan Layanan
Peran Compute Engine: mengontrol akses ke virtual machine Compute Engine, yang memiliki tugas yang berjalan lama dan terkait dengan aturan firewall

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Semua peran Compute Engine Admin dan Editor
Tabel 2. Peran dengan sensitivitas sedang
Kategori Peran Deskripsi
Mengedit peran: Peran IAM yang mencakup izin untuk melakukan perubahan pada resource Google Cloud

Contoh:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

 Nama peran biasanya diakhiri dengan judul seperti Admin, Owner, Editor, atau Writer.

Luaskan node di baris terakhir tabel untuk melihat Semua peran sensitivitas sedang

Peran penyimpanan data: Peran IAM yang mencakup izin untuk melihat dan menjalankan layanan penyimpanan data

Contoh:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Luaskan node di baris terakhir tabel untuk melihat Semua peran sensitivitas sedang
Semua peran dengan sensitivitas sedang

Persetujuan Akses
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Tindakan
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

Gateway API
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Otorisasi Biner
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Analisis Artefak
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Katalog Data
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Aliran data
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Metastore Dataproc
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseappdistro.admin
roles/firebasenotifications.admin
roles/firebaseappdistro.admin
{
/2}
roles/firebaseperformance.adminroles/firebasepredictions.adminroles/firebaserules.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin

Server Game
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Hub Google Kubernetes Engine
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Layanan Terkelola untuk Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore untuk Redis
roles/redis.admin
roles/redis.editor

On-Demand Scanning API
roles/ondemandscanning.admin

Ops Config Monitoring
roles/opsconfigmonitoring.resourceMetadata.writer

Layanan Kebijakan Organisasi
roles/axt.admin
roles/orgpolicy.policyAdmin

Peran lainnya
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Beacon Kedekatan
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Rekomendasi
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Pemberi Rekomendasi
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Setelan Resource
roles/resourcesettings.admin

Akses VPC Serverless
roles/vpcaccess.admin

Pengelolaan Konsumen Layanan
roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebook Vertex AI Workbench yang dikelola pengguna
roles/notebooks.admin
roles/notebooks.legacyAdmin

Alur kerja
roles/workflows.admin
roles/workflows.editor

Jenis log dan persyaratan aktivasi

Bagian ini mencantumkan log yang digunakan Event Threat Detection, beserta ancaman yang dicari Event Threat Detection di setiap log, dan apa, jika ada, yang perlu Anda lakukan untuk mengaktifkan setiap log.

Anda perlu mengaktifkan log untuk Event Threat Detection hanya jika semua hal berikut terpenuhi:

  • Anda menggunakan produk atau layanan yang menulis ke log.
  • Anda harus melindungi produk atau layanan dari ancaman yang dideteksi Peristiwa Ancaman di log.
  • Log tersebut adalah log audit akses data atau log lain yang dinonaktifkan secara default.

Ancaman tertentu dapat dideteksi di beberapa log. Jika Event Threat Detection dapat mendeteksi ancaman di log yang sudah diaktifkan, Anda tidak perlu mengaktifkan log lain untuk mendeteksi ancaman yang sama.

Jika log tidak tercantum di bagian ini, Event Threat Detection tidak akan memindainya, meskipun telah diaktifkan. Untuk informasi selengkapnya, lihat Potensi pemindaian log redundan.

Seperti dijelaskan dalam tabel berikut, beberapa jenis log hanya tersedia di tingkat organisasi. Jika Anda mengaktifkan Security Command Center di level project, Event Threat Detection tidak akan memindai log tersebut dan tidak menghasilkan temuan apa pun.

Pemindaian log yang berpotensi redundan

Event Threat Detection dapat memberikan deteksi jaringan untuk malware dengan memindai salah satu log berikut:

  • Logging Cloud DNS
  • Logging Cloud NAT
  • Firewall Rules Logging
  • VPC Flow Logs

Jika Anda sudah menggunakan logging Cloud DNS, Event Threat Detection dapat mendeteksi malware menggunakan resolusi domain. Bagi sebagian besar pengguna, log Cloud DNS cukup untuk mendeteksi malware jaringan.

Jika memerlukan tingkat visibilitas lain di luar resolusi domain, Anda dapat mengaktifkan Log Aliran VPC, tetapi Log Aliran VPC dapat dikenai biaya. Untuk mengelola biaya ini, sebaiknya tingkatkan interval agregasi menjadi 15 menit dan kurangi frekuensi sampel menjadi antara 5% dan 10%, tetapi ada konsekuensi antara penarikan (sampel lebih tinggi) dan pengelolaan biaya (frekuensi sampel lebih rendah).

Jika Anda sudah menggunakan Firewall Rules Logging atau logging Cloud NAT, log ini berguna sebagai pengganti Log Aliran VPC.

Anda tidak perlu mengaktifkan lebih dari satu logging Cloud NAT, Firewall Rules Logging, atau VPC Flow Logs.

Log yang perlu Anda aktifkan

Bagian ini mencantumkan log Cloud Logging dan Google Workspace yang dapat Anda aktifkan atau konfigurasi untuk meningkatkan jumlah ancaman yang dapat dideteksi Event Threat Detection.

Ancaman tertentu, seperti ancaman yang ditimbulkan oleh peniruan identitas anomali atau pendelegasian akun layanan, dapat ditemukan di sebagian besar log audit. Untuk jenis ancaman ini, Anda menentukan log yang perlu diaktifkan berdasarkan produk dan layanan yang Anda gunakan.

Tabel berikut menunjukkan log tertentu yang perlu Anda aktifkan untuk ancaman yang dapat dideteksi hanya di jenis log tertentu tertentu.

Privilege Escalation: AlloyDB Over-Privileged Grant
Jenis log Ancaman terdeteksi Konfigurasi diperlukan
Logging Cloud DNS Log4j Malware: Bad Domain
Malware: bad domain
Malware: Cryptomining Bad Domain		 Mengaktifkan logging Cloud DNS
Logging Cloud NAT Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Mengaktifkan logging Cloud NAT
Firewall Rules Logging Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Aktifkan Firewall Rules Logging.
Log audit Akses Data Google Kubernetes Engine (GKE) Discovery: Can get sensitive Kubernetes object check
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials		 Mengaktifkan log audit Akses Data Logging untuk GKE
Log Audit Admin Google Workspace Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed		 Membagikan log Audit Admin Google Workspace dengan Cloud Logging

Jenis log ini tidak dapat dipindai pada aktivasi level project.

Log Audit Login Google Workspace Credential Access: External Member Added To Privileged Group
Impair Defenses: Two Step Verification Disabled
Initial Access: Account Disabled Hijacked
Initial Access: Disabled Password Leak
Initial Access: Government Based Attack
Initial Access: Suspicious Login Blocked		 Membagikan log Audit Login Google Workspace dengan Cloud Logging

Jenis log ini tidak dapat dipindai pada aktivasi level project.

Log layanan backend Load Balancer Aplikasi Eksternal Initial Access: Log4j Compromise Attempt Aktifkan logging Load Balancer Aplikasi eksternal
Log audit Akses Data MySQL Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Aktifkan log audit Akses Data Logging untuk Cloud SQL untuk MySQL
Log audit Akses Data PostgreSQL Cloud SQL Exfiltration: Cloud SQL Data Exfiltration
Exfiltration: Cloud SQL Over-Privileged Grant
AlloyDB untuk Log audit Akses Data PostgreSQL Privilege Escalation: AlloyDB Database Superuser Writes to User Tables
Log audit Akses Data IAM Discovery: Service Account Self-Investigation Mengaktifkan log audit Akses Data Logging untuk Resource Manager
Log audit Akses Data SQL Server Exfiltration: Cloud SQL Data Exfiltration Aktifkan log audit Akses Data Logging untuk Cloud SQL untuk SQL Server
Log audit Akses Data Umum Initial Access: Leaked Service Account Key Used
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
 Aktifkan log audit Akses Data Logging.
authlog/authlog di virtual machine Brute force SSH Instal Agen Operasional atau agen Logging lama di host VM Anda
VPC Flow Logs Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Outgoing DoS		 Aktifkan Log Aliran VPC.
Logging audit cadangan dan DR Data destruction: Google Cloud Backup and DR expire all images
Inhibit system recovery: Google Cloud Backup and DR delete policy
Inhibit system recovery: Google Cloud Backup and DR delete template
Inhibit system recovery: Google Cloud Backup and DR delete profile
Inhibit system recovery: Google Cloud Backup and DR delete storage pool
Inhibit system recovery: deleted Google Cloud Backup and DR host
Data destruction: Google Cloud Backup and DR expire image
Data destruction: Google Cloud Backup and DR remove appliance
Inhibit system recovery: Google Cloud Backup and DR remove plan
Impact: Google Cloud Backup and DR reduce backup expiration
Impact: Google Cloud Backup and DR reduce backup frequency
 Mengaktifkan logging audit DR dan Pencadangan

Log yang selalu aktif

Tabel berikut mencantumkan log Cloud Logging yang tidak perlu Anda aktifkan atau konfigurasi. Log ini selalu aktif dan Event Threat Detection memindainya secara otomatis.

Jenis log Ancaman terdeteksi Konfigurasi diperlukan
Log Akses Data BigQueryAuditMetadata Pemindahan yang tidak sah: Pemindahan Tidak Sah Data BigQuery
Pemindahan yang tidak sah: Ekstraksi Data BigQuery
Pemindahan yang tidak sah: Data BigQuery ke Google Drive		 Tidak ada
Log audit Aktivitas Admin Google Kubernetes Engine (GKE) Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes sensitif
Eskalasi Hak Istimewa: Pembuatan binding Kubernetes sensitif
Eskalasi Hak Istimewa: Peluncuran container Kubernetes dengan hak istimewa
Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master 		Tidak ada
Log audit Aktivitas Admin IAM Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid
Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif yang Diberikan Peran Sensitif
Persistensi: Peran Peniruan Identitas Diberikan untuk Akun Layanan Dormant
Persistensi: Pemberian IAM Tidak Wajar
Pratinjau: Peran Sensitif yang Diberikan untuk Akun yang Tidak Dikelola
 Tidak ada
Log Aktivitas Admin MySQL Pemindahan yang tidak sah: Cloud SQL Memulihkan Cadangan ke Organisasi Eksternal Tidak ada
Log Aktivitas Admin PostgreSQL Pemindahan yang tidak sah: Cloud SQL Memulihkan Cadangan ke Organisasi Eksternal Tidak ada
Log Aktivitas Admin SQL Server Pemindahan yang tidak sah: Cloud SQL Memulihkan Cadangan ke Organisasi Eksternal Tidak ada
Log audit Aktivitas Admin Umum Akses Awal: Tindakan Akun Layanan Persistensi Tanpa Peniruan Layanan yang Tidak Aktif>
Akses Awal: Kunci Akun Layanan Eskalasi Persistensi dari Akun Layanan Tidak Aktif
Akses Awal: Tindakan Izin Pengguna yang Ditolak yang Berlebihan
Akses Awal: Kunci Akun Layanan Kebocoran yang Digunakan
Persistensi: Admin Compute Engine Menambahkan Kunci SSH
Persistensi: Admin Compute Engine Menambahkan Skrip Startup
Persistensi: Metode API Baru
Persistensi: Admin API Baru





 Tidak ada
Log audit Kontrol Layanan VPC Defense Evasion: Memodifikasi Pratinjau Kontrol Layanan VPC Tidak ada

Langkah selanjutnya