Event Threat Detection の概要

Event Threat Detection とは

Event Threat Detection は、Security Command Center のプレミアムティアの組み込みサービスで、組織またはプロジェクトを継続的にモニタリングし、システム内の脅威をほぼリアルタイムで特定します。Event Threat Detection は、新たな脅威をクラウド規模で特定するために、新しい検出項目で定期的に更新されます。

Event Threat Detection の仕組み

Event Threat Detection は、組織またはプロジェクトの Cloud Logging ストリームをモニタリングします。組織レベルで Security Command Center のプレミアムティアを有効にすると、Event Threat Detection はプロジェクトが作成されたときにそのログを使用します。また、Event Threat Detection は Google Workspace ログをモニタリングできます。Cloud Logging には、リソースの構成やメタデータの作成、読み取り、変更を行う API 呼び出しやその他のアクションのログエントリが含まれます。Google Workspace ログは、ドメインへのユーザーのログインを追跡し、Google Workspace 管理コンソールで行われた操作の記録を提供します。

ログエントリには、Event Threat Detection で脅威を迅速に検出するために使用するステータスとイベントの情報が含まれます。Event Threat Detection は、検出ロジックと独自の脅威インテリジェンス（トリップワイヤインジケーターマッチング、ウィンドウ処理のプロファイリング、高度なプロファイリング、機械学習、異常検出など）を適用して、ほぼリアルタイムで脅威を特定します。

Event Threat Detection は脅威を検出すると、検出結果を Security Command Center に書き込みます。組織レベルで Security Command Center プレミアムティアを有効にすると、Security Command Center は Cloud Logging プロジェクトに検出結果を書き込むことができます。Cloud Logging と Google Workspace のロギングから、Pub/Sub を使用して検出結果を他のシステムにエクスポートし、Cloud Functions で処理できます。

組織レベルで Security Command Center Premium ティアを有効にすると、さらに Google Security Operations を使用していくつかの検出結果を調査できます。Google SecOps は、脅威を調査し、統合されたタイムラインで関連するエンティティをピボット分析できる Google Cloud サービスです。検出結果を Google SecOps に送信する手順については、Google SecOps で検出結果を調査するをご覧ください。

検出結果とログを表示および編集できるかどうかは、付与されている Identity and Access Management（IAM）のロールによって決まります。Security Command Center IAM ロールの詳細については、アクセス制御をご覧ください。

Event Threat Detection のルール

ルールは、Event Threat Detection で検出する脅威の種類と、検出器が動作するために有効にする必要があるログの種類を定義します。管理アクティビティ監査ログは常に書き込まれます。構成や無効化はできません。

Event Threat Detection には、以下のデフォルトルールが含まれています。

表示名	API 名	ログソースのタイプ	説明
アクティブスキャン: RCE に対して脆弱な Log4j	使用不可	Cloud DNS のログ	サポートされている Log4j 脆弱性スキャナによって開始された難読化されていないドメインの DNS クエリを識別して、アクティブな Log4j の脆弱性を検出します。
システム復旧の抑制: Google Cloud バックアップと DR からのホストの削除	`BACKUP_HOSTS_DELETE_HOST`	Cloud Audit Logs: バックアップと DR サービスのデータアクセスログ	バックアップと DR からホストが削除されました。削除されたホストに関連付けられているアプリケーションは保護されていない可能性があります。
データの破棄: Google Cloud バックアップと DR からのイメージの削除	`BACKUP_EXPIRE_IMAGE`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	ユーザーがバックアップと DR からバックアップイメージの削除をリクエストしました。バックアップイメージを削除しても、将来のバックアップは防止されません。
システム復旧の抑制: Google Cloud バックアップと DR からのプランの削除	`BACKUP_REMOVE_PLAN`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	アプリケーションの複数のポリシーを含むバックアッププランがバックアップと DR から削除されました。バックアッププランを削除すると、将来のバックアップが妨げられる可能性があります。
データの破棄: Google Cloud バックアップと DR からのすべてのイメージの削除	`BACKUP_EXPIRE_IMAGES_ALL`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	ユーザーがバックアップと DR から、保護されたアプリケーションのすべてのバックアップイメージを削除するようリクエストしました。バックアップイメージを削除しても、将来のバックアップは防止されません。
システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	複数のアプリケーションのバックアップを設定するために使用される事前定義のバックアップテンプレートが削除されました。今後、バックアップを設定する機能に影響する可能性があります。
システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除	`BACKUP_TEMPLATES_DELETE_POLICY`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	バックアップの作成方法と保存場所を定義するバックアップと DR ポリシーは削除されました。このポリシーを使用する将来のバックアップは失敗する可能性があります。
システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除	`BACKUP_PROFILES_DELETE_PROFILE`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	バックアップの保存に使用するストレージプールを定義するバックアップと DR のプロファイルが削除されました。このプロファイルを使用する将来のバックアップは失敗する可能性があります。
データの破棄: Google Cloud バックアップと DR からのアプライアンスの削除	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	バックアップと DR からバックアップアプライアンスが削除されました。削除されたバックアップアプライアンスに関連付けられているアプリケーションは保護されていない場合があります。
システム復旧の抑制: Google Cloud バックアップと DR からのストレージプールの削除	`BACKUP_STORAGE_POOLS_DELETE`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	Cloud Storage バケットをバックアップと DR に関連付けたストレージプールがバックアップと DR から削除されました。このストレージターゲットへの今後のバックアップは失敗します。
影響: Google Cloud バックアップと DR により、バックアップの有効期限が短縮された	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	バックアップと DR で保護されたバックアップの有効期限が短縮されました。
影響: Google Cloud のバックアップと DR により、バックアップの頻度が低減した	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Cloud Audit Logs: バックアップと DR のデータアクセスログ	バックアップと DR のバックアップスケジュールが変更され、バックアップの頻度が低減しました。
ブルートフォース SSH	`BRUTE_FORCE_SSH`	authlog	ホストに対するブルートフォース攻撃で SSH 認証に成功した試行の検出。
Cloud IDS: `THREAT_IDENTIFIER` ^{プレビュー}	`CLOUD_IDS_THREAT_ACTIVITY`	Cloud IDS ログ	Cloud IDS によって検出されたイベント。Cloud IDS は、ミラーリングされたパケットを分析してレイヤ 7 攻撃を検出します。イベントが検出されると、検出結果を Security Command Center に送信します。検出結果カテゴリ名は「Cloud IDS」で始まり、その後に Cloud IDS 脅威識別子が続きます。Cloud IDS の検出について詳しくは、Cloud IDS のロギング情報をご覧ください。
認証情報アクセス: 特権グループに追加された外部メンバー	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Google Workspace のログ: ログイン監査権限: `DATA_READ`	外部のメンバーが特権 Google グループ（機密性の高いロールまたは権限が付与されたグループ）に追加されたイベントを検出します。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。検出結果は、グループの変更に関連付けられたロールの機密性に応じて、高または中の重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
認証情報アクセス: 一般公開された特権グループ	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: 管理監査権限: `DATA_READ`	特権 Google グループ（機密性の高いロールまたは権限が付与されたグループ）が一般公開に変更されているイベントを検出します。詳しくは、安全でない Google グループの変更をご覧ください。検出結果は、グループの変更に関連付けられたロールの機密性に応じて、高または中の重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
認証情報アクセス: ハイブリッドグループに付与される機密性の高いロール	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	外部メンバーを含む Google グループに機密性の高いロールが付与されたイベントを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。検出結果は、グループの変更に関連付けられたロールの機密性に応じて、高または中の重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
防御回避: ブレークグラスワークロードのデプロイの作成^{プレビュー}	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Cloud Audit Logs: 管理アクティビティログ	ブレークグラスフラグを使用して Binary Authorization コントロールをオーバーライドすることで、デプロイされるワークロードを検出します。
防御回避: ブレークグラスワークロードのデプロイの更新^{プレビュー}	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Cloud Audit Logs: 管理アクティビティログ	ブレークグラスフラグを使用して Binary Authorization コントロールをオーバーライドすることで、ワークロードが更新されたタイミングを検出します。
防御回避: VPC Service Control の変更	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud Audit Logs VPC Service Controls の監査ログ	保護能力の低下を招く、既存の VPC Service Controls の境界に対する変更を検出します。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
検出: 機密性の高い Kubernetes オブジェクトのチェック	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud Audit Logs: GKE データアクセスログ	悪意のある行為者が `kubectl auth can-i get` コマンドを使用して、GKE 内で照会可能な機密オブジェクトを特定しようとしています。このルールは、行為者が次のオブジェクトに対する API アクセスを確認したかどうかを検出します。 `*`（すべて） `cluster-admin` `ClusterRole` `Secret`
検出: サービスアカウントの自己調査	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Cloud Audit Logs: IAM データアクセス監査ログ権限: `DATA_READ`	同じサービスアカウントに関連付けられたロールと権限の調査に使用される IAM サービスアカウント認証情報の検出。機密性の高いロール検出結果は、付与されたロールの機密性に応じて、高または中の重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。
回避: 匿名化プロキシからのアクセス	`ANOMALOUS_ACCESS`	Cloud Audit Logs: 管理アクティビティログ	Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービス変更の検出。
データ漏洩: BigQuery データの漏洩	`DATA_EXFILTRATION_BIG_QUERY`	Cloud Audit Logs: BigQueryAuditMetadata データアクセスログ権限: `DATA_READ`	次のシナリオを検出します。コピーオペレーションや転送オペレーションを含む、組織外に保存された保護された組織が所有するリソース。このシナリオは、`exfil_to_external_table` のサブルールと `HIGH` の重大度で示されます。 VPC Service Controls で保護されている BigQuery リソースへのアクセスの試行。このシナリオは、`vpc_perimeter_violation` のサブルールと `LOW` の重大度で示されます。
データ漏洩: BigQuery データの抽出	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Cloud Audit Logs: BigQueryAuditMetadata データアクセスログ権限: `DATA_READ`	次のシナリオを検出します。保護されている組織が所有する BigQuery リソースは、抽出オペレーションによって組織の Cloud Storage バケットに保存されます。保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織が所有する一般公開の Cloud Storage バケットに保存されます。 Security Command Center のプレミアムティアをプロジェクトレベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダードティアが有効になっている場合のみです。
データ漏洩: Google ドライブへの BigQuery データ	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Cloud Audit Logs: BigQueryAuditMetadata データアクセスログ権限: `DATA_READ`	以下を検出します。保護された組織が所有する BigQuery リソースが、抽出オペレーションによって Google ドライブフォルダに保存されます。
データ漏洩: Cloud SQL データの漏洩	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud Audit Logs: MySQL データアクセスログ PostgreSQL データアクセスログ SQL Server データアクセスログ	次のシナリオを検出します。組織外の Cloud Storage バケットにエクスポートされたライブインスタンスデータ。組織が所有し、一般公開される Cloud Storage バケットにエクスポートされたライブインスタンスデータ。 Security Command Center のプレミアムティアをプロジェクトレベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダードティアが有効になっている場合のみです。
データ漏洩: Cloud SQL から外部組織へのバックアップの復元	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud Audit Logs: MySQL 管理アクティビティログ PostgreSQL 管理アクティビティログ SQL Server 管理アクティビティログ	Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元されるイベントを検出します。
データの引き出し: Cloud SQL の過剰な権限付与	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs: PostgreSQL データアクセスログ注: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。	Cloud SQL for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されたイベントを検出します。
初期アクセス: データベーススーパーユーザーによるユーザーテーブルへの書き込み	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs: Cloud SQL for PostgreSQL データアクセスログ Cloud SQL for MySQL データアクセスログ注: このルールを使用するには、PostgreSQL の pgAudit 拡張機能、または MySQL のデータベース監査を有効にする必要があります。	Cloud SQL スーパーユーザー（PostgreSQL サーバーの場合は `postgres`、MySQL ユーザーの場合は `root`）がシステム以外のテーブルに書き込むイベントを検出します。
権限昇格: AlloyDB の過剰な権限付与	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs: AlloyDB for PostgreSQL のデータアクセスログ注: pgAudit 拡張機能を有効にしてこのルールを使用します。	AlloyDB for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されたイベントを検出します。
権限昇格: AlloyDB データベーススーパーユーザーによるユーザーテーブルへの書き込み	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs: AlloyDB for PostgreSQL のデータアクセスログ注: pgAudit 拡張機能を有効にしてこのルールを使用します。	AlloyDB for PostgreSQL のスーパーユーザー（`postgres`）がシステム以外のテーブルに書き込むイベントを検出します。
初期アクセス: 使われていないサービスアカウントに対するアクション	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud Audit Logs: 管理アクティビティログ	使われていないユーザー管理サービスアカウントがアクションをトリガーしたイベントを検出します。この場合、180 日を超えてアクティブでないサービスアカウントは、使用されていないと見なされます。
権限昇格: 使われていないサービスアカウントに対する機密性の高いロールの付与	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	使われていないユーザー管理サービスアカウントに 1 つ以上の機密性の高い IAM のロールが付与されているイベントを検出します。この場合、180 日を超えてアクティブでないサービスアカウントは、使用されていないと見なされます。機密性の高いロール検出結果は、付与されたロールの機密性に応じて、高または中の重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。
永続性: 休眠状態のサービスアカウントに対する権限借用ロールの付与	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	使われていないユーザー管理サービスアカウントの権限を借用するための権限がプリンシパルに付与されたイベントを検出します。この場合、180 日を超えてアクティブでないサービスアカウントは、使用されていないと見なされます。
初期アクセス: 休眠状態のサービスアカウントに対するキーの作成	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Cloud Audit Logs: 管理アクティビティログ	使われていないユーザー管理サービスアカウント向けの鍵の作成イベントを検出します。この場合、180 日を超えてアクティブでないサービスアカウントは、使用されていないと見なされます。
初期アクセス: 漏洩したサービスアカウントキーの使用	`LEAKED_SA_KEY_USED`	Cloud Audit Logs: 管理アクティビティログデータアクセスログ	漏洩したサービスアカウントキーを使用してアクションを認証するイベントを検出します。ここで、漏洩したサービスアカウントキーは公共のインターネットに投稿されたものです。
初期アクセス: 過剰な権限の拒否アクション	`EXCESSIVE_FAILED_ATTEMPT`	Cloud Audit Logs: 管理アクティビティログ	複数のメソッドとサービス間で変更を試みたことでプリンシパルが権限拒否エラーを繰り返しトリガーするイベントを検出します。
防御への侵害: 強力な認証の無効化	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace 管理監査	組織で 2 段階認証プロセスが無効になりました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
防御への侵害: 2 段階認証プロセスの無効化	`2SV_DISABLE`	Google Workspace のログ: ログイン監査権限: `DATA_READ`	ユーザーが 2 段階認証プロセスを無効にしました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
初期アクセス: アカウントの無効化（ハイジャック）	`ACCOUNT_DISABLED_HIJACKED`	Google Workspace のログ: ログイン監査権限: `DATA_READ`	不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
初期アクセス: 無効化（パスワードの漏洩）	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Google Workspace のログ: ログイン監査権限: `DATA_READ`	パスワード漏洩が検出されたため、ユーザーのアカウントが無効になっています。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
初期アクセス: 政府支援による攻撃	`GOV_ATTACK_WARNING`	Google Workspace のログ: ログイン監査権限: `DATA_READ`	政府の支援を受けた攻撃者がユーザーアカウントまたはパソコンの不正使用を試みた可能性があります。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
初期アクセス: Log4j の悪用	使用不可	Cloud Load Balancing のログ: Cloud HTTP ロードバランサ注: このルールを使用するには外部アプリケーションロードバランサのロギングを有効にする必要があります。	ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface（JNDI）のルックアップを検出します。このような検索は、Log4Shell の悪用の試みを示す可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用を試みるものであるため、重大度は「低」です。このルールは常に有効になっています。
初期アクセス: 不審なログインのブロック	`SUSPICIOUS_LOGIN`	Google Workspace のログ: ログイン監査権限: `DATA_READ`	ユーザーのアカウントへの不審なログインが検出され、ブロックされました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
Log4j マルウェア: 不正なドメイン	`LOG4J_BAD_DOMAIN`	Cloud DNS のログ	Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく Log4j エクスプロイトトラフィックの検出。
Log4j マルウェア: 不正な IP	`LOG4J_BAD_IP`	VPC フローログファイアウォールルールのログ Cloud NAT ログ	Log4j 攻撃で使用される既知の IP アドレスへの接続に基づく Log4j エクスプロイトトラフィックの検出。
マルウェア: 不正ドメイン	`MALWARE_BAD_DOMAIN`	Cloud DNS のログ	既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出。
マルウェア: 不正 IP	`MALWARE_BAD_IP`	VPC フローログファイアウォールルールのログ Cloud NAT ログ	既知の不正な IP アドレスへの接続に基づくマルウェアの検出。
マルウェア: 不正ドメインの暗号化	`CRYPTOMINING_POOL_DOMAIN`	Cloud DNS のログ	既知のマイニングドメインへの接続またはルックアップに基づくクリプトマイニングの検出。
マルウェア: 不正 IP の暗号化	`CRYPTOMINING_POOL_IP`	VPC フローログファイアウォールルールのログ Cloud NAT ログ	既知のマイニング IP アドレスへの接続に基づくクリプトマイニングの検出。
送信 DoS	`OUTGOING_DOS`	VPC フローログ	送信サービス拒否攻撃トラフィックの検出
永続性: GCE 管理者による SSH 認証鍵の追加	`GCE_ADMIN_ADD_SSH_KEY`	Cloud Audit Logs: Compute Engine の監査ログ	確立されたインスタンスの Compute Engine インスタンスメタデータ SSH 認証鍵の値の変更の検出（1 週間以上前）。
永続性: GCE 管理者による起動スクリプトの追加	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Cloud Audit Logs: Compute Engine の監査ログ	確立されたインスタンスの Compute Engine インスタンスメタデータ起動スクリプトの値の変更の検出（1 週間以上前）。
永続性: IAM 異常付与	`IAM_ANOMALOUS_GRANT`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	この検出結果には、この検出結果の各インスタンスについてより具体的な情報を提供するサブルールが含まれています。次のリストに、含まれる可能性のあるすべてのサブルールを示します。 `external_service_account_added_to_policy`、`external_member_added_to_policy`: 組織のメンバーではない IAM ユーザーおよびサービスアカウントに付与された権限の検出、または Security Command Center がプロジェクトレベルのみで有効になっている場合はプロジェクト。注: Security Command Center が任意の階層の組織レベルで有効になっている場合、この検出機能は組織の既存の IAM ポリシーをコンテキストとして使用します。Security Command Center の有効化がプロジェクトレベルでのみ行われている場合、検出機能はプロジェクトの IAM ポリシーのみをコンテキストとして使用します。外部メンバーへの機密性の高い IAM の付与があり、それに似た既存の IAM ポリシーが 3 つ未満の場合、検出機能によって検出結果が生成されます。機密性の高いロール検出結果は、付与されたロールの機密性に応じて、高または中の重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 `external_member_invited_to_policy`: `InsertProjectOwnershipInvite` API を介してプロジェクトオーナーとして外部メンバーが招待されると検出されます。 `custom_role_given_sensitive_permissions`: カスタムロールに `setIAMPolicy` 権限が追加されると検出されます。 `service_account_granted_sensitive_role_to_member`: サービスアカウントを貸してメンバーに特権ロールが付与されると検出されます。このサブルールは、基本的な IAM ロールと特定のデータストレージロールのみを含む、機密性の高いロールのサブセットによってトリガーされます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 `policy_modified_by_default_compute_service_account`: デフォルトの Compute Engine サービスアカウントを使用してプロジェクトの IAM 設定が変更されると検出されます。
^{プレビュー}永続性: 管理対象外アカウントに対する機密性の高いロールの付与	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	管理対象外アカウントに付与された機密性の高いロールの検出。
永続性: 新しい API メソッド	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Cloud Audit Logs: 管理アクティビティログ	IAM サービスアカウントによる Google Cloud サービスの異常な使用の検出。
永続性: 新しい地域	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Cloud Audit Logs: 管理アクティビティログ	リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なるロケーションから Google Cloud にアクセスする IAM ユーザーとサービスアカウントを異常なロケーションから検出。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
永続性: 新しいユーザーエージェント	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Cloud Audit Logs: 管理アクティビティログ	通常と異なるユーザーエージェントまたは不審なユーザーエージェントから Google Cloud にアクセスする IAM サービスアカウントの検出。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
永続性: SSO の有効化の切り替え	`TOGGLE_SSO_ENABLED`	Google Workspace 管理監査	管理者アカウントで SSO（シングルサインオン）の有効化の設定が無効になりました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
永続性: 変更された SSO 設定	`CHANGE_SSO_SETTINGS`	Google Workspace 管理監査	管理者アカウントの SSO の設定が変更されました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
権限昇格: 管理アクティビティに関する、サービスアカウントの異常な権限借用	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Cloud Audit Logs: 管理アクティビティログ	管理アクティビティで異常な可能性のあるサービスアカウントの権限借用を検出します。
権限昇格: 管理アクティビティに関する、異常なマルチステップサービスアカウントの委任	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Cloud Audit Logs: 管理アクティビティログ	管理アクティビティで異常なマルチステップの委任リクエストを検出します。
権限昇格: データアクセスに関する、異常なマルチステップサービスアカウントの委任	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud Audit Logs: データアクセスログ	データアクセスアクティビティで異常なマルチステップの委任リクエストを検出します。
権限昇格: 管理アクティビティに関する、サービスアカウントの異常な権限借用	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Cloud Audit Logs: 管理アクティビティログ	管理アクティビティで、委任チェーン内の異常な可能性のある呼び出し元 / 権限借用を検出します。
権限昇格: データアクセスに関する、サービスアカウントの異常な権限借用	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud Audit Logs: データアクセスログ	データアクセスアクティビティで、委任チェーン内の異常な可能性のある呼び出し元 / 権限借用を検出します。
権限昇格: Kubernetes RBAC 機密オブジェクトの変更	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Cloud Audit Logs: GKE 管理アクティビティログ	権限の昇格を目的として、悪意のある行為者が `PUT` または `PATCH` のリクエストを使用して、機密性の高い `cluster-admin` ロールの `ClusterRole`、`RoleBinding`、または `ClusterRoleBinding` のロールベースアクセス制御（RBAC）オブジェクトを変更しようとしました。
権限昇格: マスター証明書の Kubernetes CSR の作成	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud Audit Logs: GKE 管理アクティビティログ	悪意のある行為者が Kubernetes マスター証明書署名リクエスト（CSR）を作成し、`cluster-admin` アクセス権が付与されました。
権限昇格: 機密性の高い Kubernetes バインディングの作成	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	権限を昇格させるため、悪意のある行為者が `cluster-admin` ロールに新しい `RoleBinding` オブジェクトまたは `ClusterRoleBinding` オブジェクトを作成しようとしました。
権限昇格: 漏洩したブートストラップ認証情報を使用した Kubernetes CSR	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud Audit Logs: GKE データアクセスログ	悪意のある行為者が、漏洩したブートストラップ認証情報を使用して `kubectl` コマンドを実行し、証明書署名リクエスト（CSR）をクエリしました。
権限昇格: Kubernetes 特権コンテナのリリース	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Cloud Audit Logs: GKE 管理アクティビティログ	悪意のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。特権コンテナの `privileged` フィールドは `true` に設定されています。権限昇格機能を備えたコンテナの `allowPrivilegeEscalation` フィールドが `true` に設定されています。詳細については、Kubernetes ドキュメントの SecurityContext v1 core API リファレンスをご覧ください。
永続性: サービスアカウントキーの作成	`SERVICE_ACCOUNT_KEY_CREATION`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービスアカウントキーの作成を検出します。サービスアカウントキーは有効期間が長い認証情報であり、Google Cloud リソースへの不正アクセスのリスクが高くなります。
権限昇格: グローバルシャットダウンスクリプトの追加	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	グローバルシャットダウンスクリプトがプロジェクトに追加されたことを検出します。
永続性: グローバル起動スクリプトの追加	`GLOBAL_STARTUP_SCRIPT_ADDED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	グローバル起動スクリプトがプロジェクトに追加されたことを検出します。
防御回避: 組織レベルのサービスアカウントトークン作成者ロールの追加	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービスアカウントトークン作成者の IAM ロールが組織レベルで付与されたことを検出します。
防御回避: プロジェクトレベルのサービスアカウントトークン作成者ロールの追加	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービスアカウントトークン作成者の IAM ロールがプロジェクトレベルで付与されたことを検出します。
ラテラルムーブメント: サービスアカウントからの OS パッチ実行	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービスアカウントが、 Compute Engine のパッチ機能を使用して、現在実行中の Compute Engine インスタンスのオペレーティングシステムを更新しているときを検出します。
ラテラルムーブメント: インスタンスの^{プレビュー}にアタッチされた変更されたブートディスク	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Cloud Audit Logs: Compute Engine の監査ログ	ブートディスクが 1 つの Compute Engine インスタンスから切断され、別のインスタンスに接続されるときを検出します。これは、変更されたブートディスクを使用してシステムの不正使用を試みた悪意のある試みを示している可能性があります。
認証情報アクセス: Kubernetes 名前空間でアクセスされる Secret	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Cloud Audit Logs: GKE データアクセスログ	現在の Kubernetes 名前空間内のサービスアカウントがシークレットまたはサービスアカウントトークンにアクセスするタイミングを検出します。
リソース開発: 不適切なセキュリティディストリビューションアクティビティ	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	既知のペネトレーションテストや不適切なセキュリティディストリビューションから成功した Google Cloud リソース操作を検出します。
権限昇格: 新しいサービスアカウントがオーナーまたは編集者	`SERVICE_ACCOUNT_EDITOR_OWNER`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	プロジェクトに編集者またはオーナーのロールを持つ新しいサービスアカウントが作成されたことを検出します。
調査: 情報収集ツールを使用	`INFORMATION_GATHERING_TOOL_USED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	脅威アクターによって使用されていることが知られているクラウドセキュリティ監査ツールである ScoutSuite の使用を検出します。
権限昇格: 不審なトークンの生成	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	`iam.serviceAccounts.implicitDelegation` 権限が不正使用され、より高い権限のサービスアカウントからアクセストークンを生成したときに検出します。
権限昇格: 不審なトークンの生成	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービスアカウントが `serviceAccounts.signJwt` メソッドを使用して別のサービスアカウントのアクセストークンを生成したときに検出します。
権限昇格: 不審なトークンの生成	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	`iam.serviceAccounts.getOpenIdToken` IAM 権限のプロジェクト間の使用を検出します。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
権限昇格: 不審なトークンの生成	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	`iam.serviceAccounts.getAccessToken` IAM 権限のプロジェクト間の使用を検出します。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
権限昇格: プロジェクト間の不審な権限の使用	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	`datafusion.instances.create` IAM 権限のプロジェクト間の使用を検出します。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
コマンドと制御: DNS トンネリング	`DNS_TUNNELING_IODINE_HANDSHAKE`	Cloud DNS のログ	DNS トンネリングツール Iodine の handshake を検出します。
防御回避: VPC ルートマスカレード試行	`VPC_ROUTE_MASQUERADE`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	Google Cloud のデフォルトルートをマスカレードした VPC ルートの手動作成を検出し、外部 IP アドレスへの下り（外向き）トラフィックを許可します。
影響: 課金を無効にします	`BILLING_DISABLED_SINGLE_PROJECT`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	プロジェクトに対する課金が無効になっていることを検出します。
影響: 課金を無効にします	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	組織内の複数のプロジェクトに対して、短期間に課金が無効にされたことを検出します。
影響: VPC ファイアウォールの優先度の高いブロック	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	すべてのトラフィックをブロックする VPC ファイアウォールルールが優先度 0 で追加されていることを検出します。
影響: VPC ファイアウォールの一括ルールの削除	`VPC_FIREWALL_MASS_RULE_DELETION`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービス以外のアカウントによる VPC ファイアウォールルールの一括削除を検出します。
影響: Service API が無効になりました	`SERVICE_API_DISABLED`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	本番環境で Google Cloud Service API が無効になっていることを検出します。
影響: マネージドインスタンスグループの自動スケーリングを最大に設定	`MIG_AUTOSCALING_SET_TO_MAX`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	マネージドインスタンスグループが最大自動スケーリング用に構成されていることを検出します。
検出: 未承認のサービスアカウント API 呼び出し	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Cloud Audit Logs: IAM 管理アクティビティ監査ログ	サービスアカウントが、不正なプロジェクト間 API 呼び出しを行ったことを検出します。
防御回避: 匿名セッションにクラスタ管理者アクセス権が付与された	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Cloud Audit Logs: GKE 管理アクティビティログ	匿名ユーザーに `root-cluster-admin-binding` の動作を追加するロールベースアクセス制御（RBAC）`ClusterRoleBinding` オブジェクトの作成を検出します。
初期アクセス: インターネットから匿名で作成された GKE リソース^{プレビュー}	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: GKE 管理アクティビティログ	実質的に匿名のインターネットユーザーによるリソース作成イベントを検出します。
初期アクセス: インターネットから匿名で変更された GKE リソース^{プレビュー}	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: GKE 管理アクティビティログ	実質的に匿名のインターネットユーザーからのリソース操作イベントを検出します。

Event Threat Detection 用のカスタムモジュール

Event Threat Detection には、組み込みの検出ルールに加えて、カスタム検出ルールの作成に使用できるモジュールテンプレートが用意されています。詳細については、Event Threat Detection のカスタムモジュールの概要をご覧ください。

カスタムモジュールテンプレートが使用できない検出ルールを作成するには、ログデータを BigQuery にエクスポートしてから、脅威モデルをキャプチャする一意の SQL クエリまたは繰り返しの SQL クエリを実行します。

安全ではない Google グループの変更

このセクションでは、Event Threat Detection で Google Workspace のログ、Cloud Audit Logs、IAM ポリシーを使用して、安全でない Google グループの変更を検出する方法について説明します。Google グループの変更の検出は、組織レベルで Security Command Center を有効にした場合にのみサポートされます。

Google Cloud のお客様は、Google グループを使用して組織内のメンバーのロールと権限を管理し、ユーザーのコレクションにアクセスポリシーを適用できます。ロールをメンバーに直接付与する代わりに、管理者は Google グループにロールと権限を付与し、そのメンバーを特定のグループに追加できます。グループメンバーは、グループのすべてのロールと権限を継承します。これにより、メンバーは特定のリソースとサービスにアクセスできます。

Google グループはアクセス制御を大規模に管理するのに便利ですが、組織やドメイン外の外部ユーザーが特権グループ（機密性の高いロールまたは権限が付与されているグループ）に追加されている場合、リスクが発生する可能性があります。機密性の高いロールはセキュリティとネットワークの設定、ログ、個人を特定できる情報（PII）へのアクセスを制御するため、外部グループのメンバーにはおすすめしません。

大規模な組織では、外部のメンバーが特権グループに追加されたことを管理者が認識しない可能性があります。Cloud Audit Logs はグループへのロール付与を記録しますが、これらのログイベントにはグループメンバーに関する情報が含まれていないため、一部のグループの変更による影響の可能性が不明瞭になる可能性があります。

Google Cloud と Google Workspace のログを共有している場合、Event Threat Detection は組織の Google グループに追加された新しいメンバーのロギングストリームをモニタリングします。ログは組織レベルで作成されるため、組織レベルで Security Command Center を有効にした場合にのみ、Event Threat Detection は Google Workspace のログをスキャンできます。プロジェクトレベルで Security Command Center を有効にすると、Event Threat Detection はこのログをスキャンできません。

Event Threat Detection は外部グループメンバーを識別します。Cloud Audit Logs を使用して、影響を受ける各グループの IAM ロールを確認し、そのグループに機密ロールが付与されているかどうかを確認します。この情報は、特権 Google グループへの安全でない変更を検出するために使用されます。

特権グループに追加された外部のグループメンバー
外部のグループメンバーを含むグループに付与される機密性の高いロールまたは権限
一般ユーザーが誰でも参加できるように変更された特権グループ

Event Threat Detection は検出結果を Security Command Center に書き込みます。検出結果には、新しく追加された外部メンバー、イベントを開始した内部グループメンバー、グループ名、グループに関連付けられた機密性の高いロールのメールアドレスが含まれます。この情報を使用して、グループから外部メンバーを削除することや、グループに付与されている機密性の高いロールを取り消すことが可能になります。

Event Threat Detection の検出結果の詳細については、Event Threat Detection のルールをご覧ください。

機密性の高い IAM のロールと権限

このセクションでは、Event Threat Detection での機密性の高い IAM ロールの定義について説明します。IAM 異常付与や安全でない Google グループの変更などの検出では、変更に機密性が高いロールまたは中程度のロールが含まれる場合にのみ、検出結果が生成されます。ロールの機密性は、検出結果に割り当てられた重大度に影響します。

機密性が高いロールは、課金、ファイアウォール設定、ロギングなど、組織における重要なサービスを制御します。これらのロールに一致する検出結果は、重大度高に分類されます。
機密性が中程度のロールには、プリンシパルが Google Cloud リソースに変更を加えるための編集権限があります。また、機密データを保持するデータストレージサービスに関する権限の表示と実行も可能です。検出結果に割り当てられる重大度は、リソースによって異なります。
- 中程度の機密性のロールが組織レベルで付与されている場合、検出結果は高重大度に分類されます。
- 中程度の機密性のロールがリソース階層の下位レベル（フォルダ、プロジェクト、バケットなど）で付与されている場合、検出結果は中程度の重大度に分類されます。

付与するユーザーが外部メンバーか異常な ID（長期間アクティブでないプリンシパルなど）である場合、これらの機密性の高いロールを付与することは危険と見なされます。機密性の高いロールを外部メンバーに付与すると、アカウントの不正使用やデータの引き出しに悪用される可能性があります。

これらの機密性の高いロールを使用するカテゴリには、次のようなものがあります。

永続性: IAM 異常付与
- サブルール: external_service_account_added_to_policy
- サブルール: external_member_added_to_policy
認証情報アクセス: ハイブリッドグループに付与される機密性の高いロール
権限昇格: 使われていないサービスアカウントに対する機密性の高いロールの付与

機密性の高いロールのサブセットを使用するカテゴリには、次のようなものがあります。

永続性: IAM 異常付与
- サブルール: service_account_granted_sensitive_role_to_member

service_account_granted_sensitive_role_to_member サブルールは外部メンバーと内部メンバーの両方を対象としているため、Event Threat Detection のルールで説明されているように、機密性の高いロールのサブセットのみを使用します。

表 1. 機密性の高いロール
カテゴリ	ロール	説明
基本ロール: すべての Google Cloud サービスにかかわる何千もの権限が含まれます。	`roles/owner`	基本ロール
基本ロール: すべての Google Cloud サービスにかかわる何千もの権限が含まれます。	`roles/editor`	基本ロール
セキュリティロール: セキュリティ設定へのアクセスを制御します。	`roles/cloudkms.*`	すべての Cloud Key Management Service のロール
	`roles/cloudsecurityscanner.*`	すべての Web Security Scanner のロール
	`roles/dlp.*`	すべての機密データ保護のロール
	`roles/iam.*`	すべての IAM ロール
	`roles/secretmanager.*`	すべての Secret Manager のロール
	`roles/securitycenter.*`	すべての Security Command Center のロール
Logging のロール: 組織のログへのアクセスを制御します。	`roles/errorreporting.*`	すべての Error Reporting のロール
	`roles/logging.*`	すべての Cloud Logging のロール
	`roles/stackdriver.*`	すべての Cloud Monitoring のロール
個人情報のロール: 銀行や連絡先情報など、個人を特定できる情報を含むリソースへのアクセスを制御します。	`roles/billing.*`	すべての Cloud Billing のロール
	`roles/healthcare.*`	すべての Cloud Healthcare API のロール
	`roles/essentialcontacts.*`	すべての重要な連絡先のロール
ネットワーキングのロール: 組織のネットワーク設定へのアクセスを制御します。	`roles/dns.*`	すべての Cloud DNS のロール
	`roles/domains.*`	すべての Cloud Domains のロール
	`roles/networkconnectivity.*`	すべての Network Connectivity Center のロール
	`roles/networkmanagement.*`	すべての Network Connectivity Center のロール
	`roles/privateca.*`	すべての Certificate Authority Service のロール
サービスのロール: Google Cloud のサービスリソースへのアクセスを制御します。	`roles/cloudasset.*`	すべての Cloud Asset Inventory のロール
	`roles/servicedirectory.*`	すべての Service Directory のロール
	`roles/servicemanagement.*`	すべての Service Management のロール
	`roles/servicenetworking.*`	すべての Service Networking のロール
	`roles/serviceusage.*`	すべての Service Usage のロール
Compute Engine のロール: 長時間実行ジョブを実行し、ファイアウォールルールに関連付けられている Compute Engine 仮想マシンへのアクセスを制御します。	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	すべての Compute Engine の管理者と編集者のロール

表 2. 機密性が中程度のロール
カテゴリ	ロール	説明
ロールの編集: Google Cloud リソースに変更を加える権限を含む IAM ロール	例: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	ロール名は通常、管理者、オーナー、編集者、ライターなどのタイトルで終わります。テーブルの最後の行でノードを開くと、すべての機密性が中程度のロールが表示されます。
データストレージのロール: データストレージサービスを表示して実行する権限を含む IAM ロール	例: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	テーブルの最後の行でノードを開くと、すべての機密性が中程度のロールが表示されます。
すべての機密性が中程度のロールアクセス承認 `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` アクション `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API Gateway `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Binary Authorization `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^ベータ版 Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Artifact Analysis `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Managed Service for Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore for Redis `roles/redis.admin` `roles/redis.editor` On-Demand Scanning API `roles/ondemandscanning.admin` Ops Config Monitoring `roles/opsconfigmonitoring.resourceMetadata.writer` 組織のポリシーのサービス `roles/axt.admin` `roles/orgpolicy.policyAdmin` その他のロール `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Proximity Beacon `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA Enterprise `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` 推奨事項 `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Recommender `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` リソース設定 `roles/resourcesettings.admin` サーバーレス VPC アクセス `roles/vpcaccess.admin` Service Consumer Management `roles/serviceconsumermanagement.tenancyUnitsAdmin` Storage Transfer Service `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Vertex AI Workbench ユーザー管理ノートブック `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

ログのタイプと有効化の要件

このセクションでは、Event Threat Detection が使用するログと、Event Threat Detection が各ログで検索する脅威、各ログを有効にするために必要な操作について説明します。

次の条件をすべて満たす場合にのみ、Event Threat Detection のログを有効にする必要があります。

ログに書き込むプロダクトまたはサービスを使用している。
Event Threat Detection がログで検出する脅威からプロダクトまたはサービスを保護する必要がある。
ログがデータアクセス監査ログか、デフォルトで有効になっている他のログである。

特定の脅威が複数のログで検出される場合があります。Event Threat Detection が、すでに有効になっているログ内の脅威を検出できる場合、同じ脅威を検出するために別のログを有効にする必要はありません。

このセクションにないログの場合、ログが有効になっても、Event Threat Detection はスキャンを実行しません。詳しくは、冗長になる可能性のあるログスキャンをご覧ください。

次の表で説明されているように、一部のログタイプは組織レベルでのみ使用できます。プロジェクトレベルで Security Command Center を有効にすると、Event Threat Detection はこれらのログをスキャンせず、検出結果も生成しません。

冗長になる可能性のあるログスキャン

Event Threat Detection は、次のいずれかのログをスキャンして、マルウェアのネットワーク検出を行います。

Cloud DNS ロギング
Cloud NAT ロギング
ファイアウォールルールロギング
VPC フローログ

すでに Cloud DNS ロギングを使用している場合、Event Threat Detection はドメイン解決を使用してマルウェアを検出できます。ほとんどの場合、ネットワークでのマルウェア検出には Cloud DNS ログで十分です。

ドメイン解決以上の別のレベルの可視性が必要な場合は、VPC フローログを有効にできますが、VPC フローログにより費用が発生する可能性があります。このような費用を管理するには、集計間隔を 15 分に増やし、サンプルレートを 5～10% に減らすことをおすすめしますが、再現率（高いサンプルレート）とコスト管理（低いサンプルレート）にはトレードオフがあります。

すでにファイアウォールルールロギングや Cloud NAT ロギングを使用している場合、これらのログは VPC フローログの代わりに有用です。

複数の Cloud NAT ロギング、ファイアウォールルールロギング、VPC フローログを有効にする必要はありません。

有効にする必要があるログ

このセクションでは、Event Threat Detection で検出できる脅威の数を増やすために、有効化またはその他の方法で構成できる Cloud Logging と Google Workspace のログを示します。

異常な権限借用やサービスアカウントの委任による脅威など、特定の脅威はほとんどの監査ログで確認できます。このような脅威では、使用するプロダクトやサービスに応じて有効にするログを決定します。

次の表に、特定のログタイプでのみ検出可能な脅威に対して有効にする必要があるログを示します。

ログタイプ	検出される脅威	必要な構成
Cloud DNS ロギング	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Cloud DNS ロギングを有効にする
Cloud NAT ロギング	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Cloud NAT ロギングを有効にする
ファイアウォールルールロギング	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	ファイアウォールルールロギングを有効にします。
Google Kubernetes Engine（GKE）のデータアクセス監査ログ	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	GKE 向け Logging のデータアクセス監査ログを有効にする
Google Workspace 管理者監査ログ	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Google Workspace 管理者監査ログを Cloud Logging と共有するプロジェクトレベルで有効にしている場合、このログタイプはスキャンされません。
Google Workspace ログイン監査ログ	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Google Workspace ログイン監査ログを Cloud Logging と共有するプロジェクトレベルで有効にしている場合、このログタイプはスキャンされません。
外部アプリケーションロードバランサのバックエンドサービスログ	`Initial Access: Log4j Compromise Attempt`	外部アプリケーションロードバランサのロギングを有効にする
Cloud SQL MySQL のデータアクセス監査ログ	`Exfiltration: Cloud SQL Data Exfiltration`	Cloud SQL for MySQL の Logging データアクセス監査ログを有効にする
Cloud SQL PostgreSQL のデータアクセス監査ログ	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Cloud SQL for PostgreSQL の Logging データアクセス監査ログを有効にする `Exfiltration: Cloud SQL Over-Privileged Grant` 脅威を検出するには、pgAudit 拡張機能も有効にする必要があります。
AlloyDB for PostgreSQL のデータアクセス監査ログ	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant`	AlloyDB for PostgreSQL の Logging データアクセス監査ログを有効にします。 `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` と `Privilege Escalation: AlloyDB Over-Privileged Grant` の脅威を検出するには、pgAudit 拡張機能も有効にする必要があります。
IAM データアクセス監査ログ	`Discovery: Service Account Self-Investigation`	Resource Manager の Logging データアクセス監査ログを有効にする
SQL Server データアクセス監査ログ	`Exfiltration: Cloud SQL Data Exfiltration`	Cloud SQL for SQL Server の Logging データアクセス監査ログを有効にする
一般的なデータアクセス監査ログ	`Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Logging のデータアクセス監査ログを有効にする
仮想マシン上の authlogs / authlog	`Brute force SSH`	VM ホストに Ops エージェントまたは以前の Logging エージェントをインストールする
VPC フローログ	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP Outgoing DoS`	VPC フローログを有効にする
バックアップと DR の監査ロギング	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	バックアップと DR の監査ロギングを有効にする

常に有効なログ

次の表に、有効にする必要も、構成する必要もない Cloud Logging のログを示します。これらのログは常に有効になっており、Event Threat Detection によって自動的にスキャンされます。

ログタイプ	検出される脅威	必要な構成
BigQueryAuditMetadata データアクセスログ	データ漏洩: BigQuery データの引き出しデータ漏洩: BigQuery データの抽出データ漏洩: BigQuery から Google ドライブへのデータの引き出し	なし
Google Kubernetes Engine（GKE）管理アクティビティ監査ログ	権限昇格: 機密性の高い Kubernetes RBAC オブジェクトの変更権限昇格: 機密性の高い Kubernetes バインディングの作成権限昇格: 特権 Kubernetes コンテナの起動権限昇格: マスター証明書の Kubernetes CSR の作成	なし
IAM 管理アクティビティ監査ログ	認証情報アクセス: ハイブリッドグループに付与される機密性の高いロール権限昇格: 使われていないサービスアカウントに対する機密性の高いロールの付与永続性: 休眠状態のサービスアカウントに対する権限借用ロールの付与永続性: IAM 異常付与 ^{プレビュー}永続性: 管理対象外アカウントに対する機密性の高いロールの付与	なし
MySQL 管理アクティビティログ	データ漏洩: Cloud SQL から外部組織へのバックアップの復元	なし
PostgreSQL 管理アクティビティログ	データ漏洩: Cloud SQL から外部組織へのバックアップの復元	なし
SQL Server の管理アクティビティログ	データ漏洩: Cloud SQL から外部組織へのバックアップの復元	なし
一般的な管理アクティビティ監査ログ	初期アクセス: クリプトマイニングの不正ドメイン> 初期アクセス: 休眠状態のサービスアカウントに対するキーの作成初期アクセス: 過剰な権限の拒否アクション初期アクセス: 漏洩したサービスアカウントキーの使用永続性: Compute Engine 管理者による SSH 認証鍵の追加永続性: Compute Engine 管理者による起動スクリプトの追加永続性: 新しい API メソッド永続性: 新しい地域永続性: 新しいユーザーエージェント権限昇格: 管理アクティビティに関する、サービスアカウントの異常ななりすまし権限昇格: 管理アクティビティに関する、異常なマルチステップサービスアカウントの委任権限昇格: 管理アクティビティに関する異常なサービスアカウントのなりすましラテラルムーブメント: インスタンスの ^{プレビュー}にアタッチされた変更されたブートディスク	なし
VPC Service Controls 監査ログ	防御回避: VPC Service Controls の変更^{プレビュー}	なし

次のステップ

Event Threat Detection の使用を確認する。
脅威に対する対応計画を策定して開発する方法を学習する。