O que é o Event Threat Detection?
O Event Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente sua organização ou projetos e identifica ameaças nos sistemas quase que em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.
Como o Event Threat Detection funciona
O Event Threat Detection monitora o fluxo do Cloud Logging para sua organização ou seus projetos. Se você ativar o nível Premium do Security Command Center no nível da organização, o Event Threat Detection vai consumir registros para seus projetos conforme eles forem criados, e o Event Threat Detection poderá monitorar os registros do Google Workspace. O Cloud Logging contém entradas de registro de chamadas de API e outras ações que criam, leem ou modificam a configuração ou os metadados dos seus recursos. Os registros do Google Workspace rastreiam os logins de usuários no seu domínio e fornecem um registro das ações realizadas no Admin Console do Google Workspace.
As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica lógica de detecção e inteligência proprietária de ameaças, incluindo correspondência de indicadores de tripwire, criação de perfis em janelas, criação avançada de perfis, machine learning e detecção de anomalias para identificar ameaças quase em tempo real.
Quando o Event Threat Detection detecta uma ameaça, ele grava uma descoberta no Security Command Center. Se você ativar o nível Premium do Security Command Center no nível da organização, ele poderá gravar as descobertas em um projeto do Cloud Logging. No Cloud Logging e na geração de registros do Google Workspace, é possível exportar as descobertas para outros sistemas com o Pub/Sub e processá-las com funções do Cloud Run.
Se você ativar o nível Premium do Security Command Center no nível da organização, também poderá usar o Google Security Operations para investigar algumas descobertas. O Google SecOps é um serviço do Google Cloud que permite investigar ameaças e alternar entre entidades relacionadas em uma linha do tempo unificada. Para instruções sobre como enviar descobertas para o Google SecOps, consulte Investigar descobertas no Google SecOps.
A capacidade de visualizar e editar descobertas e registros é determinada pelos papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) que você recebeu. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.
Regras do Event Threat Detection
As regras definem o tipo de ameaças que o Event Threat Detection detecta e os tipos de registros que precisam ser ativados para que os detectores funcionem. Os registros de auditoria da atividade do administrador são sempre gravados, não é possível configurá-los ou desativá-los.
O Event Threat Detection inclui as seguintes regras padrão:
Nome de exibição | Nome da API | Tipos de origem do registro | Descrição |
---|---|---|---|
Verificação ativa: Log4j vulnerável a RCE | Indisponível | Registros do Cloud DNS | Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciados por verificadores de vulnerabilidade do Log4j suportados. |
Inibir recuperação do sistema: host de backup e DR do Google Cloud excluído | BACKUP_HOSTS_DELETE_HOST |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do serviço de backup e DR |
Um host foi excluído do backup e DR. Os aplicativos associados ao host excluído talvez não sejam protegidos. |
Destruição de dados: imagem de expiração de backup e DR do Google Cloud | BACKUP_EXPIRE_IMAGE |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um usuário solicitou a exclusão de uma imagem de backup do backup e DR. A exclusão de uma imagem de backup não impede backups futuros. |
Inibir recuperação do sistema: plano de remoção de backup e DR do Google Cloud | BACKUP_REMOVE_PLAN |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um plano de backup com várias políticas para um aplicativo foi excluído do Backup e DR. A exclusão de um plano de backup pode impedir backups futuros. |
Destruição de dados: expiração de todas as imagens de backup e DR do Google Cloud | BACKUP_EXPIRE_IMAGES_ALL |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um usuário solicitou a exclusão de todas as imagens de backup de um aplicativo protegido do Backup e DR. A exclusão das imagens de backup não impede backups futuros. |
Inibir recuperação do sistema: modelo de exclusão de backup e DR do Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um modelo de backup predefinido, usado para configurar backups de vários aplicativos, foi excluído. A capacidade de configurar backups no futuro pode ser afetada. |
Inibir recuperação do sistema: política de exclusão de backup e DR do Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Uma política de backup e DR, que define como um backup é feito e onde ele é armazenado, foi excluída. Os backups futuros que usam a política podem falhar. |
Inibir recuperação do sistema: exclusão de perfil de backup e DR do Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um perfil de backup e DR, que define quais pools de armazenamento devem ser usados para armazenar backups, foi excluído. Os backups futuros que usam o perfil podem falhar. |
Destruição de dados: remoção de dispositivo de backup e DR do Google Cloud | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um dispositivo de backup foi excluído do backup e DR. Os aplicativos associados ao dispositivo de backup excluído talvez não sejam protegidos. |
Inibir recuperação do sistema: pool de armazenamento de exclusão de backup e DR do Google Cloud | BACKUP_STORAGE_POOLS_DELETE |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
Um pool de armazenamento, que associa um bucket do Cloud Storage ao backup e DR, foi removido do backup e DR. Os backups futuros nesse destino de armazenamento vão falhar. |
Impacto: o Backup e DR do Google Cloud reduziram a expiração do tempo de backup | BACKUP_REDUCE_BACKUP_EXPIRATION |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
A data de validade de um backup protegido pelo backup e DR foi reduzida. |
Impacto: o Backup e DR do Google Cloud reduziram a frequência de backup | BACKUP_REDUCE_BACKUP_FREQUENCY |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador de backup e DR |
A programação de backup e DR foi modificada para reduzir a frequência de backup. |
Ataques de força bruta contra SSH | BRUTE_FORCE_SSH |
authlog | Detecção da força bruta do SSH em um host |
Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Registros do Cloud IDS |
Eventos de ameaça detectados pelo Cloud IDS. O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando um evento de ameaça é detectado, envia uma descoberta de classe de ameaça para o Security Command Center. Os nomes das categorias de descoberta começam com "Cloud IDS" seguido pelo identificador de ameaças do Cloud IDS. A integração do Cloud IDS com a Detecção de ameaças a eventos não inclui detecções de vulnerabilidade do Cloud IDS. Para saber mais sobre as detecções do Cloud IDS, consulte as Informações de geração de registros do Cloud IDS. |
Acesso às credenciais: participante externo adicionado ao grupo privilegiado | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Registros do Google Workspace: Auditoria de login Permissões: DATA_READ
|
Detecta eventos em que um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à mudança do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto. |
Acesso às credenciais: grupo privilegiado aberto para público | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Auditoria do administrador Permissões: DATA_READ
|
Detecta eventos em que um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à mudança do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto. |
Acesso às credenciais: papel confidencial concedido ao grupo híbrido | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta eventos em que papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à mudança do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto. |
Evasão de defesa: implantação forçada da carga de trabalho criada (pré-lançamento) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta a implantação de cargas de trabalho implantadas usando a flag de acesso imediato para modificar os controles da autorização binária. |
Evasão de defesa: implantação forçada da carga de trabalho atualizada (pré-lançamento). | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta quando as cargas de trabalho são atualizadas usando a flag de implantação forçada para modificar os controles da autorização binária. |
Evasão de defesa: modificar o VPC Service Control | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Registros de auditoria do Cloud Registros de auditoria do VPC Service Controls |
Detecta uma mudança em um perímetro do VPC Service Controls que levaria a uma redução na proteção oferecida por esse perímetro. Essa descoberta não está disponível para ativações no nível do projeto. |
Descoberta: pode receber verificações de objetos sensíveis do Kubernetes. | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registros de auditoria do Cloud: Registros de acesso a dados do GKE |
Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no
GKE eles podem consultar usando o comando
|
Descoberta: autoinvestigação da conta de serviço | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM Permissões: DATA_READ
|
Detecção de uma credencial de conta de serviço do IAM usada para investigar os papéis e as permissões associados a essa mesma conta de serviço. Papéis sensíveis As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM. |
Evasão: acesso de proxy de anonimização | ANOMALOUS_ACCESS |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecção de modificações no serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP do Tor. |
Exfiltração: exfiltração de dados do BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Registros de auditoria do Cloud:
Registros de acesso a dados do BigQueryAuditMetadata Permissões: DATA_READ
|
Detecta os seguintes cenários:
|
Exfiltração: extração de dados do BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Registros de auditoria do Cloud:
Registros de acesso a dados do BigQueryAuditMetadata Permissões: DATA_READ
|
Detecta os seguintes cenários:
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. |
Exfiltração: dados do BigQuery para o Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Registros de auditoria do Cloud:
Registros de acesso a dados do BigQueryAuditMetadata Permissões: DATA_READ
|
Detecta o seguinte:
|
Exfiltração: mover para o recurso público do BigQuery | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Registros de auditoria do Cloud:
Registros de acesso a dados do BigQueryAuditMetadata Permissões: DATA_READ
|
Detecta o seguinte:
|
Exfiltração: exfiltração de dados do Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Registros de auditoria do Cloud:
Registros de acesso a dados do MySQL Registros de acesso a dados do PostgreSQL Registros de acesso a dados do SQL Server |
Detecta os seguintes cenários:
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai. |
Exfiltração: backup de restauração do Cloud SQL para organização externa | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Registros de auditoria do Cloud:
Registros de atividade do administrador do MySQL Registros de atividade do administrador do PostgreSQL Registros de atividade do administrador do SQL Server |
Detecta eventos em que o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização. |
Exfiltração: concessão privilegiada demais do Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoria do Cloud:
Registros de acesso a dados do PostgreSQL Observação: é necessário ativar a extensão pgAudit para usar essa regra. |
Detecta eventos em que um usuário ou papel do Cloud SQL para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema. |
Acesso inicial: gravações de superusuário do Database em tabelas do usuário | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoria do Cloud:
Registros de acesso a dados do Cloud SQL para PostgreSQL Registros de acesso a dados do Cloud SQL para MySQL Observação: é necessário ativar a extensão pgAudit para PostgreSQL ou a auditoria do banco de dados para MySQL usar essa regra. |
Detecta eventos em que um superusuário do Cloud SQL (postgres para servidores PostgreSQL
ou root para usuários do MySQL) grava em tabelas que não são do sistema.
|
Escalonamento de privilégios: concessão de privilégios excessivos do AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoria do Cloud:
Registros de acesso a dados do AlloyDB para PostgreSQL Observação: é necessário ativar a extensão pgAudit para usar essa regra. |
Detecta eventos em que um usuário ou papel do AlloyDB para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema. |
Escalonamento de privilégios: o superusuário do banco de dados AlloyDB grava nas tabelas do usuário | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoria do Cloud:
AlloyDB para registros de acesso a dados do PostgreSQL Observação: é necessário ativar a extensão pgAudit para usar essa regra. |
Detecta eventos em que um superusuário do AlloyDB para PostgreSQL (postgres ) grava
em tabelas que não são do sistema.
|
Acesso inicial: ação de uma conta de serviço inativa | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Registros de auditoria do Cloud: Registros de atividade do administrador | Detecta eventos em que uma conta serviço gerenciado pelo usuário inativa acionou uma ação. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias. |
Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM |
Detecta eventos em que uma serviço gerenciado pelo usuário inativa recebeu um ou mais papéis confidenciais do IAM. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias. Papéis sensíveis As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM. |
Persistência: papel de representação concedido a uma conta de serviço inativa | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM | Detecta eventos em que um principal recebe permissões para representar uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias. |
Acesso inicial: criação de chave em uma conta de serviço inativa | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Registros de auditoria do Cloud: Registros de atividade do administrador | Detecta eventos em que uma chave é criada para uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias. |
Acesso inicial: chave da conta de serviço vazada usada | LEAKED_SA_KEY_USED |
Registros de auditoria do Cloud:
Registros de atividade do administrador Registros de acesso a dados |
Detecta eventos em que uma chave de conta de serviço com vazamento é usada para autenticar a ação. Nesse contexto, uma chave de conta de serviço com vazamento foi publicada na Internet pública. |
Acesso inicial: permissões negadas em excesso | EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoria do Cloud: Registros de atividade do administrador | Detecta eventos em que um principal aciona repetidamente erros de permissão negada ao tentar fazer mudanças em vários métodos e serviços. |
Defesa por danos: autenticação forte desativada |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Auditoria do administrador |
A verificação em duas etapas foi desativada para a organização. Essa descoberta não está disponível para ativações no nível do projeto. |
Defesa de danos: verificação em duas etapas desativada |
2SV_DISABLE
|
Registros do Google Workspace: Auditoria de login Permissões: DATA_READ
|
Um usuário desativou a verificação em duas etapas. Essa descoberta não está disponível para ativações no nível do projeto. |
Acesso inicial: conta desativada |
ACCOUNT_DISABLED_HIJACKED
|
Registros do Google Workspace: Auditoria de login Permissões: DATA_READ
|
A conta de um usuário foi suspensa devido a atividade suspeita. Essa descoberta não está disponível para ativações no nível do projeto. |
Acesso inicial: vazamento de senha desativado |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Registros do Google Workspace: Auditoria de login Permissões: DATA_READ
|
A conta de um usuário foi desativada porque foi detectado um vazamento de senha. Essa descoberta não está disponível para ativações no nível do projeto. |
Acesso inicial: ataque baseado no governo |
GOV_ATTACK_WARNING
|
Registros do Google Workspace: Auditoria de login Permissões: DATA_READ
|
Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador. Essa descoberta não está disponível para ativações no nível do projeto. |
Acesso inicial: tentativa de comprometimento de Log4j | Indisponível |
Registros do Cloud Load Balancing: Balanceador de carga HTTP do Cloud Observação: é necessário ativar a geração de registros do balanceador de carga de aplicativo para usar essa regra. |
Detecta buscas de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. Essas descobertas têm gravidade baixa porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento. Esta regra está sempre ativada. |
Acesso inicial: login suspeito bloqueado |
SUSPICIOUS_LOGIN
|
Registros do Google Workspace: Auditoria de login Permissões: DATA_READ
|
Um login suspeito na conta de um usuário foi detectado e bloqueado. Essa descoberta não está disponível para ativações no nível do projeto. |
Malware Log4j: domínio inválido | LOG4J_BAD_DOMAIN |
Registros do Cloud DNS | Detecção de tráfego do Log4j com base em uma conexão ou pesquisa de um domínio conhecido usado em ataques do Log4j. |
Malware Log4j: IP inválido | LOG4J_BAD_IP |
Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT |
Detecção de tráfego do Log4j com base em uma conexão a um endereço IP conhecido usado em ataques do Log4j. |
Domínio inválido de malware | MALWARE_BAD_DOMAIN |
Registros do Cloud DNS | Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido. |
Malware: IP inválido | MALWARE_BAD_IP |
Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT |
Detecção de malware com base em uma conexão com um endereço IP inválido conhecido. |
Malware: domínio criptografado de criptomineração | CRYPTOMINING_POOL_DOMAIN |
Registros do Cloud DNS | Detecção de criptomineração com base em uma conexão ou pesquisa de um domínio de mineração conhecido |
Malware: criptomoedas com IP inválido | CRYPTOMINING_POOL_IP |
Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT |
Detecção de criptomineração com base em uma conexão com um endereço IP de mineração conhecido. |
DoS de saídaDesligar | OUTGOING_DOS |
Registros de fluxo da VPC | Detecção de tráfego de negação de serviço de saída |
Persistência: chave SSH adicionada pelo administrador do GCE | GCE_ADMIN_ADD_SSH_KEY |
Registros de auditoria do Cloud: Registros de auditoria da atividade de administrador do Compute Engine |
Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
Persistência: script de inicialização adicionado pelo administrador do GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Registros de auditoria do Cloud: Registros de auditoria da atividade de administrador do Compute Engine |
Detecção de uma modificação no valor do script de inicialização de metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana). |
Persistência: concessão anômala de IAM | IAM_ANOMALOUS_GRANT |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Essa descoberta inclui subregras que fornecem informações mais específicas sobre cada instância dessa descoberta. A lista a seguir mostra todas as subregras possíveis:
|
Persistência: papel sensível concedido a uma conta não gerenciada (pré-lançamento) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecção de um papel sensível sendo concedido a uma conta não gerenciada. |
Persistência: novo método de API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM. |
Persistência: nova região geográfica | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud de locais anômalos, com base na geolocalização dos endereços IP solicitantes. Essa descoberta não está disponível para ativações no nível do projeto. |
Persistência: novo user agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecção de contas de serviço do IAM que acessam o Google Cloud de user agents anômalos ou suspeitos. Essa descoberta não está disponível para ativações no nível do projeto. |
Persistência: alternância de SSO |
TOGGLE_SSO_ENABLED
|
Google Workspace: Auditoria do administrador |
A configuração Ativar SSO (logon único) na conta de administrador foi desativada. Essa descoberta não está disponível para ativações no nível do projeto. |
Persistência: configurações de SSO alteradas |
CHANGE_SSO_SETTINGS
|
Google Workspace: Auditoria do administrador |
As configurações de SSO da conta de administrador foram alteradas. Essa descoberta não está disponível para ativações no nível do projeto. |
Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta quando uma conta de serviço falsificada potencialmente anômala é usada para uma atividade administrativa. |
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta quando uma solicitação delegada anomalia em várias etapas é encontrada para uma atividade administrativa. |
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para acesso aos dados | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Registros de auditoria do Cloud: Registros de acesso a dados |
Detecta quando uma solicitação delegada anomalia em várias etapas é encontrada para uma atividade de acesso aos dados. |
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Registros de auditoria do Cloud: Registros de atividade do administrador |
Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade administrativa. |
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para acesso aos dados | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Registros de auditoria do Cloud: Registros de acesso a dados |
Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade de acesso aos dados. |
Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes. | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou modificar um
objeto de controle de acesso baseado em papel (RBAC) ClusterRole , RoleBinding ou ClusterRoleBinding
do papel sensível
cluster-admin
usando uma solicitação PUT ou PATCH .
|
Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre. | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Um usuário possivelmente malicioso criou uma
solicitação de assinatura de certificado
(CSR) mestre do Kubernetes, o que concede a ele acesso
cluster-admin .
|
Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes. | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Para escalonar o privilégio, um usuário possivelmente
mal-intencionado tentou criar um novo
objeto RoleBinding ou ClusterRoleBinding para o
papel
cluster-admin .
|
Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidas. | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registros de auditoria do Cloud: Registros de acesso a dados do GKE |
Uma pessoa mal-intencionada consultou uma
solicitação de assinatura de certificado
(CSR), com o comando kubectl , usando credenciais de inicialização comprometida.
|
Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes. | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Uma pessoa possivelmente mal-intencionada criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.
Um contêiner privilegiado tem o campo |
Persistência: chave da conta de serviço criada | SERVICE_ACCOUNT_KEY_CREATION |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta a criação de uma chave de conta de serviço. As chaves de conta de serviço são credenciais de longa duração que aumentam o risco de acesso não autorizado aos recursos do Google Cloud. |
Escalonamento de privilégios: script de desligamento global adicionado | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando um script de desligamento global é adicionado a um projeto. |
Persistência: script de inicialização global adicionado | GLOBAL_STARTUP_SCRIPT_ADDED |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando um script de inicialização global é adicionado a um projeto. |
Evasão de defesa: adição do papel de criador de token da conta de serviço no nível da organização | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando o papel do IAM de Criador do token da conta de serviço é concedido no nível da organização. |
Evasão de defesa: adição do papel de criador de token da conta de serviço no projeto | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando o papel de IAM de Criador de token da conta de serviço é concedido no nível do projeto. |
Movimento lateral: execução de patches do SO pela conta de serviço | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud Audit Logs Registros de auditoria da atividade do administrador do IAM |
Detecta quando uma conta de serviço usa o recurso de patch do Compute Engine para atualizar o sistema operacional de qualquer instância do Compute Engine em execução. |
Movimento lateral: disco de inicialização modificado anexado à instância (pré-lançamento) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Registros de auditoria do Cloud: Registros de auditoria do Compute Engine |
Detecta quando um disco de inicialização é desconectado de uma instância do Compute Engine e conectado a outra, o que pode indicar uma tentativa maliciosa de comprometer o sistema usando um disco de inicialização modificado. |
Acesso credencial: segredos acessados no namespace do Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registros de auditoria do Cloud: Registros de acesso a dados do GKE |
Detecta quando secrets ou tokens de conta de serviço são acessados por uma conta de serviço no namespace atual do Kubernetes. |
Desenvolvimento de recursos: atividade ofensiva de distros de segurança | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta manipulações de recursos do Google Cloud de testes de penetração conhecidos ou distribuições de segurança ofensivas. |
Escalonamento de privilégios: a nova conta de serviço é de proprietário ou editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando uma nova conta de serviço é criada com papéis de editor ou proprietário em um projeto. |
Descoberta: ferramenta de coleta de informações usada | INFORMATION_GATHERING_TOOL_USED |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta o uso do ScoutSuite, uma ferramenta de auditoria de segurança na nuvem que é conhecida por ser usada por agentes de ameaças. |
Escalonamento de privilégios: geração de token suspeito | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando a permissão iam.serviceAccounts.implicitDelegation é
usada indevidamente para gerar tokens de acesso de uma conta de serviço com mais privilégios.
|
Escalonamento de privilégios: geração de token suspeito | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando uma conta de serviço usa o método
serviceAccounts.signJwt
para gerar um token de acesso para outra conta de serviço.
|
Escalonamento de privilégios: geração de token suspeito | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta o uso entre projetos da permissão Essa descoberta não está disponível para ativações no nível do projeto. |
Escalonamento de privilégios: geração de token suspeito | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta o uso entre projetos da permissão Essa descoberta não está disponível para ativações no nível do projeto. |
Escalonamento de privilégios: uso suspeito de permissões entre projetos | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta o uso entre projetos da permissão Essa descoberta não está disponível para ativações no nível do projeto. |
Comando e controle: encapsulamento DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Registros do Cloud DNS | Detecta o handshake da ferramenta de encapsulamento DNS Iodine. |
Evasão de defesa: tentativa de mascaramento de rota da VPC | VPC_ROUTE_MASQUERADE |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta a criação manual de rotas da VPC mascaradas como rotas padrão do Google Cloud, permitindo o tráfego de saída para endereços IP externo. |
Impacto: faturamento desativado | BILLING_DISABLED_SINGLE_PROJECT |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando o faturamento foi desativado para um projeto. |
Impacto: faturamento desativado | BILLING_DISABLED_MULTIPLE_PROJECTS |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando o faturamento foi desativado para vários projetos de uma organização em um curto período. |
Impacto: bloqueio de alta prioridade do firewall da VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando uma regra de firewall da VPC que bloqueia todo o tráfego é adicionada com prioridade 0. |
Impacto: exclusão em massa de regras do firewall da VPC Temporariamente indisponível | VPC_FIREWALL_MASS_RULE_DELETION |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta a exclusão em massa de regras de firewall da VPC por contas que não são de serviço. Esta regra está temporariamente indisponível. Para monitorar as atualizações das regras de firewall, use os registros de auditoria do Cloud. |
Impacto: API Service desativada | SERVICE_API_DISABLED |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando uma API de serviço do Google Cloud está desativada em um ambiente de produção. |
Impacto: o escalonamento automático do grupo de instâncias gerenciadas foi definido como máximo | MIG_AUTOSCALING_SET_TO_MAX |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando um grupo de instâncias gerenciadas está configurado para o escalonamento automático máximo. |
Descoberta: chamada de API não autorizada de conta de serviço | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM |
Detecta quando uma conta de serviço faz uma chamada de API entre projetos não autorizada. |
Evasão de defesa: acesso de administrador de cluster concedido a sessões anônimas | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Detecta a criação de um objeto ClusterRoleBinding
RBAC (controle de acesso baseado em função) adicionando o
comportamento root-cluster-admin-binding a usuários anônimos.
|
Acesso inicial: recurso anônimo do GKE criado na Internet (pré-lançamento) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Detecta eventos de criação de recursos de usuários da Internet efetivamente anônimos. |
Acesso inicial: recurso do GKE modificado anonimamente pela Internet (pré-lançamento) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Detecta eventos de manipulação de recursos de usuários da Internet efetivamente anônimos. |
Escalonamento de privilégios: usuários efetivamente anônimos receberam acesso ao cluster do GKE (pré-lançamento) | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém criou uma vinculação do RBAC que faz referência a um dos seguintes usuários ou grupos:
Esses usuários e grupos são efetivamente anônimos e devem ser evitados ao criar vinculações de papéis ou de funções de cluster para qualquer papel do RBAC. Verifique se a vinculação é necessária. Se não for necessário, remova a vinculação. |
Execução: execução ou anexamento suspeito a um pod do sistema (pré-lançamento) | GKE_SUSPICIOUS_EXEC_ATTACH |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém usou os comandos exec ou attach para receber um shell ou
executar um comando em um contêiner em execução no namespace kube-system .
Esses métodos às vezes são usados para fins legítimos de depuração. No entanto, o namespace kube-system é destinado a objetos do sistema criados pelo Kubernetes, e a execução de comandos ou a criação de shells inesperadas precisa ser analisada.
|
Escalonamento de privilégios: carga de trabalho criada com uma montagem de caminho de host sensível (pré-lançamento) | GKE_SENSITIVE_HOSTPATH |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém criou uma carga de trabalho que contém uma montagem de volume hostPath para um
caminho confidencial no sistema de arquivos do nó host. O acesso a esses caminhos no sistema de arquivos do host
pode ser usado para acessar informações privilegiadas ou sensíveis no nó e para
escapar do contêiner. Se possível, não permita volumes hostPath no
cluster.
|
Escalonamento de privilégios: carga de trabalho com shareProcessNamespace ativado (pré-lançamento) | GKE_SHAREPROCESSNAMESPACE_POD |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém implantou uma carga de trabalho com a opção shareProcessNamespace definida como
true , permitindo que todos os contêineres compartilhem o mesmo namespace de processo do Linux.
Isso pode permitir que um contêiner não confiável ou comprometido aumente privilégios
acessando e controlando variáveis de ambiente, memória e outros dados sensíveis de
processos executados em outros contêineres.
|
Escalonamento de privilégios: ClusterRole com verbos privilegiados (pré-lançamento) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém criou uma ClusterRole do RBAC que contém os verbos bind ,
escalate ou impersonate . Um sujeito vinculado a uma
função com esses verbos pode se passar por outros usuários com privilégios mais altos, se vincular a
outros Roles ou ClusterRoles que contêm permissões
adicionais ou modificar as próprias permissões de ClusterRole. Isso pode fazer com que esses
indivíduos ganhem privilégios de administrador do cluster.
|
Escalonamento de privilégios: ClusterRoleBinding para função privilegiada (pré-lançamento) | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém criou uma ClusterRoleBinding do RBAC que faz referência à system:controller:clusterrole-aggregation-controller
ClusterRole padrão. Esse ClusterRole padrão tem o
verbo escalate , que permite aos sujeitos modificar os privilégios das próprias
funções, o que permite o escalonamento de privilégios.
|
Evasão de defesa: solicitação de assinatura de certificado (CSR) excluída manualmente (pré-lançamento) | GKE_MANUALLY_DELETED_CSR |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém excluiu manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). Os CSRs são removidos automaticamente por um controlador de coleta de lixo, mas agentes mal-intencionados podem excluí-los manualmente para evitar a detecção. Se a CSR excluída era de um certificado aprovado e emitido, o usuário potencialmente malicioso agora tem um método de autenticação adicional para acessar o cluster. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. O Kubernetes não permite a revogação de certificados. |
Acesso às credenciais: falha na tentativa de aprovar a solicitação de assinatura de certificado (CSR) do Kubernetes (Pré-lançamento) | GKE_APPROVE_CSR_FORBIDDEN |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém tentou aprovar manualmente uma solicitação de assinatura de certificado (CSR), mas a ação falhou. A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. |
Acesso às credenciais: solicitação de assinatura de certificado (CSR) do Kubernetes aprovada manualmente (Visualização) | GKE_CSR_APPROVED |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém aprovou manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. |
Execução: pod do Kubernetes criado com possíveis argumentos de shell reverso (pré-lançamento). | GKE_REVERSE_SHELL_POD |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém criou um pod com comandos ou argumentos geralmente associados a um shell reverso. Os invasores usam shells reversos para expandir ou manter o acesso inicial a um cluster e executar comandos arbitrários. |
Evasão de defesa: possível mascaramento de pods do Kubernetes (pré-lançamento) | GKE_POD_MASQUERADING |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém implantou um pod com uma convenção de nomenclatura semelhante às cargas de trabalho padrão que o GKE cria para a operação normal do cluster. Essa técnica é chamada de mascaramento. |
Escalonamento de privilégios: nomes de contêiner do Kubernetes suspeitos: exploração e escape (Visualização) | GKE_SUSPICIOUS_EXPLOIT_POD |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém implantou um pod com uma convenção de nomenclatura semelhante a ferramentas comuns usadas para escapar de contêineres ou para executar outros ataques no cluster. |
Impacto: nomes de contêineres do Kubernetes suspeitos: mineração de moedas (Visualização) | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Registros de auditoria do Cloud: Registros de atividade do administrador do GKE |
Alguém implantou um pod com uma convenção de nomenclatura semelhante a dos mineradores de moedas de criptomoedas comuns. Isso pode ser uma tentativa de um invasor que obteve acesso inicial ao cluster para usar os recursos dele na mineração de criptomoedas. |
Módulos personalizados do Event Threat Detection
Além das regras de detecção integradas, o Event Threat Detection fornece modelos de módulos que podem ser usados para criar regras de detecção personalizadas. Para mais informações, consulte Visão geral dos módulos personalizados para o Event Threat Detection.
Para criar regras de detecção sem modelos de módulo personalizados disponíveis, exporte os dados de registro para o BigQuery e execute consultas SQL únicas ou recorrentes que capturem os modelos de ameaça.
Alterações inseguras no Grupo do Google
Esta seção explica como o Event Threat Detection usa registros do Google Workspace, registros de auditoria do Cloud e políticas do IAM para detectar alterações inseguras nos Grupos do Google. A detecção de mudanças nos Grupos do Google só é possível quando você ativa o Security Command Center no nível da organização.
Os clientes do Google Cloud podem usar os Grupos do Google para gerenciar papéis e permissões para membros das organizações ou aplicar políticas de acesso a coleções de usuários. Em vez de conceder papéis diretamente aos membros, os administradores podem conceder papéis e permissões aos Grupos do Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todos os papéis e permissões de um grupo, o que permite que os membros acessem recursos e serviços específicos.
Embora os Grupos do Google sejam uma maneira conveniente de gerenciar o controle de acesso em grande escala, eles podem representar um risco se usuários externos fora da sua organização ou domínio forem adicionados a grupos privilegiados, grupos que receberam permissões ou papéis confidenciais. Esses papéis controlam o acesso a configurações de segurança e rede, registros e informações de identificação pessoal (PII) e não são recomendados para membros externos do grupo.
Em grandes organizações, os administradores podem não saber quando membros externos são adicionados a grupos privilegiados. Os registros de auditoria do Cloud registram concessões de função a grupos, mas esses eventos de registro não contêm informações sobre os membros do grupo, o que pode ocultar o possível impacto de algumas mudanças no grupo.
Se você compartilhar seus registros do Google Workspace com o Google Cloud, o Event Threat Detection vai monitorar seus fluxos de registro de novos membros adicionados aos Grupos do Google da sua organização. Como os registros estão no nível da organização, o Event Threat Detection só verifica os registros do Google Workspace quando você ativa o Security Command Center no nível da organização. O Event Threat Detection não consegue verificar esses registros quando você ativa o Security Command Center para envolvidos no projeto.
O Event Threat Detection identifica membros externos do grupo e, usando os registros de auditoria do Cloud, analisa os papéis do IAM de cada grupo afetado para verificar se os grupos receberam papéis confidenciais. Essas informações são usadas para detectar as seguintes alterações inseguras em Grupos do Google privilegiados:
- Participantes externos adicionados a grupos privilegiados
- Permissões ou funções confidenciais concedidas a grupos com membros externos
- Grupos privilegiados que foram alterados para permitir que qualquer pessoa do público geral participe
O Event Threat Detection grava as descobertas no Security Command Center. As descobertas contêm os endereços de e-mail dos membros externos recém-adicionados, os membros internos do grupo que iniciam eventos, os nomes dos grupos e os papéis confidenciais associados aos grupos. Use as informações para remover membros externos dos grupos ou revogar papéis confidenciais concedidos a grupos.
Para saber mais sobre as descobertas do Event Threat Detection, consulte Regras do Event Threat Detection.
Papéis e permissões confidenciais do IAM
Nesta seção, explicamos como o Event Threat Detection define papéis do IAM sensíveis. As detecções, como alterações na concessão anômala do IAM e em grupo não seguro do Google, só descobrirão as alterações se elas envolverem papéis de alta ou média confidencialidade. A confidencialidade dos papéis afeta a gravidade atribuída às descobertas.
- Os papéis de alta confidencialidade controlam serviços essenciais nas organizações, incluindo faturamento, configurações de firewall e geração de registros. As descobertas que correspondem a esses papéis são classificadas como de alta gravidade.
- Os papéis com média confidencialidade têm permissões de edição,
que permitem que os principais façam alterações nos recursos do Google Cloud, e permissões de visualização e execução em serviços de armazenamento de dados, que geralmente contêm dados
confidenciais. A gravidade atribuída às descobertas depende do recurso:
- Se os papéis de média confidencialidade forem concedidos no nível da organização, as descobertas serão classificadas como de alta gravidade.
- Se os papéis de confidencialidade média forem concedidos em níveis mais baixos da hierarquia de recursos (pastas, projetos e buckets, entre outros), as descobertas serão classificadas como de média gravidade.
A concessão desses papéis confidenciais é considerada perigosa se o beneficiário for um membro externo ou uma identidade anormal, como um principal que está inativo há muito tempo.
Conceder papéis confidenciais a membros externos cria uma possível ameaça porque eles podem ser usados indevidamente para comprometer contas e exfiltrar dados.
Encontre categorias que usam esses papéis confidenciais:
- Persistência: concessão anômala do IAM
- Subregra:
external_service_account_added_to_policy
- Subregra:
external_member_added_to_policy
- Subregra:
- Acesso às credenciais: papel confidencial concedido ao grupo híbrido
- Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa
Encontre categorias que usam um subconjunto dos papéis confidenciais:
- Persistência: concessão anômala do IAM
- Subregra:
service_account_granted_sensitive_role_to_member
- Subregra:
A sub-regra service_account_granted_sensitive_role_to_member
geralmente segmenta
membros externos e internos. Portanto, usa apenas um subconjunto de
papéis confidenciais, conforme explicado em Regras do Event Threat Detection.
Categoria | Papel | Descrição |
---|---|---|
Papéis básicos: contêm milhares de permissões em todos os serviços do Google Cloud. | roles/owner |
Papéis básicos |
roles/editor |
||
Papéis de segurança: controlam o acesso às configurações de segurança | roles/cloudkms.* |
Todos os papéis do Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Todos os papéis do Web Security Scanner | |
roles/dlp.* |
Todos os papéis de proteção de dados confidenciais | |
roles/iam.* |
Todos os papéis do IAM | |
roles/secretmanager.* |
Todos os papéis do Secret Manager | |
roles/securitycenter.* |
Todos os papéis do Security Command Center | |
Papéis de registro: controlam o acesso aos registros de uma organização | roles/errorreporting.* |
Todos os papéis do Error Reporting |
roles/logging.* |
Todos os papéis do Cloud Logging | |
roles/stackdriver.* |
Todos os papéis do Cloud Monitoring | |
Papéis de informações pessoais: controlam o acesso a recursos que contêm informações de identificação pessoal, incluindo informações bancárias e de contato | roles/billing.* |
Todos os papéis do Cloud Billing |
roles/healthcare.* |
Todos os papéis da API Cloud Healthcare | |
roles/essentialcontacts.* |
Todos os papéis de Contatos Essenciais | |
Papéis de rede: controlam o acesso às configurações de rede da organização | roles/dns.* |
Todos os papéis do Cloud DNS |
roles/domains.* |
Todos os papéis do Cloud Domains | |
roles/networkconnectivity.* |
Todos os papéis do Network Connectivity Center | |
roles/networkmanagement.* |
Todos os papéis do Network Connectivity Center | |
roles/privateca.* |
Todos os papéis do Certificate Authority Service | |
Papéis de serviço: controlam o acesso aos recursos de serviço no Google Cloud. | roles/cloudasset.* |
Todos os papéis do Inventário de recursos do Cloud |
roles/servicedirectory.* |
Todos os papéis do Diretório de serviços | |
roles/servicemanagement.* |
Todos os papéis do Service Management | |
roles/servicenetworking.* |
Todos os papéis da Rede de serviços | |
roles/serviceusage.* |
Todos os papéis do Service Usage | |
Papéis do Compute Engine: controlam o acesso a máquinas virtuais do Compute Engine, que executam jobs de longa duração e estão associadas a regras de firewall. |
|
Todos os papéis de Administrador e Compute Engine Editor |
Categoria | Papel | Descrição |
---|---|---|
Papéis de edição: papéis do IAM que incluem permissões para fazer alterações nos recursos do Google Cloud. |
Exemplos:
|
Os nomes de papéis geralmente terminam com títulos como Administrador, Proprietário, Editor ou Gravador. Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade |
Papéis de armazenamento de dados: papéis do IAM que incluem permissões para visualizar e executar serviços de armazenamento de dados |
Exemplos:
|
Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade |
Todos os papéis com média confidencialidade
Hub do Google Kubernetes Engine
Serviço gerenciado para Microsoft Active Directory
Monitoramento de configuração de operações
Serviço de política da organização
Gestão de consumidores de serviço
Serviço de transferência do Cloud Storage
Notebooks do Vertex AI Workbench gerenciados pelo usuário
|
Tipos de registro e requisitos de ativação
Esta seção lista os registros usados pelo Event Threat Detection, as ameaças que ele busca em cada registro e o que é necessário fazer para ativar cada registro.
É necessário ativar um registro para o Event Threat Detection apenas se todas as seguintes condições forem verdadeiras:
- Você está usando o produto ou serviço que grava no registro.
- É preciso proteger o produto ou serviço contra as ameaças detectadas pelo Event Threat Detection no registro.
- É um registro de auditoria de acesso a dados ou outro registro que fica desativado por padrão.
Algumas ameaças podem ser detectadas em vários registros. Se o Event Threat Detection detectar uma ameaça em um registro que já esteja ativado, não será necessário ativar outro registro para detectar essa ameaça.
Se um registro não estiver listado nesta seção, o Event Threat Detection não o verificará, mesmo que esteja ativado. Para saber mais, consulte Verificações de registros possivelmente redundantes.
Conforme descrito na tabela a seguir, alguns tipos de registro só estão disponíveis no nível da organização. Se você ativar o Security Command Center para envolvidos no projeto, o Event Threat Detection não vai verificar esses registros e não vai produzir nenhuma descoberta.
Origens de registro fundamentais
O Event Threat Detection usa fontes de dados fundamentais para detectar atividades potencialmente maliciosas na sua rede.
Se você ativar o Event Threat Detection sem os Registros de fluxo da VPC, ele vai começar a analisar imediatamente um fluxo interno, independente e duplicado de Registros de fluxo da VPC. Para investigar melhor uma detecção de ameaças a eventos, ative os Registros de fluxo da VPC e navegue manualmente até a Análise de registros e o Analisador de fluxo. Se você ativar os registros de fluxo de VPC em uma data posterior, apenas as descobertas futuras vão conter os links relevantes para uma investigação adicional.
Se você ativar o Event Threat Detection com os registros de fluxo de VPC, ele vai começar a analisar os registros de fluxo de VPC na sua implantação imediatamente e vai fornecer links para a Análise de registros e o Flow Analyzer para ajudar na investigação.
Verificações de registros possivelmente redundantes
A detecção de ameaças a eventos oferece detecção de malware na rede ao verificar qualquer um destes registros:
- Geração de registros do Cloud DNS
- Geração de registros do Cloud NAT
- Registro de regras de firewall
- Registros de fluxo de VPC
Se você já estiver usando a geração de registros do Cloud DNS, a detecção de ameaças a eventos poderá detectar malware usando a resolução de domínio. Para a maioria dos usuários, os registros do Cloud DNS são suficientes para a detecção de malware na rede.
Se você precisar de outro nível de visibilidade além da resolução de domínio, ative os registros de fluxo da VPC, mas esses registros podem gerar custos. Para gerenciar esses custos, recomendamos aumentar o intervalo de agregação para 15 minutos e reduzir a taxa de amostragem para 5% e 10%, mas há uma compensação entre o recall (amostra maior) e o gerenciamento de custos (taxa de amostragem menor). Para mais informações, consulte Amostragem e processamento de registros.
Se você já estiver usando a geração de registros de regras de firewall ou do Cloud NAT, esses registros serão úteis no lugar dos registros de fluxo da VPC.
Não é preciso ativar mais de um destes: geração de registros do Cloud NAT, geração de registros de regras de firewall ou registros de fluxo da VPC.
Registros que você precisa ativar
Esta seção lista os registros do Cloud Logging e do Google Workspace que podem ser ativados ou configurados para aumentar o número de ameaças que o Event Threat Detection pode detectar.
Algumas ameaças, como aquelas de representação anômala ou delegação de uma conta de serviço, podem ser encontradas na maioria dos registros de auditoria. Para esses tipos de ameaças, você determina quais registros precisam ser ativados com base nos produtos e serviços que você está usando.
A tabela a seguir mostra registros específicos que você precisa ativar para ameaças que podem ser detectadas apenas em determinados tipos de registro.
Tipo de registro | Ameaças detectadas | Configuração obrigatória |
---|---|---|
Geração de registros do Cloud DNS |
|
Ativar a geração de registros do Cloud DNS |
Registros do Cloud NAT |
|
Ativar a geração de registros do Cloud NAT |
Geração de registros de regras de firewall |
|
Ative a geração de registros de regras de firewall. |
Registros de auditoria de acesso a dados do Google Kubernetes Engine (GKE) |
|
Ativar os registros de auditoria de acesso a dados do Logging para o GKE |
Registros de auditoria do administrador do Google Workspace |
|
Compartilhar registros de auditoria do administrador do Google Workspace com o Cloud Logging Não é possível verificar esse tipo de registro em ativações no nível do projeto. |
Registros de auditoria de login do Google Workspace |
|
Compartilhar registros de auditoria de login do Google Workspace com o Cloud Logging Não é possível verificar esse tipo de registro em ativações no nível do projeto. |
Registros de serviço de back-end do balanceador de carga de aplicativo externo | Initial Access: Log4j Compromise Attempt |
Ativar a geração de registros do balanceador de carga de aplicativo externo |
Registros de auditoria de acesso a dados do MySQL do Cloud SQL | Exfiltration: Cloud SQL Data Exfiltration |
Ative os registros de auditoria de acesso a dados do Logging para o Cloud SQL para MySQL |
Registros de auditoria de acesso a dados do Cloud SQL para PostgreSQL |
|
|
Registros de auditoria do acesso a dados do AlloyDB para PostgreSQL |
|
|
Registros de auditoria de acesso a dados do IAM |
Discovery: Service Account Self-Investigation
|
Ativar os registros de auditoria de acesso a dados do Logging para o Resource Manager |
Registros de auditoria de acesso a dados do SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Ativar os registros de auditoria de acesso a dados do Logging para o Cloud SQL para SQL Server |
Registros de auditoria de acesso a dados genéricos |
|
Ative os registros de auditoria de acesso a dados do Logging. |
authlogs/authlog em máquinas virtuais | Brute force SSH |
Instale o Agente de operações ou o Agente do Logging legado nos hosts de VM. |
Registros de fluxo de VPC |
|
Ativar os registros de fluxo da VPC |
Registros que estão sempre ativados
A tabela a seguir lista os registros do Cloud Logging que você não precisa ativar ou configurar. Esses registros estão sempre ativados e são verificados automaticamente pelo Event Threat Detection.
Tipo de registro | Ameaças detectadas | Configuração obrigatória |
---|---|---|
Registros de acesso a dados para BigQueryAuditMetadata |
Exfiltração: exfiltração de dados do BigQuery Exfiltração: extração de dados do BigQuery Exfiltração: dados do BigQuery para o Google Drive Exfiltração: mover para o recurso público do BigQuery (pré-lançamento) |
Nenhum |
Registros de auditoria de atividade do administrador do Google Kubernetes Engine (GKE) |
Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes. Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes. Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes. Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre. Evasão de defesa: acesso de administrador de cluster concedido a sessões anônimas Acesso inicial: recurso anônimo do GKE criado na Internet (pré-lançamento) Acesso inicial: recurso do GKE modificado anonimamente pela Internet (pré-lançamento) Escalonamento de privilégios: usuários efetivamente anônimos receberam acesso ao cluster do GKE (pré-lançamento). Execução: execução ou anexamento suspeito a um pod do sistema (pré-lançamento) Escalonamento de privilégios: carga de trabalho criada com uma montagem de caminho de host confidencial (pré-lançamento) Escalonamento de privilégios: carga de trabalho com shareProcessNamespace ativado (Pré-lançamento) Escalonamento de privilégios: ClusterRole com verbos privilegiados (pré-lançamento) Escalonamento de privilégios: ClusterRoleBinding para função privilegiada (Prévia) Evasão de defesa: solicitação de assinatura de certificado (CSR) excluída manualmente (Pré-lançamento) Acesso às credenciais: falha na tentativa de aprovar a solicitação de assinatura de certificado (CSR) do Kubernetes (Pré-lançamento). Acesso às credenciais: solicitação de assinatura de certificado (CSR) do Kubernetes aprovada manualmente (pré-lançamento) Execução: pod do Kubernetes criado com possíveis argumentos de shell reverso (pré-lançamento). Evasão de defesa: possível mascaramento de pods do Kubernetes (pré-lançamento) Escalonamento de privilégios: nomes de contêiner do Kubernetes suspeitos: exploração e escape (Visualização). Impacto: nomes de contêineres do Kubernetes suspeitos: mineração de moedas (Visualização) |
Nenhum |
Registros de auditoria da atividade do administrador do IAM |
Acesso às credenciais: papel confidencial concedido ao grupo híbrido Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa Persistência: papel de representação concedido a uma conta de serviço inativa Persistência: concessão anômala do IAM (pré-lançamento) Persistência: papel sensível concedido a uma conta não gerenciada |
Nenhum |
Registros de atividades do administrador do MySQL | Exfiltração: backup de restauração do Cloud SQL para organização externa | Nenhum |
Registros de atividades do administrador do PostgreSQL | Exfiltração: backup de restauração do Cloud SQL para organização externa | Nenhum |
Registros de atividades do administrador para SQL Server | Exfiltração: backup de restauração do Cloud SQL para organização externa | Nenhum |
Registros de auditoria genéricas da atividade do administrador |
Acesso inicial: ação da conta de serviço inativa> Acesso inicial: criação de chave em uma conta de serviço inativa Acesso inicial: permissões negadas em excesso Acesso inicial: chave da conta de serviço vazada usada Persistência: chave SSH adicionada pelo administrador do GCE Persistência: script de inicialização adicionado pelo administrador do GCE Persistência: novo método de API Persistência: nova região geográfica Persistência: novo user agent Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador Movimento lateral: disco de inicialização modificado anexado à instância (pré-lançamento) |
Nenhum |
Registros de auditoria do VPC Service Controls | Evasão de defesa: modificar o VPC Service Control (pré-lançamento) | Nenhum |
Registros de auditoria de atividade do administrador de backup e DR |
Destruição de dados: expiração de todas as imagens de backup e DR do Google Cloud Inibir recuperação do sistema: política de exclusão de backup e DR do Google Cloud Inibir recuperação do sistema: modelo de exclusão de backup e DR do Google Cloud Inibir recuperação do sistema: exclusão de perfil de backup e DR do Google Cloud Inibir recuperação do sistema: pool de armazenamento de exclusão de backup e DR do Google Cloud Inibir recuperação do sistema: host de backup e DR do Google Cloud excluído Destruição de dados: imagem de expiração de backup e DR do Google Cloud Destruição de dados: remoção de dispositivo de backup e DR do Google Cloud Inibir recuperação do sistema: plano de remoção de backup e DR do Google Cloud Impacto: o Backup e DR do Google Cloud reduzem a expiração do backup Impacto: o Backup e DR do Google Cloud reduzem a frequência de backup |
Nenhum |
A seguir
- Saiba mais sobre como usar o Event Threat Detection.
- Saiba como investigar e desenvolver planos de resposta para ameaças.