Qu'est-ce qu'Event Threat Detection ?
Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation ou vos projets, et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.
Fonctionnement d'Event Threat Detection
Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets dès leur création et peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.
Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.
Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire des résultats dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec des fonctions Cloud Run.
Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez également utiliser Google Security Operations pour examiner certains résultats. Google SecOps est un service Google Cloud qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour savoir comment envoyer des résultats à Google SecOps, consultez la page Examiner les résultats dans Google SecOps.
Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.
Règles d'Event Threat Detection
Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.
Event Threat Detection inclut les règles par défaut suivantes :
Nom à afficher | Nom de l'API | Types de sources de journal | Description |
---|---|---|---|
Analyse active : Log4j vulnérable à RCE | Indisponible | Journaux Cloud DNS | Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles. |
Inhibit System Recovery (Empêcher la récupération du système) : hôte de sauvegarde et de reprise après sinistre Google Cloud supprimé | BACKUP_HOSTS_DELETE_HOST |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration du service de sauvegarde et de reprise après sinistre |
Un hôte a été supprimé de la sauvegarde et de la reprise après sinistre. Les applications associées à l'hôte supprimé risquent de ne pas être protégées. |
Destruction des données: image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud | BACKUP_EXPIRE_IMAGE |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un utilisateur a demandé la suppression d'une image de sauvegarde de Backup and DR. La suppression d'une image de sauvegarde n'empêche pas les sauvegardes futures. |
Inhibit System Recovery (Empêcher la récupération du système) : supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud | BACKUP_REMOVE_PLAN |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un plan de sauvegarde avec plusieurs règles pour une application a été supprimé de Backup and DR. La suppression d'un plan de sauvegarde peut empêcher les futures sauvegardes. |
Destruction des données: sauvegarde et reprise après sinistre Google Cloud expirent toutes les images | BACKUP_EXPIRE_IMAGES_ALL |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un utilisateur a demandé la suppression de toutes les images de sauvegarde d'une application protégée à partir de la sauvegarde et de la reprise après sinistre. La suppression des images de sauvegarde n'empêche pas les futures sauvegardes. |
Inhibit System Recovery (Empêcher la récupération du système) : modèle de suppression de Google Cloud Backup and DR | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un modèle de sauvegarde prédéfini, qui permet de configurer des sauvegardes pour plusieurs applications, a été supprimé. La possibilité de configurer des sauvegardes à l'avenir pourrait être affectée. |
Inhibit System Recovery (Empêcher la récupération du système) : règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Une règle de sauvegarde et de reprise après sinistre, qui définit comment une sauvegarde est effectuée et où elle est stockée, a été supprimée. Les futures sauvegardes qui utilisent la règle risquent d'échouer. |
Inhibit System Recovery (Empêcher la récupération du système) : profil de suppression de la sauvegarde et de la reprise après sinistre Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un profil de sauvegarde et de reprise après sinistre, qui définit les pools de stockage à utiliser pour stocker les sauvegardes, a été supprimé. Les futures sauvegardes qui utilisent le profil risquent d'échouer. |
Destruction des données: suppression de l'appareil de sauvegarde et de reprise après sinistre Google Cloud | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un appareil de sauvegarde a été supprimé de Backup and DR. Les applications associées à l'appareil de sauvegarde supprimé risquent de ne pas être protégées. |
Inhibit System Recovery (Empêcher la récupération du système) : Google Cloud Backup and DR delete storage pool (Supprimer le pool de stockage) | BACKUP_STORAGE_POOLS_DELETE |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
Un pool de stockage, qui associe un bucket Cloud Storage à Sauvegarde et reprise après sinistre, a été supprimé de Sauvegarde et reprise après sinistre. Les futures sauvegardes vers cette cible de stockage échoueront. |
Impact: Réduction du délai d'expiration des sauvegardes dans Google Cloud Backup and DR | BACKUP_REDUCE_BACKUP_EXPIRATION |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
La date d'expiration d'une sauvegarde protégée par Sauvegarde et reprise après sinistre a été réduite. |
Impact: Google Cloud Backup and DR a réduit la fréquence de sauvegarde | BACKUP_REDUCE_BACKUP_FREQUENCY |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre |
La planification des sauvegardes de sauvegarde et de reprise après sinistre a été modifiée pour réduire la fréquence des sauvegardes. |
Attaques par force brute SSH | BRUTE_FORCE_SSH |
authlog | Détection d'une attaque par force brute SSH réussie sur un hôte |
Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Journaux Cloud IDS |
Événements de menace détectés par Cloud IDS. L'Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'un événement de menace est détecté, envoie un résultat de classe de menace à Security Command Center. Les noms de catégories commencent par "Cloud IDS", suivis de l'identifiant de menace Cloud IDS. L'intégration de Cloud IDS à la détection des menaces d'événements n'inclut pas la détection des failles Cloud IDS. Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur la journalisation Cloud IDS. |
Accès aux identifiants : membre externe ajouté au groupe privilégié | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Journaux Google Workspace: Audit des connexions Autorisations: DATA_READ
|
Détecte les événements où un membre externe est ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Cette information n'est pas disponible pour les activations au niveau du projet. |
Accès aux identifiants : groupe privilégié ouvert au public | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Audit des administrateurs Autorisations: DATA_READ
|
Détecte les événements où un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) est modifié pour devenir accessible au grand public. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Cette information n'est pas disponible pour les activations au niveau du projet. |
Accès aux identifiants : rôle sensible attribué au groupe hybride | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte les événements où des rôles sensibles sont attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Cette information n'est pas disponible pour les activations au niveau du projet. |
Contournement des défenses: déploiement de charges de travail en mode "bris de glace" créé (bêta) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: Journaux des activités d'administration |
Détecte le déploiement de charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire. |
Contournement des défenses: déploiement de la charge de travail en mode "bris de glace" mis à jour (bêta) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: Journaux des activités d'administration |
Détecte les mises à jour de charge de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire. |
Defense Evasion : Modifier VPC Service Controls | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud Audit Logs Journaux d'audit VPC Service Controls |
Détecte une modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection proposée par ce périmètre. Cette information n'est pas disponible pour les activations au niveau du projet. |
Découverte : vérification des objets Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs: Journaux d'accès aux données GKE |
Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande
|
Découverte : Auto-enquête sur le compte de service | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud Audit Logs: Journaux d'audit de l'accès aux données IAM Autorisations: DATA_READ
|
Détection des identifiants de compte de service IAM permettant d'examiner les rôles et les autorisations associés à ce même compte de service. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. |
Fuite : accès depuis le proxy d'anonymisation | ANOMALOUS_ACCESS |
Cloud Audit Logs: Journaux des activités d'administration |
Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor. |
Exfiltration : exfiltration de données BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations: DATA_READ
|
Détecte les cas suivants :
|
Exfiltration : extraction de données BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations: DATA_READ
|
Détecte les cas suivants :
Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. |
Exfiltration : données BigQuery vers Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations: DATA_READ
|
Détecte les éléments suivants :
|
Exfiltration: déplacer vers une ressource BigQuery publique | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations: DATA_READ
|
Détecte les éléments suivants :
|
Exfiltration : exfiltration de données Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs :
Journaux d'accès aux données MySQL Journaux d'accès aux données PostgreSQL Journaux d'accès aux données SQL Server |
Détecte les cas suivants :
Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. |
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit Logs :
Journaux des activités d'administration MySQL Journaux des activités d'administration PostgreSQL Journaux des activités d'administration SQL Server |
Détecte les événements où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance en dehors de l'organisation. |
Exfiltration : octroi de privilèges Cloud SQL trop élevés | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs :
Journaux d'accès aux données PostgreSQL Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle. |
Détecte les événements où un utilisateur ou un rôle Cloud SQL pour PostgreSQL s'est vu attribuer tous les droits pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma. |
Accès initial: le super-utilisateur de la base de données écrit dans les tables utilisateur | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs :
Journaux d'accès aux données Cloud SQL pour PostgreSQL Journaux d'accès aux données Cloud SQL pour MySQL Remarque: Vous devez activer l'extension pgAudit pour PostgreSQL ou l'audit de la base de données pour MySQL pour utiliser cette règle. |
Détecte les événements où un super-utilisateur Cloud SQL (postgres pour les serveurs PostgreSQL ou root pour les utilisateurs MySQL) écrit dans des tables non système.
|
Élévation des privilèges: octroi de droits AlloyDB excessifs | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs :
Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle. |
Détecte les événements où un utilisateur ou un rôle AlloyDB pour PostgreSQL s'est vu attribuer tous les droits sur une base de données, ou sur toutes les tables, procédures ou fonctions d'un schéma. |
Élévation des privilèges: le super-utilisateur de la base de données AlloyDB écrit dans les tables utilisateur | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs :
Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle. |
Détecte les événements où un super-utilisateur AlloyDB pour PostgreSQL (postgres ) écrit dans des tables non système.
|
Accès initial : action sur un compte de service inactif | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs : Journaux des activités d'administration | Détecte les événements où un compte de service géré par l'utilisateur dormant a déclenché une action. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. |
Escalade des droits: un compte de service inactif a reçu un rôle sensible | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Détecte les événements où un compte de service géré par l'utilisateur inactif s'est vu attribuer un ou plusieurs rôles IAM sensibles. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. |
Persistance: rôle d'impersonation attribué à un compte de service inactif | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM | Détecte les événements où un principal se voit accorder des autorisations d'emprunter l'identité d'un compte de service géré par l'utilisateur dormant. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. |
Accès initial: clé de compte de service inactif créée | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud Audit Logs : Journaux des activités d'administration | Détecte les événements où une clé est créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. |
Accès initial: clé de compte de service divulguée utilisée | LEAKED_SA_KEY_USED |
Journaux d'audit Cloud :
Journaux des activités d'administration Journaux d'accès aux données |
Détecte les événements où une clé de compte de service divulguée est utilisée pour authentifier l'action. Dans ce contexte, une clé de compte de service divulguée est une clé qui a été publiée sur Internet. |
Accès initial: opérations refusées en raison d'autorisations excessives | EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs : Journaux des activités d'administration | Détecte les événements où un principal déclenche à plusieurs reprises des erreurs autorisation refusée en essayant d'apporter des modifications dans plusieurs méthodes et services. |
Défenses diminuées : authentification forte - désactivé |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Audit d'administration |
La validation en deux étapes a été désactivée pour l'organisation. Cette information n'est pas disponible pour les activations au niveau du projet. |
Défenses diminuées : Vérification en deux étapes - désactivé |
2SV_DISABLE
|
Journaux Google Workspace: Audit des connexions Autorisations: DATA_READ
|
Un utilisateur a désactivé la validation en deux étapes. Cette information n'est pas disponible pour les activations au niveau du projet. |
Accès initial : piratage - compte désactivé |
ACCOUNT_DISABLED_HIJACKED
|
Journaux Google Workspace: Audit des connexions Autorisations: DATA_READ
|
Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte. Cette information n'est pas disponible pour les activations au niveau du projet. |
Accès initial : fuite de mot de passe - désactivé |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Journaux Google Workspace: Audit des connexions Autorisations: DATA_READ
|
Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée. Cette information n'est pas disponible pour les activations au niveau du projet. |
Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement |
GOV_ATTACK_WARNING
|
Journaux Google Workspace: Audit des connexions Autorisations: DATA_READ
|
Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur. Cette information n'est pas disponible pour les activations au niveau du projet. |
Accès initial : tentative de compromis Log4j | Indisponible |
Journaux d'équilibrage de charge Cloud: Équilibreur de charge HTTP Cloud Remarque: Vous devez activer la journalisation externe de l'équilibreur de charge d'application pour utiliser cette règle. |
Détecte les recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage. Cette règle est toujours activée. |
Accès initial : connexion suspecte - bloqué |
SUSPICIOUS_LOGIN
|
Journaux Google Workspace: Audit des connexions Autorisations: DATA_READ
|
Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée. Cette information n'est pas disponible pour les activations au niveau du projet. |
Logiciel malveillant Log4j : domaine incorrect | LOG4J_BAD_DOMAIN |
Journaux Cloud DNS | Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j. |
Logiciel malveillant Log4j : adresse IP incorrecte | LOG4J_BAD_IP |
Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT |
Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j. |
Logiciel malveillant : domaine incorrect | MALWARE_BAD_DOMAIN |
Journaux Cloud DNS | Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu |
Logiciel malveillant : adresse IP incorrecte | MALWARE_BAD_IP |
Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT |
Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue |
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie | CRYPTOMINING_POOL_DOMAIN |
Journaux Cloud DNS | Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu |
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie | CRYPTOMINING_POOL_IP |
Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT |
Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue |
DoS sortantÉteindre | OUTGOING_DOS |
Journaux de flux VPC | Détection du trafic de déni de service sortant |
Persistance: ajout d'une clé SSH par l'administrateur GCE | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit Logs: Journaux d'audit des activités d'administration Compute Engine |
Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine). |
Persistance: ajout d'un script de démarrage par l'administrateur GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit Logs: Journaux d'audit des activités d'administration Compute Engine |
Détection d'une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine). |
Persistance : Octroi anormal d'autorisations IAM | IAM_ANOMALOUS_GRANT |
Journaux d'audit Cloud: Journaux d'audit des activités d'administration IAM |
Cette observation comprend des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de cette observation. La liste suivante répertorie toutes les sous-règles possibles:
|
Persistance: rôle sensible attribué à un compte non géré (bêta) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détection d'un rôle sensible attribué à un compte non géré. |
Persistance: Nouvelle méthode d'API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: Journaux des activités d'administration |
Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM |
Persistance : Nouvelle géographie | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: Journaux des activités d'administration |
Détection des comptes utilisateur de service et utilisateur IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes. Cette information n'est pas disponible pour les activations au niveau du projet. |
Persistance : Nouvel agent utilisateur | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud Audit Logs: Journaux des activités d'administration |
Détection des comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux ou suspects. Cette information n'est pas disponible pour les activations au niveau du projet. |
Persistance : activer/désactiver l'authentification unique |
TOGGLE_SSO_ENABLED
|
Google Workspace: Audit d'administration |
Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur. Cette information n'est pas disponible pour les activations au niveau du projet. |
Persistance : paramètres SSO modifiés |
CHANGE_SSO_SETTINGS
|
Google Workspace: Audit d'administration |
Les paramètres SSO du compte administrateur ont été modifiés. Cette information n'est pas disponible pour les activations au niveau du projet. |
Escalade des droits: usurpation d'identité de compte de service anormale pour les activités d'administration | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: Journaux des activités d'administration |
Détecte quand un compte de service usurpé potentiellement anormal est utilisé pour une activité administrative. |
Escalade des droits: délégation de compte de service multi-étapes anormale pour les activités d'administration | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: Journaux des activités d'administration |
Détecte une demande déléguée anormale en plusieurs étapes pour une activité administrative. |
Escalade des droits: délégation de compte de service multi-étapes anormale pour l'accès aux données | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: Journaux d'accès aux données |
Détecte une requête déléguée anormale en plusieurs étapes pour une activité d'accès aux données. |
Escalade des droits: emprunt d'identité anormal d'un compte de service pour les activités d'administration | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: Journaux des activités d'administration |
Détecte lorsqu'un appelant/imposteur potentiellement anormal dans une chaîne de délégation est utilisé pour une activité administrative. |
Escalade des droits: emprunt d'identité de compte de service anormal pour l'accès aux données | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: Journaux d'accès aux données |
Détecte lorsqu'un appelant/imposteur potentiellement anormal dans une chaîne de délégation est utilisé pour une activité d'accès aux données. |
Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole , RoleBinding ou ClusterRoleBinding du rôle sensible
cluster-admin à l'aide d'une requête PUT ou PATCH .
|
Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Un individu potentiellement malveillant a créé une
requête de signature de certificat (CSR) maître Kubernetes, ce qui lui permet de disposer de l'accès
cluster-admin .
|
Élévation des privilèges : création de liaisons Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle
cluster-admin .
|
Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs: Journaux d'accès aux données GKE |
Une personne potentiellement malveillante a émis une
requête de signature de certificat (CSR) à l'aide de la commande kubectl , en utilisant des identifiants d'amorçage compromis.
|
Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Un individu potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.
Le champ |
Persistance: clé de compte de service créée | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte la création d'une clé de compte de service. Les clés de compte de service sont des identifiants de longue durée qui augmentent le risque d'accès non autorisé aux ressources Google Cloud. |
Élévation des privilèges: script d'arrêt global ajouté | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand un script d'arrêt global est ajouté à un projet. |
Persistance: script de démarrage global ajouté | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand un script de démarrage global est ajouté à un projet. |
Défense contre l'évasion: rôle de créateur de jetons de compte de service au niveau de l'organisation ajouté | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand le Rôle IAM Créateur de jetons du compte de service est accordé au niveau de l'organisation. |
Défense contre l'évasion: rôle de créateur de jetons de compte de service au niveau du projet ajouté | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand le Rôle IAM Créateur de jetons du compte de service est attribué au niveau du projet. |
Mouvement latéral: exécution du correctif d'OS depuis le compte de service | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud Audit Logging Journaux d'audit pour les activités d'administration IAM |
Détecte quand un compte de service utilise la fonctionnalité de correctif Compute Engine pour mettre à jour le système d'exploitation de toute instance Compute Engine en cours d'exécution. |
Mouvement latéral: disque de démarrage modifié associé à l'instance (version Preview) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud Audit Logs (Journaux d'audit Cloud) : Journaux d'audit Compute Engine |
Détecte quand un disque de démarrage est dissocié d'une instance Compute Engine et associé à une autre, ce qui peut indiquer une tentative malveillante de compromettre le système à l'aide d'un disque de démarrage modifié. |
Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs: Journaux d'accès aux données GKE |
Détecte l'accès à des secrets ou des jetons de compte de service par un compte de service dans l'espace de noms Kubernetes actuel. |
Développement de ressources: activité de distribution Offensive Security | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte les manipulations réussies de ressources Google Cloud à partir de tests d'intrusion connus ou de distributions de sécurité offensives. |
Escalade des droits: le nouveau compte de service est propriétaire ou éditeur | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte la création d'un compte de service avec les rôles "Éditeur" ou "Propriétaire" pour un projet. |
Découverte: Outil de collecte d'informations utilisé | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte l'utilisation de ScoutSuite, un outil d'audit de la sécurité cloud connu pour être utilisé par des acteurs de la menace. |
Élévation des privilèges: génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte les cas d'utilisation abusive de l'autorisation iam.serviceAccounts.implicitDelegation pour générer des jetons d'accès à partir d'un compte de service plus privilégié.
|
Élévation des privilèges: génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand un compte de service utilise la méthode
serviceAccounts.signJwt pour générer un jeton d'accès pour un autre compte de service.
|
Élévation des privilèges: génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte l'utilisation interprojets de l'autorisation IAM Cette information n'est pas disponible pour les activations au niveau du projet. |
Élévation des privilèges: génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte l'utilisation interprojets de l'autorisation IAM Cette information n'est pas disponible pour les activations au niveau du projet. |
Élévation des privilèges: utilisation suspecte d'autorisations multiprojets | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte l'utilisation interprojets de l'autorisation IAM Cette information n'est pas disponible pour les activations au niveau du projet. |
Commande et contrôle: tunnelisation DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Journaux Cloud DNS | Détecte le handshake de l'outil de tunnelisation DNS Iodine. |
Contournement des défenses: tentative de masquage de route VPC | VPC_ROUTE_MASQUERADE |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte la création manuelle de routes VPC se faisant passer pour des routes par défaut Google Cloud, ce qui permet de diriger le trafic de sortie vers des adresses IP externes. |
Impact: Facturation désactivée | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand la facturation a été désactivée pour un projet. |
Impact: Facturation désactivée | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand la facturation a été désactivée pour plusieurs projets d'une organisation dans un court laps de temps. |
Impact: Blocage à priorité élevée du pare-feu VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte lorsqu'une règle de pare-feu VPC qui bloque tout le trafic est ajoutée avec une priorité 0. |
Impact: La suppression groupée des règles du pare-feu VPC est temporairement indisponible | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte la suppression groupée des règles de pare-feu VPC par des comptes autres que des comptes de service. Cette règle est temporairement indisponible. Pour surveiller les mises à jour de vos règles de pare-feu, utilisez les journaux d'audit Cloud. |
Impact: API de service désactivée | SERVICE_API_DISABLED |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand une API de service Google Cloud est désactivée dans un environnement de production. |
Impact: autoscaling du groupe d'instances géré défini sur "Maximum" | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte quand un groupe d'instances géré est configuré pour l'autoscaling maximal. |
Découverte: Appel d'API de compte de service non autorisé | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM |
Détecte lorsqu'un compte de service effectue un appel d'API interprojet non autorisé. |
Contournement des systèmes de défense: accès d'administrateur de cluster accordé aux sessions anonymes | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Détecte la création d'un objet ClusterRoleBinding de contrôle des accès basé sur les rôles (RBAC) qui ajoute le comportement root-cluster-admin-binding aux utilisateurs anonymes.
|
Accès initial: ressource GKE anonyme créée à partir d'Internet (bêta) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Détecte les événements de création de ressources provenant d' utilisateurs Internet anonymes. |
Accès initial: ressource GKE modifiée anonymement à partir d'Internet (preview) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Détecte les événements de manipulation de ressources provenant d' utilisateurs Internet anonymes. |
Escalade des droits: accès au cluster GKE accordé aux utilisateurs anonymes (bêta) | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a créé une liaison RBAC qui fait référence à l'un des utilisateurs ou groupes suivants:
Ces utilisateurs et groupes sont en fait anonymes et doivent être évités lors de la création de liaisons de rôle ou de liaisons de rôle de cluster pour des rôles RBAC. Vérifiez la liaison pour vous assurer qu'elle est nécessaire. Si la liaison n'est pas nécessaire, supprimez-la. |
Exécution: exécution suspecte d'un pod système ou association suspecte à un pod système (bêta) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a utilisé les commandes exec ou attach pour obtenir un shell ou exécuter une commande sur un conteneur exécuté dans l'espace de noms kube-system .
Ces méthodes sont parfois utilisées à des fins de débogage légitimes. Toutefois, l'espace de noms kube-system est destiné aux objets système créés par Kubernetes. L'exécution de commandes ou la création de shells inattendues doivent être examinées.
|
Élévation des privilèges: charge de travail créée avec une installation de chemin d'hôte sensible (Preview) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a créé une charge de travail qui contient un montage de volume hostPath sur un chemin sensible dans le système de fichiers du nœud hôte. L'accès à ces chemins d'accès sur le système de fichiers de l'hôte peut être utilisé pour accéder à des informations privilégiées ou sensibles sur le nœud et pour échapper aux conteneurs. Si possible, n'autorisez aucun volume hostPath dans votre cluster.
|
Élévation des privilèges: charge de travail avec shareProcessNamespace activé (Preview) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a déployé une charge de travail avec l'option shareProcessNamespace définie sur true , ce qui permet à tous les conteneurs de partager le même espace de noms de processus Linux.
Cela pourrait permettre à un conteneur non approuvé ou compromis d'élever les privilèges en accédant et en contrôlant les variables d'environnement, la mémoire et d'autres données sensibles à partir de processus exécutés dans d'autres conteneurs.
|
Élévation des privilèges: ClusterRole avec des verbes avec privilèges (Preview) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a créé un ClusterRole RBAC contenant les verbes bind , escalate ou impersonate . Un sujet lié à un rôle avec ces verbes peut usurper l'identité d'autres utilisateurs disposant de droits plus élevés, se lier à des Roles ou ClusterRoles supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'octroi de droits d'administrateur de cluster à ces sujets.
|
Élévation des privilèges: ClusterRoleBinding pour un rôle avec privilèges (Preview) | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a créé un ClusterRoleBinding RBAC qui fait référence à l'ClusterRole system:controller:clusterrole-aggregation-controller par défaut. Ce ClusterRole par défaut comporte le verbe escalate , qui permet aux sujets de modifier les droits d'accès de leurs propres rôles, ce qui permet d'escalader les droits.
|
Defense Evasion: Requête de signature de certificat (CSR) supprimée manuellement (Preview) | GKE_MANUALLY_DELETED_CSR |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Une demande de signature de certificat (CSR) a été supprimée manuellement. Les CSR sont automatiquement supprimés par un contrôleur de récupération de mémoire, mais des acteurs malveillants peuvent les supprimer manuellement pour éviter d'être détectés. Si la requête de signature de certificat supprimée concernait un certificat approuvé et émis, l'acteur potentiellement malveillant dispose désormais d'une méthode d'authentification supplémentaire pour accéder au cluster. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées. Kubernetes n'est pas compatible avec la révocation de certificats. |
Accès aux identifiants: échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes (Preview) | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a tenté d'approuver manuellement une requête de signature de certificat (CSR), mais l'action a échoué. La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet qu'il inclut, mais peuvent être très privilégiées. |
Accès aux identifiants: requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview) | GKE_CSR_APPROVED |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Une personne a approuvé manuellement une requête de signature de certificat (CSR). La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées. |
Exécution: Pod Kubernetes créé avec de potentiels arguments de shell inversé (Preview) | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a créé un pod contenant des commandes ou des arguments couramment associés à un shell inversé. Les pirates informatiques utilisent des shells inversés pour étendre ou conserver leur accès initial à un cluster et pour exécuter des commandes arbitraires. |
Détournement de défense: dissimulation potentielle de pod Kubernetes (bêta) | GKE_POD_MASQUERADING |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a déployé un pod avec une convention de nommage semblable aux charges de travail par défaut créées par GKE pour le fonctionnement normal du cluster. Cette technique est appelée masquage. |
Élévation des privilèges: Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des outils courants utilisés pour les échappements de conteneur ou pour exécuter d'autres attaques sur le cluster. |
Impact: Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie (Preview) | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs: Journaux des activités d'administration GKE |
Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des mineurs de cryptomonnaies courants. Il peut s'agir d'une tentative d'un pirate informatique qui a obtenu un accès initial au cluster pour utiliser ses ressources à des fins de minage de cryptomonnaie. |
Modules personnalisés Event Threat Detection
En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de modules que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour en savoir plus, consultez la section Présentation des modules personnalisés pour Event Threat Detection.
Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journal vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.
Modifications non sécurisées apportées aux groupes Google
Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est possible que lorsque vous activez Security Command Center au niveau de l'organisation.
Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.
Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations permettant d'identifier personnellement l'utilisateur, et ne sont pas recommandés pour les membres de groupe externes.
Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Cloud Audit Logs enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.
Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux sont au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que lorsque vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center au niveau du projet.
Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :
- Membres de groupe externes ajoutés aux groupes privilégiés
- Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
- Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder
Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.
Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.
Rôles et autorisations IAM sensibles
Cette section explique comment Event Threat Detection définit les rôles IAM sensibles. Les détections telles que les autorisations anormales IAM et les modifications non sécurisées apportées aux groupes Google ne génèrent des résultats que si elles impliquent des rôles à sensibilité élevée ou moyenne. La sensibilité des rôles a un impact sur le niveau de gravité attribué aux résultats.
- Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
- Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud, et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
- Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
- Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.
L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est un membre externe ou une identité anormale, comme un principal inactif depuis longtemps.
L'attribution de rôles sensibles à des membres externes crée une menace potentielle, car ils peuvent être utilisés de manière abusive pour compromettre des comptes et exfiltrer des données.
Les catégories de résultats qui utilisent ces rôles sensibles incluent les suivantes:
- Persistance: octroi anormal d'autorisations IAM
- Sous-règle:
external_service_account_added_to_policy
- Sous-règle:
external_member_added_to_policy
- Sous-règle:
- Accès aux identifiants : rôle sensible attribué au groupe hybride
- Escalade des droits: un compte de service inactif a reçu un rôle sensible
Les catégories de résultats qui utilisent un sous-ensemble des rôles sensibles incluent les suivantes:
- Persistance: octroi anormal d'autorisations IAM
- Sous-règle:
service_account_granted_sensitive_role_to_member
- Sous-règle:
La sous-règle service_account_granted_sensitive_role_to_member
cible généralement à la fois les membres externes et internes et n'utilise donc qu'un sous-ensemble de rôles sensibles, comme expliqué dans la section Règles Event Threat Detection.
Catégorie | Rôle | Description |
---|---|---|
Rôles de base: incluent des milliers d'autorisations pour tous les services Google Cloud. | roles/owner |
Rôles de base |
roles/editor |
||
Rôles de sécurité: contrôlent l'accès aux paramètres de sécurité. | roles/cloudkms.* |
Tous les rôles Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Tous les rôles Web Security Scanner | |
roles/dlp.* |
Tous les rôles Sensitive Data Protection | |
roles/iam.* |
Tous les Rôles IAM | |
roles/secretmanager.* |
Tous les rôles Secret Manager | |
roles/securitycenter.* |
Tous les rôles Security Command Center | |
Rôles de journalisation: contrôlent l'accès aux journaux d'une organisation. | roles/errorreporting.* |
Tous les rôles Error Reporting |
roles/logging.* |
Tous les rôles Cloud Logging | |
roles/stackdriver.* |
Tous les rôles Cloud Monitoring | |
Rôles d'informations personnelles: contrôlent l'accès aux ressources contenant des informations permettant d'identifier personnellement l'utilisateur, y compris des coordonnées bancaires et des coordonnées. | roles/billing.* |
Tous les rôles Cloud Billing |
roles/healthcare.* |
Tous les rôles de l'API Cloud Healthcare | |
roles/essentialcontacts.* |
Tous les rôles Essential Contacts | |
Rôles de mise en réseau: contrôlent l'accès aux paramètres réseau d'une organisation. | roles/dns.* |
Tous les rôles Cloud DNS |
roles/domains.* |
Tous les rôles Cloud Domains | |
roles/networkconnectivity.* |
Tous les rôles Network Connectivity Center | |
roles/networkmanagement.* |
Tous les rôles Network Connectivity Center | |
roles/privateca.* |
Tous les rôles Certificate Authority Service | |
Rôles de service: contrôlent l'accès aux ressources de service dans Google Cloud. | roles/cloudasset.* |
Tous les rôles de l'inventaire des éléments cloud |
roles/servicedirectory.* |
Tous les rôles de l'annuaire des services | |
roles/servicemanagement.* |
Tous les rôles Service Management | |
roles/servicenetworking.* |
Tous les Rôles Service Networking | |
roles/serviceusage.* |
Tous les rôles Service Usage | |
Rôles Compute Engine: contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu. |
|
Tous les rôles Administrateur et Éditeur de Compute Engine |
Catégorie | Rôle | Description |
---|---|---|
Rôles de modification: rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud. |
Exemples :
|
Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur. Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne. |
Rôles de stockage des données: rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données |
Exemples :
|
Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne. |
Tous les rôles à sensibilité moyenne
Service géré pour Microsoft Active Directory
Surveillance de la configuration des opérations
Service de règles d'administration
Gestion des clients du service
Service de transfert de stockage
Notebooks Vertex AI Workbench gérés par l'utilisateur
|
Types de journaux et conditions d'activation
Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'il recherche dans chaque journal et les actions à effectuer pour activer chaque journal, le cas échéant.
Vous ne devez activer un journal pour Event Threat Detection que si toutes les conditions suivantes sont remplies:
- Vous utilisez le produit ou le service qui écrit dans le journal.
- Vous devez protéger le produit ou le service contre les menaces détectées par la détection des menaces d'événements dans le journal.
- Il s'agit d'un journal d'audit des accès aux données ou d'un autre journal désactivé par défaut.
Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter cette même menace.
Si un journal n'est pas listé dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.
Comme indiqué dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau du projet, Event Threat Detection n'analyse pas ces journaux et ne produit aucun résultat.
Sources de journaux de base
Event Threat Detection utilise des sources de données de base pour détecter les activités potentiellement malveillantes sur votre réseau.
Si vous activez Event Threat Detection sans les journaux de flux VPC, Event Threat Detection commence immédiatement à analyser un flux de journaux de flux VPC indépendant, en double et interne. Pour examiner plus en détail un résultat Event Threat Detection existant, vous devez activer les journaux de flux VPC et accéder manuellement à l'explorateur de journaux et à l'analyseur de flux. Si vous activez les journaux de flux VPC ultérieurement, seuls les résultats futurs contiendront les liens pertinents pour une enquête plus approfondie.
Si vous activez Event Threat Detection avec les journaux de flux VPC, il commence immédiatement à analyser les journaux de flux VPC de votre déploiement et fournit des liens vers l'explorateur de journaux et Flow Analyzer pour vous aider à examiner plus en détail.
Analyses de journaux potentiellement redondantes
Event Threat Detection peut détecter les logiciels malveillants sur le réseau en analysant l'un des journaux suivants:
- Journalisation Cloud DNS
- Journalisation Cloud NAT
- Journalisation des règles de pare-feu
- Journaux de flux VPC
Si vous utilisez déjà la journalisation Cloud DNS, Event Threat Detection peut détecter les logiciels malveillants à l'aide de la résolution de domaine. Pour la plupart des utilisateurs, les journaux Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.
Si vous avez besoin d'un autre niveau de visibilité au-delà de la résolution de domaine, vous pouvez activer les journaux de flux VPC. Toutefois, ils peuvent entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5% et 10 %. Toutefois, il existe un compromis entre le rappel (échantillonnage plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible). Pour en savoir plus, consultez la section Échantillonnage et traitement des journaux.
Si vous utilisez déjà la journalisation des règles de pare-feu ou la journalisation Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.
Vous n'avez pas besoin d'activer plusieurs journaux Cloud NAT, de journaux des règles de pare-feu ou de journaux de flux VPC.
Journaux que vous devez activer
Cette section liste les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces que Event Threat Detection peut détecter.
Certaines menaces, telles que celles liées à l'usurpation d'identité ou à la délégation anormale d'un compte de service, peuvent être détectées dans la plupart des journaux d'audit. Pour ces types de menaces, vous déterminez les journaux que vous devez activer en fonction des produits et services que vous utilisez.
Le tableau suivant présente les journaux spécifiques que vous devez activer pour les menaces qui ne peuvent être détectées que dans certains types de journaux spécifiques.
Type de journal | Menaces détectées | Configuration obligatoire |
---|---|---|
Journalisation Cloud DNS |
|
Activer la journalisation Cloud DNS |
Journalisation Cloud NAT |
|
Activer la journalisation Cloud NAT |
Journalisation des règles de pare-feu |
|
Activez la journalisation des règles de pare-feu. |
Journaux d'audit de l'accès aux données Google Kubernetes Engine (GKE) |
|
Activer la journalisation des journaux d'audit des accès aux données pour GKE |
Journals d'audit des administrateurs Google Workspace |
|
partager les journaux d'audit de l'administrateur Google Workspace avec Cloud Logging ; Ce type de journal ne peut pas être analysé dans les activations au niveau du projet. |
Journaux d'audit des connexions Google Workspace |
|
partager les journaux d'audit de connexion Google Workspace avec Cloud Logging ; Ce type de journal ne peut pas être analysé dans les activations au niveau du projet. |
Loggs du service de backend de l'équilibreur de charge d'application externe | Initial Access: Log4j Compromise Attempt |
Activer la journalisation de l'équilibreur de charge d'application externe |
Journaux d'audit de l'accès aux données MySQL Cloud SQL | Exfiltration: Cloud SQL Data Exfiltration |
Activer la journalisation des journaux d'audit pour l'accès aux données pour Cloud SQL pour MySQL |
Journaux d'audit de l'accès aux données PostgreSQL dans Cloud SQL |
|
|
Journaux d'audit de l'accès aux données AlloyDB pour PostgreSQL |
|
|
Journaux d'audit pour l'accès aux données IAM |
Discovery: Service Account Self-Investigation
|
Activer la journalisation des journaux d'audit des accès aux données pour Resource Manager |
Journaux d'audit pour l'accès aux données SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Activer l'enregistrement des journaux d'audit d'accès aux données pour Cloud SQL pour SQL Server |
Journaux d'audit génériques pour l'accès aux données |
|
Activez la journalisation des journaux d'audit des accès aux données. |
authlogs/authlog sur les machines virtuelles | Brute force SSH |
Installer l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM |
Journaux de flux VPC |
|
Activer les journaux de flux VPC |
Journaux toujours activés
Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés et Event Threat Detection les analyse automatiquement.
Type de journal | Menaces détectées | Configuration obligatoire |
---|---|---|
Journaux d'accès aux données BigQueryAuditMetadata |
Exfiltration : exfiltration de données BigQuery Exfiltration : extraction de données BigQuery Exfiltration : données BigQuery vers Google Drive Exfiltration: transfert vers une ressource BigQuery publique (bêta) |
Aucun |
Journaux d'audit des activités d'administration Google Kubernetes Engine (GKE) |
Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles Élévation des privilèges : création de liaisons Kubernetes sensibles Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal Contournement des systèmes de défense: accès d'administrateur de cluster accordé aux sessions anonymes Accès initial: ressource GKE anonyme créée à partir d'Internet (Preview) Accès initial: ressource GKE modifiée anonymement à partir d'Internet (preview) Escalade des droits: accès au cluster GKE accordé aux utilisateurs anonymes (bêta) Exécution: exécution suspecte d'un pod système ou association suspecte à un pod système (bêta) Élévation des privilèges: charge de travail créée avec une installation de chemin d'hôte sensible (Preview) Élévation des privilèges: charge de travail avec shareProcessNamespace activé (Preview) Élévation des privilèges: ClusterRole avec des verbes avec privilèges (Preview) Élévation des privilèges: ClusterRoleBinding pour un rôle avec privilèges (Preview) Defense Evasion: Requête de signature de certificat (CSR) supprimée manuellement (Preview) Accès aux identifiants: échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes (Preview) Accès aux identifiants: requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview) Exécution: Pod Kubernetes créé avec de potentiels arguments de shell inversé (Preview) Détournement de défense: dissimulation potentielle de pod Kubernetes (bêta) Élévation des privilèges: Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) Impact: Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie (Preview) |
Aucun |
Journaux d'audit pour les activités d'administration IAM |
Accès aux identifiants : rôle sensible attribué au groupe hybride Escalade des droits: un compte de service inactif a reçu un rôle sensible Persistance: rôle d'impersonation attribué à un compte de service inactif Persistance: octroi anormal d'autorisations IAM (Preview) Persistance: rôle sensible attribué à un compte non géré |
Aucun |
Journaux des activités d'administration MySQL | Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Aucun |
Journaux des activités d'administration PostgreSQL | Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Aucun |
Journaux d'activité des administrateurs SQL Server | Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Aucun |
Journaux d'audit génériques pour les activités d'administration |
Accès initial: action sur un compte de service inactif> Accès initial: clé de compte de service inactif créée Accès initial: opérations refusées en raison d'autorisations excessives Accès initial: clé de compte de service divulguée utilisée Persistance: ajout d'une clé SSH par l'administrateur GCE Persistance: ajout d'un script de démarrage par l'administrateur GCE Persistance: nouvelle méthode d'API Persistance : Nouvelle géographie Persistance : Nouvel agent utilisateur Escalade des droits: usurpation d'identité anormale d'un compte de service pour les activités d'administration Escalade des droits: délégation de compte de service multi-étapes anormale pour les activités d'administration Escalade des droits: usurpation d'identité anormale d'un compte de service pour les activités d'administration Mouvement latéral: disque de démarrage modifié associé à l'instance (version Preview) |
Aucun |
Journaux d'audit VPC Service Controls | Defense Evasion: Modifier VPC Service Controls (version Preview) | Aucun |
Journaux d'audit des activités des administrateurs de sauvegarde et de reprise après sinistre |
Destruction des données: la sauvegarde et la reprise après sinistre de Google Cloud expirent toutes les images Inhiber la récupération du système: règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud Inhiber la récupération du système: modèle de suppression de Google Cloud Backup and DR Inhiber la récupération du système: profil de suppression de la sauvegarde-Reprise après sinistre Google Cloud Inhiber la récupération du système: Google Cloud Backup and DR supprime le pool de stockage Inhibit system recovery: deleted Google Cloud Backup and DR host Destruction des données: image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud Destruction des données: suppression de l'appareil de sauvegarde-reprise après sinistre Google Cloud Inhiber la récupération du système: supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud Impact: Google Cloud Backup and DR réduit le délai d'expiration des sauvegardes Impact: Google Cloud Backup and DR réduit la fréquence de sauvegarde |
Aucun |
Étape suivante
- Découvrez comment utiliser Event Threat Detection.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.