Panoramica di Event Threat Detection

Che cos'è Event Threat Detection?

Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora continuamente la tua organizzazione o i tuoi progetti e identifica le minacce all'interno dei tuoi sistemi quasi in tempo reale. Event Threat Detection viene aggiornato regolarmente con nuovi rilevatori per identificare le minacce emergenti su scala cloud.

Come funziona Event Threat Detection

Event Threat Detection monitora il flusso di Cloud Logging per la tua organizzazione o i tuoi progetti. Se attivi Security Command Center Premium livello a livello di organizzazione, Event Threat Detection utilizza i log per i progetti man mano che vengono creati ed Event Threat Detection consente di monitorarli Log di Google Workspace. Cloud Logging contiene voci di log di chiamate API e altre azioni che creano, leggono o modificano la configurazione o i metadati delle risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono una delle azioni eseguite nella Console di amministrazione Google Workspace.

Le voci di log contengono informazioni sullo stato e sugli eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica la logica di rilevamento e la threat intelligence proprietaria, tra cui la corrispondenza degli indicatori di tripwire, il profiling con finestre, il profiling avanzato, il machine learning e il rilevamento di anomalie, per identificare le minacce quasi in tempo reale.

Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Security Command Center può scrivere i risultati in un progetto Cloud Logging. Dai log di Cloud Logging e di Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub ed elaborarli con le funzioni Cloud Run.

Se attivi il livello Premium di Security Command Center a livello di organizzazione, puoi utilizza anche Google Security Operations per esaminare alcuni risultati. Google SecOps è un servizio Google Cloud che consente di indagare sulle minacce e di orientarsi tra le entità correlate in un sequenza temporale. Per istruzioni sull'invio dei risultati a Google SecOps, consulta Esaminare i risultati in Google SecOps.

La tua capacità di visualizzare e modificare i risultati e i log è determinata dai ruoli IAM (Identity and Access Management) che ti sono stati concessi. Per ulteriori informazioni Per i ruoli IAM di Security Command Center, consulta Controllo dell'accesso.

Regole di Event Threat Detection

Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere abilitati per far funzionare i rilevatori. Controllo Attività di amministrazione i log vengono sempre scritti; non puoi configurarle o disabilitarle.

Event Threat Detection include le seguenti regole predefinite:

Nome visualizzato Nome API Tipi di origini log Descrizione
Scansione attiva: Log4j vulnerabile a RCE Non disponibile Log di Cloud DNS Rileva le vulnerabilità di Log4j attive identificando le query DNS per i domini non offuscati avviati dagli scanner di vulnerabilità Log4j supportati.
Blocco ripristino sistema: host Google Cloud Backup & RE eliminato BACKUP_HOSTS_DELETE_HOST Audit log di Cloud:
Log di accesso ai dati dei servizi Backup & DR 		Un host è stato eliminato da Backup & RE. Applicazioni associate a l'host eliminato potrebbe non essere protetto.
Distruzione dei dati: immagine della scadenza di Backup & RE di Google Cloud BACKUP_EXPIRE_IMAGE Audit log di Cloud:
Log di accesso ai dati di backup e RE 		Un utente ha richiesto l'eliminazione di un'immagine di backup da Backup & RE. La l'eliminazione di un'immagine di backup non impedisce i backup futuri.
Inibire il ripristino del sistema: piano di rimozione di Backup & RE di Google Cloud BACKUP_REMOVE_PLAN Audit log di Cloud:
Log di accesso ai dati di backup e RE 		Un piano di backup con più criteri per un'applicazione è stato eliminato da Backup & RE. L'eliminazione di un piano di backup può impedire backup futuri.
Distruzione dei dati: il servizio Backup & RE di Google Cloud scadrà per tutte le immagini BACKUP_EXPIRE_IMAGES_ALL Audit log di Cloud:
Log di accesso ai dati per Backup & DR 		Un utente ha richiesto l'eliminazione di tutte le immagini di backup di un'applicazione protetta da Backup & RE. L'eliminazione delle immagini di backup non impedisce i backup futuri.
Inhibit System Recovery: Google Cloud Backup and DR delete template BACKUP_TEMPLATES_DELETE_TEMPLATE Audit log di Cloud:
Log di accesso ai dati per Backup & DR 		È stato eliminato un modello di backup predefinito, utilizzato per configurare i backup per più applicazioni. La possibilità di configurare backup in futuro potrebbe essere compromessa.
Blocco recupero sistema: criterio di eliminazione di Google Cloud Backup e DR BACKUP_TEMPLATES_DELETE_POLICY Audit log di Cloud:
Log di accesso ai dati per Backup & DR 		È stato eliminato un criterio di backup e RE che definisce come viene eseguito un backup e dove viene archiviato. I backup futuri che utilizzano il criterio potrebbero non riuscire.
Blocco recupero sistema: profilo di eliminazione di Google Cloud Backup e DR BACKUP_PROFILES_DELETE_PROFILE Audit log di Cloud:
Log di accesso ai dati per Backup & DR 		È stato eliminato un profilo di backup e RE che definisce i pool di archiviazione da utilizzare per memorizzare i backup. I backup futuri che utilizzano il profilo potrebbero non riuscire.
Distruzione dei dati: rimozione dell'appliance di Backup & RE di Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Audit log di Cloud:
Log di accesso ai dati di backup e RE 		Un'appliance di backup è stata eliminata da Backup e DR. Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette.
Inhibit System Recovery: Google Cloud Backup and DR delete storage pool BACKUP_STORAGE_POOLS_DELETE Audit log di Cloud:
Log di accesso ai dati di backup e RE 		Un pool di archiviazione, che associa un bucket Cloud Storage a Backup & RE, è stata rimossa da Backup & RE. Backup futuri in questa destinazione di archiviazione non riuscirà.
Impatto: riduzione della scadenza dei backup di Google Cloud Backup e DR BACKUP_REDUCE_BACKUP_EXPIRATION Audit log di Cloud:
Log di accesso ai dati per Backup & DR 		La data di scadenza di un backup protetto da Backup & RE è stata ridotta.
Impatto: frequenza di backup ridotta per Backup & RE di Google Cloud BACKUP_REDUCE_BACKUP_FREQUENCY Audit log di Cloud:
Log di accesso ai dati di backup e RE 		La pianificazione dei backup di Backup e DR è stata modificata per ridurre la frequenza dei backup.
Forza bruta SSH BRUTE_FORCE_SSH authlog Rilevamento di un attacco di forza bruta SSH riuscito su un host.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Log di Cloud IDS

Eventi di minaccia rilevati da Cloud IDS.

Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando viene rilevato un evento di minaccia, invia un risultato relativo alla classe di minaccia a Security Command Center. Risultato i nomi delle categorie iniziano con "Cloud IDS" seguito dalla minaccia Cloud IDS identificativo dell'utente.

L'integrazione di Cloud IDS con Event Threat Detection non include Rilevamenti di vulnerabilità di Cloud IDS.

Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni sui log di Cloud IDS.

Accesso con credenziali: membro esterno aggiunto al gruppo con privilegi EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Log di Google Workspace:
Controllo degli accessi
Autorizzazioni:
DATA_READ

Rileva gli eventi in cui un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo concessi ruoli o autorizzazioni sensibili). Viene generato un risultato solo se il gruppo non contenga già altri membri esterni della stessa organizzazione dell'account membro aggiunto. Per saperne di più, consulta Modifiche non sicure a Google Gruppi.

I risultati sono classificati con gravità Alta o Media. a seconda della sensibilità dei ruoli associati al cambio di gruppo. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso alle credenziali: gruppo con privilegi aperto al pubblico PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Controllo amministratore
Autorizzazioni:
DATA_READ

Rileva gli eventi in cui un gruppo Google privilegiato (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) viene modificato in modo da essere accessibile al pubblico in generale. Per saperne di più, vedi Modifiche non sicure ai gruppi Google.

I risultati sono classificati come di gravità elevata o media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Rileva gli eventi in cui i ruoli sensibili vengono concessi a un gruppo Google con membri esterni. Per saperne di più, consulta Modifiche non sicure a Google Gruppi.

I risultati sono classificati come di gravità elevata o media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Evasione della difesa: deployment di emergenza del carico di lavoro creato (anteprima) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Audit log di Cloud:
Log delle attività di amministrazione 		Rileva il deployment di carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.
Evasione della difesa: deployment di emergenza del carico di lavoro aggiornato (anteprima) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Audit log di Cloud:
Log delle attività di amministrazione 		Rileva l'aggiornamento di carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.
Evasione della difesa: modifica dei controlli di servizio VPC DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Audit log di Cloud Audit log dei Controlli di servizio VPC

Rileva una modifica a un perimetro dei Controlli di servizio VPC esistente che potrebbe comportare una riduzione della protezione offerta dal perimetro.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Audit log di Cloud:
Log degli accessi ai dati di GKE

Un utente potenzialmente malintenzionato ha tentato di determinare quali oggetti sensibili GKE su cui possono eseguire query, utilizzando kubectl auth can-i get . In particolare, la regola rileva se l'utente ha verificato l'accesso all'API per i seguenti oggetti:

Discovery: auto-indagine sull'account di servizio SERVICE_ACCOUNT_SELF_INVESTIGATION Audit log di Cloud:
Audit log degli accessi ai dati IAM
Autorizzazioni:
DATA_READ

Rilevamento di una credenziale dell'account di servizio IAM utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.

Ruoli sensibili

I risultati sono classificati come di gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per ulteriori informazioni, vedi Ruoli e autorizzazioni IAM sensibili.

Evasione: accesso da proxy con anonimizzazione ANOMALOUS_ACCESS Cloud Audit Logs:
Log attività di amministrazione 		Rilevamento di modifiche ai servizi Google Cloud originate da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor.
Esfiltrazione: esfiltrazione dei dati di BigQuery DATA_EXFILTRATION_BIG_QUERY Log di controllo di Cloud: Log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ

Rileva i seguenti scenari:

  • Risorse di proprietà dell'organizzazione protetta che vengono salvate al di fuori dell'organizzazione, incluse le operazioni di copia o trasferimento.

    Questo scenario è indicato da una regola secondaria di exfil_to_external_table. e una gravità pari a HIGH.

  • Tenta di accedere a risorse BigQuery protette da Controlli di servizio VPC.

    Questo scenario è indicato da una regola secondaria di vpc_perimeter_violation e una gravità di LOW.

Esfiltrazione: estrazione di dati di BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Audit log di Cloud: Log di accesso ai dati di BigQueryAuditMetadata
Autorizzazioni:
DATA_READ

Rileva i seguenti scenari:

  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in un bucket Cloud Storage esterno all'organizzazione.
  • Viene salvata una risorsa BigQuery di proprietà dell'organizzazione attraverso operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà di quell'organizzazione.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.
Esfiltrazione: dati di BigQuery su Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Log di controllo di Cloud: Log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ

Rileva quanto segue:

  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in una cartella di Google Drive.
Esfiltrazione: esfiltrazione dei dati di Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		Log di controllo di Cloud: Log di accesso ai dati di MySQL
Log di accesso ai dati di PostgreSQL
Log di accesso ai dati di SQL Server

Rileva i seguenti scenari:

  • Dati delle istanze attive esportati in un bucket Cloud Storage al di fuori dell'organizzazione.
  • Dati dell'istanza live esportati in un bucket Cloud Storage di proprietà dell'organizzazione ed è accessibile pubblicamente.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.
Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Log di controllo cloud: Log delle attività amministrative di MySQL
Log delle attività amministrative di PostgreSQL
Log delle attività amministrative di SQL Server

Rileva gli eventi in cui il backup di un'istanza Cloud SQL viene ripristinato in un'istanza al di fuori dell'organizzazione.

Esfiltrazione: concessione di privilegi in eccesso per Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Log di controllo di Cloud: Log di accesso ai dati PostgreSQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. 		Rileva gli eventi in cui è stato concesso tutti un utente o un ruolo Cloud SQL per PostgreSQL privilegi a un database o a tutte le tabelle, le procedure o le funzioni in uno schema.
Accesso iniziale: il super user del database scrive nelle tabelle utente CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Log di controllo Cloud: Log di accesso ai dati di Cloud SQL per PostgreSQL
Log di accesso ai dati di Cloud SQL per MySQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit per PostgreSQL o il controllo del database per MySQL. 		Rileva gli eventi in cui un super user Cloud SQL (postgres per PostgreSQL server o root per gli utenti MySQL) scrive su tabelle non di sistema.
Escalation dei privilegi: concessione di privilegi in eccesso per AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Log di controllo di Cloud: Log di accesso ai dati di AlloyDB per PostgreSQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. 		Rileva gli eventi in cui a un utente o ruolo AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema.
Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle utente ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Audit log di Cloud: Log di accesso ai dati di AlloyDB per PostgreSQL
Nota: devi attivare l'estensione pgAudit per usare questa regola. 		Rileva gli eventi in cui un superutente AlloyDB per PostgreSQL (postgres) scrive in tabelle non di sistema.
Accesso iniziale: azione account di servizio inattivo DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Audit log di Cloud: Log delle attività di amministrazione Rileva gli eventi in cui un account di servizio gestito dall'utente inattivo ha attivato un'azione. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Audit log di Cloud: Audit log delle attività di amministrazione IAM

Rileva gli eventi in cui a un account di servizio gestito dall'utente inattivo sono stati concessi uno o più ruoli IAM sensibili. In questo contesto, un servizio l'account è considerato inattivo se è rimasto inattivo per più di 180 giorni.

Ruoli sensibili

I risultati sono classificati con gravità Alta o Media. a seconda della sensibilità dei ruoli concessi. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Persistenza: ruolo per furto d'identità concesso per account di servizio inattivo DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Audit log di Cloud: Audit log delle attività di amministrazione IAM Rileva gli eventi in cui viene concessa un'entità autorizzazioni per impersonare di un account di servizio inattivo gestito dall'utente. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Accesso iniziale: è stata creata una chiave dell'account di servizio inattivo DORMANT_SERVICE_ACCOUNT_KEY_CREATED Audit log di Cloud: Log delle attività di amministrazione Rileva gli eventi in cui viene creata una chiave per una fase di inattività account di servizio gestito dall'utente. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Accesso iniziale: chiave dell'account di servizio divulgata utilizzata LEAKED_SA_KEY_USED Audit log di Cloud: Log delle attività di amministrazione
Log degli accessi ai dati 		Rileva gli eventi in cui viene utilizzata una chiave dell'account di servizio divulgata per autenticare l'azione. In questo contesto, una chiave dell'account di servizio divulgata è una chiave che è stata pubblicata su internet.
Accesso iniziale: azioni negate in caso di autorizzazione eccessiva EXCESSIVE_FAILED_ATTEMPT Audit log di Cloud: Log delle attività di amministrazione Rileva gli eventi in cui un'entità attiva ripetutamente gli errori di autorizzazione negata tentativi di modifiche in più metodi e servizi.
Indebolimento difese: autenticazione forte disattivata ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Controllo amministratore

La verifica in due passaggi è stata disattivata per l'organizzazione.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Impedisci le difese: verifica in due passaggi disattivata 2SV_DISABLE Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ

Un utente ha disattivato la verifica in due passaggi.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: account compromesso e disattivato ACCOUNT_DISABLED_HIJACKED Log di Google Workspace:
Controllo degli accessi
Autorizzazioni:
DATA_READ

L'account di un utente è stato sospeso a causa di attività sospette.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: divulgazione di password disabilitata ACCOUNT_DISABLED_PASSWORD_LEAK Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ

L'account di un utente è stato disattivato perché è stata rilevata una fuga di password.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: attacco supportato da un governo GOV_ATTACK_WARNING Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ

Gli aggressori sostenuti da un governo potrebbero aver tentato di compromettere un account utente o un computer.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: tentativo di compromissione di Log4j Non disponibile Log di Cloud Load Balancing:
Bilanciatore del carico HTTP di Cloud
Nota: per utilizzare questa regola, devi abilitare il logging del bilanciatore del carico delle applicazioni esterno.

Rileva Java Naming and Directory Interface (JNDI) ricerche all'interno di o i parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una gravità bassa, perché indicano solo un rilevamento o un tentativo di exploit, non una vulnerabilità o una compromissione.

Questa regola è sempre attiva.
Accesso iniziale: accesso sospetto bloccato SUSPICIOUS_LOGIN Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ

È stato rilevato e bloccato un accesso sospetto all'account di un utente.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Malware Log4j: dominio non valido LOG4J_BAD_DOMAIN Log di Cloud DNS Rilevamento del traffico di exploit Log4j basato su una connessione a, o una ricerca, un dominio utilizzato negli attacchi Log4j.
Malware Log4j: IP non valido LOG4J_BAD_IP Log di flusso VPC
Log delle regole firewall
Log Cloud NAT		 Rilevamento del traffico di exploit Log4j basato su una connessione a un indirizzo IP noto utilizzato in Attacchi Log4j.
Malware: dominio non valido MALWARE_BAD_DOMAIN Log di Cloud DNS Rilevamento del malware basato su una connessione a un dominio dannoso noto o su una ricerca di un dominio.
Malware: IP non valido MALWARE_BAD_IP Log di flusso VPC
Log delle regole firewall
Log di Cloud NAT 		Rilevamento del malware basato su una connessione a un indirizzo IP non valido noto.
Malware: dominio non valido per il cryptomining CRYPTOMINING_POOL_DOMAIN Log di Cloud DNS Rilevamento del cryptomining basato su una connessione o una ricerca di un mining noto dominio.
Malware: IP non valido per il cryptomining CRYPTOMINING_POOL_IP Log di flusso VPC
Log delle regole firewall
Log Cloud NAT 		Rilevamento del cryptomining basato su una connessione a un indirizzo IP di mining noto.
DoS in uscita OUTGOING_DOS Log di flusso VPC Rilevamento di traffico Denial of Service in uscita.
Persistenza: chiave SSH aggiunta dall'amministratore GCE GCE_ADMIN_ADD_SSH_KEY Audit log di Cloud:
Audit log di Compute Engine 		Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di 1 settimana).
Persistenza: script di avvio aggiunto da un amministratore GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Audit log di Cloud:
Audit log di Compute Engine 		Rilevamento di una modifica allo script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (più di 1 settimana prima).
Persistenza: concessione IAM anomala IAM_ANOMALOUS_GRANT Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Questo rilevamento include sottoregole che forniscono informazioni più specifiche su ogni istanza di questo rilevamento.

L'elenco seguente mostra tutte le possibili sottoregole:

  • external_service_account_added_to_policy, external_member_added_to_policy: rilevamento dei privilegi concessi a utenti IAM e account di servizio che non fanno parte della tua organizzazione o, se Security Command Center è attivato solo a livello di progetto, del tuo progetto.

    Nota: se Security Command Center è attivato a livello di organizzazione in qualsiasi questo rilevatore utilizza il livello IAM esistente di un'organizzazione come contesto. Se l'attivazione di Security Command Center avviene solo a livello di progetto, il rilevatore utilizza solo i criteri IAM del progetto come contesto.

    Se si verifica una concessione IAM sensibile a un membro esterno, ha meno di tre criteri IAM simili, questo rilevatore genera un risultato.

    Ruoli sensibili

    I risultati sono classificati come Alta o Media della gravità, a seconda della sensibilità dei ruoli concessi. Per ulteriori informazioni, vedi Ruoli e autorizzazioni IAM sensibili.

  • external_member_invited_to_policy: rileva quando un membro esterno è viene invitato a diventare proprietario del progetto tramite API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: rileva quando l'autorizzazione setIAMPolicy viene aggiunta a un ruolo personalizzato.
  • service_account_granted_sensitive_role_to_member: rileva quando i ruoli con privilegi vengono concessi ai membri tramite un account di servizio. Questa regola secondaria viene attivata da un sottoinsieme di ruoli sensibili che includono solo ruoli IAM di base e determinati ruoli di archiviazione dei dati. Per ulteriori informazioni, vedi Ruoli e autorizzazioni IAM sensibili.
  • policy_modified_by_default_compute_service_account: rileva quando una l'account di servizio Compute Engine predefinito viene utilizzato per modificare il progetto Impostazioni IAM.
Persistenza: ruolo sensibile concesso all'account non gestito (anteprima) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		il rilevamento di un ruolo sensibile concesso a un account non gestito.
Persistenza: nuovo metodo API
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Audit log di Cloud:
Log attività di amministrazione 		Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte di IAM account di servizio.
Persistenza: nuova area geografica IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
Log attività di amministrazione

Rilevamento di account utente e di servizio IAM che accedono a Google Cloud da posizioni anomale basate sulla geolocalizzazione degli indirizzi IP che effettuano la richiesta.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Persistenza: nuovo user agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Audit log di Cloud:
Log delle attività di amministrazione

Rilevamento degli account di servizio IAM che accedono a Google Cloud da user agent anomali o sospetti.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: pulsante di attivazione/disattivazione SSO TOGGLE_SSO_ENABLED Google Workspace:
Controllo amministratore

L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: impostazioni SSO modificate CHANGE_SSO_SETTINGS Google Workspace:
Controllo dell'amministratore

Le impostazioni del Single Sign-On per l'account amministratore sono state modificate.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Riassegnazione dei privilegi: simulazione anomala dell'identità del service account per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Audit log di Cloud:
Log attività di amministrazione 		Rileva quando un service account simulato potenzialmente anomalo viene utilizzato per un'attività di amministrazione.
Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Audit log di Cloud:
Log attività di amministrazione 		Rileva quando viene trovata una richiesta delegata con più passaggi anomala per un'attività di amministrazione.
Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'accesso ai dati ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Audit log di Cloud:
Log di accesso ai dati 		Rileva quando viene trovata una richiesta delegata con più passaggi anomala per un'attività di accesso ai dati.
Riassegnazione dei privilegi: simulatore anomalo dell'identità del service account per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Audit log di Cloud:
Log delle attività di amministrazione 		Rileva quando un chiamatore/usurpatore potenzialmente anomalo in una catena di delega viene utilizzato per un'attività amministrativa.
Riassegnazione dei privilegi: simulatore anomalo dell'identità di un service account per l'accesso ai dati ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Audit log di Cloud:
Log degli accessi ai dati 		Rileva i casi di potenziale anomalia chiamante/simulatore di identità in un la catena di delega viene utilizzata per un'attività di accesso ai dati.
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo degli accessi basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Un utente potenzialmente malintenzionato ha creato un master Kubernetes richiesta di firma del certificato (CSR), che offre cluster-admin l'accesso.
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Audit log di Cloud:
Log di accesso ai dati di GKE 		Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse.
Escalation dei privilegi: avvia un container Kubernetes con privilegi GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Audit log di Cloud:
Log delle attività di amministrazione di GKE

Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi oppure e i container con funzionalità di escalation dei privilegi.

Il campo privileged di un container con privilegi è impostato su true. Il campo allowPrivilegeEscalation di un container con funzionalità di escalation dei privilegi è impostato su true. Per maggiori informazioni informazioni, consulta Core SecurityContext v1 di riferimento per le API nella documentazione Kubernetes.

Persistenza: chiave dell'account di servizio creata SERVICE_ACCOUNT_KEY_CREATION Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva la creazione di una chiave dell'account di servizio. Le chiavi degli account di servizio hanno una lunga durata credenziali che aumentano il rischio di accessi non autorizzati a Google Cloud Google Cloud.
Escalation dei privilegi: script di chiusura globale aggiunto GLOBAL_SHUTDOWN_SCRIPT_ADDED Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva l'aggiunta di uno script di chiusura globale a un progetto.
Persistenza: script di avvio globale aggiunto GLOBAL_STARTUP_SCRIPT_ADDED Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva l'aggiunta di uno script di avvio globale a un progetto.
Evasione della difesa: ruolo Creatore token account di servizio a livello di organizzazione aggiunto ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando Ruolo IAM Creatore token account di servizio a livello di organizzazione.
Evasione della difesa: aggiunto il ruolo Creatore token account di servizio a livello di progetto PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di progetto.
Movimento laterale: esecuzione patch del sistema operativo dall'account di servizio OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Audit log di Cloud.
Audit log delle attività di amministrazione IAM 		Rileva quando un account di servizio utilizza la funzionalità Patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza Compute Engine in esecuzione.
Spostamento laterale: disco di avvio modificato collegato all'istanza (anteprima) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Audit log di Cloud:
Audit log di Compute Engine 		Rileva quando un disco di avvio viene scollegato da un'istanza Compute Engine e collegato a un altro, il che potrebbe indicare un tentativo dannoso di compromettere il sistema utilizzando disco di avvio modificato.
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Audit log di Cloud:
Log di accesso ai dati di GKE 		Rileva quando i token di secret o account di servizio vengono acceduti da un account di servizio nello spazio dei nomi Kubernetes corrente.
Sviluppo risorse: attività distro di sicurezza non valida OFFENSIVE_SECURITY_DISTRO_ACTIVITY Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva le manipolazioni riuscite delle risorse Google Cloud dalla penetrazione nota test o distribuzioni di sicurezza offensive.
Escalation dei privilegi: il nuovo account di servizio è il proprietario o l'editor SERVICE_ACCOUNT_EDITOR_OWNER Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando viene creato un nuovo account di servizio con i ruoli Editor o Proprietario per un progetto.
Scoperta: strumento di raccolta delle informazioni utilizzato INFORMATION_GATHERING_TOOL_USED Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva l'utilizzo di ScoutSuite, uno strumento di controllo della sicurezza del cloud che è noto per essere utilizzato dagli autori di minacce.
Escalation dei privilegi: generazione di token sospetti SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando l'autorizzazione iam.serviceAccounts.implicitDelegation viene usata in modo improprio per generare token di accesso da un account di servizio con più privilegi.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando un account di servizio utilizza il metodo serviceAccounts.signJwt per generare un token di accesso per un altro account di servizio.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Rileva l'utilizzo tra progetti dell'autorizzazione IAM iam.serviceAccounts.getOpenIdToken.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Rileva l'utilizzo tra progetti dell'iam.serviceAccounts.getAccessToken Autorizzazione IAM.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: utilizzo sospetto delle autorizzazioni tra progetti SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Rileva l'utilizzo tra progetti dell'datafusion.instances.create Autorizzazione IAM.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Comando e controllo: tunneling DNS DNS_TUNNELING_IODINE_HANDSHAKE Log di Cloud DNS Rileva l'handshake dello strumento di tunneling DNS Iodine.
Evasione della difesa: tentativo di mascheramento della route VPC VPC_ROUTE_MASQUERADE Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva la creazione manuale di route VPC mascherate da route predefinite di Google Cloud, consentendo il traffico in uscita verso indirizzi IP esterni.
Impatto: fatturazione disabilitata BILLING_DISABLED_SINGLE_PROJECT Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando la fatturazione è stata disabilitata per un progetto.
Impatto: fatturazione disabilitata BILLING_DISABLED_MULTIPLE_PROJECTS Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando la fatturazione è stata disattivata per più progetti di un'organizzazione in un breve periodo di tempo.
Impatto: blocco ad alta priorità per firewall VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando viene aggiunta una regola firewall VPC che blocca tutto il traffico con priorità 0.
Impatto: regola di massa per firewall VPC EliminazioneAl momento non disponibile VPC_FIREWALL_MASS_RULE_DELETION Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Rileva l'eliminazione collettiva delle regole firewall VPC da parte di account non di servizio.

Questa regola non è al momento disponibile. Per monitorare gli aggiornamenti alle regole firewall, utilizza gli audit log di Cloud.

Impatto: API di servizio disabilitata SERVICE_API_DISABLED Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando un'API di servizio Google Cloud è disattivata in un ambiente di produzione.
Impatto: scalabilità automatica del gruppo di istanze gestite impostata al massimo MIG_AUTOSCALING_SET_TO_MAX Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva la presenza di un gruppo di istanze gestite configurato per la scalabilità automatica massima.
Rilevamento: chiamata non autorizzata all'API del service account UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Audit log di Cloud:
Audit log delle attività di amministrazione IAM 		Rileva quando un account di servizio effettua una chiamata API tra progetti non autorizzata.
Evasione della difesa: accesso amministrativo al cluster concesso da sessioni anonime ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit Logs:
Log delle attività di amministrazione di GKE 		Rileva la creazione di un oggetto ClusterRoleBinding basato sul controllo dell'accesso basato sui ruoli (RBAC) che aggiunge il comportamento root-cluster-admin-binding agli utenti anonimi.
Accesso iniziale: risorsa GKE anonima creata da internet (anteprima) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Log delle attività di amministrazione di GKE 		Rileva gli eventi di creazione di risorse da di utenti internet anonimizzati.
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet (anteprima) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Rileva eventi di manipolazione delle risorse da parte di utenti di internet effettivamente anonimi.
Escalation dei privilegi: a utenti anonimi è stato concesso l'accesso al cluster GKE in modo efficace (Anteprima) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Audit log di Cloud:
Log delle attività di amministrazione di GKE

Qualcuno ha creato un'associazione RBAC che fa riferimento a uno dei seguenti utenti o gruppi:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Questi utenti e gruppi sono generalmente anonimi e devono essere evitati durante la creazione associazioni di ruoli o associazioni di ruoli cluster a qualsiasi ruolo RBAC. Controlla il vincolo per assicurarti che sia necessario. Se l'associazione non è necessaria, rimuovila.

Esecuzione: esecuzione sospetto o collegamento a un pod di sistema (anteprima) GKE_SUSPICIOUS_EXEC_ATTACH Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha utilizzato i comandi exec o attach per ottenere una shell o eseguire un comando su un contenitore in esecuzione nello spazio dei nomi kube-system. Questi metodi vengono talvolta utilizzati per scopi legittimi di debug. Tuttavia, lo spazio dei nomi kube-system è destinato agli oggetti di sistema creati da Kubernetes e l'esecuzione di comandi o la creazione di shell inaspettate deve essere esaminata.
Escalation dei privilegi: carico di lavoro creato con un percorso host sensibile (anteprima) GKE_SENSITIVE_HOSTPATH Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha creato un carico di lavoro che contiene un montaggio del volume hostPath in un percorso sensibile sul file system del nodo host. L'accesso a questi percorsi sul file system dell'host può essere utilizzato per accedere a informazioni privilegiate o sensibili sul nodo e per le uscite dal contenitore. Se possibile, non consentire alcun volume hostPath nel tuo in un cluster Kubernetes.
Escalation dei privilegi: carico di lavoro con shareProcessNamespace abilitato (anteprima) GKE_SHAREPROCESSNAMESPACE_POD Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un carico di lavoro con l'opzione shareProcessNamespace impostata su true, consentendo a tutti i container di condividere lo stesso spazio dei nomi di processo Linux. Ciò potrebbe consentire a un contenitore non attendibile o compromesso di eseguire la riassegnazione dei privilegi accedendo e controllando le variabili di ambiente, la memoria e altri dati sensibili dei processi in esecuzione in altri contenitori.
Escalation dei privilegi: ClusterRole con verbi con privilegi (anteprima) GKE_CLUSTERROLE_PRIVILEGED_VERBS Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha creato un ClusterRole RBAC contenente i verbi bind, escalate o impersonate. Un soggetto legato a un con questi verbi può impersonare altri utenti con privilegi superiori, associa Roles o ClusterRoles aggiuntivi che contengono autorizzazioni o modificare le proprie autorizzazioni ClusterRole. Ciò potrebbe comportare soggetti con privilegi cluster-admin.
Escalation dei privilegi: ClusterRoleBinding a ruolo con privilegi (anteprima) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha creato un ClusterRoleBinding RBAC che fa riferimento al valore predefinito system:controller:clusterrole-aggregation-controller ClusterRole. Questo valore predefinito ClusterRole ha le Verbo escalate, che consente ai soggetti di modificare i propri privilegi con ruoli, consentendo l'escalation dei privilegi.
Evasione della difesa: richiesta di firma del certificato (CSR) eliminata manualmente (anteprima) GKE_MANUALLY_DELETED_CSR Cloud Audit Logs:
Log delle attività di amministrazione di GKE 		Qualcuno ha eliminato manualmente una richiesta di firma di certificato (CSR). I CSR vengono automaticamente rimossi da un controller di garbage collection, ma i malintenzionati potrebbero eliminarli manualmente per eludere il rilevamento. Se la CSR eliminata era per un certificato approvato ed emesso, l'attore potenzialmente malintenzionato ora dispone di un metodo di autenticazione aggiuntivo per accedere al cluster. Le autorizzazioni associate al certificato variano in base al soggetto incluso, ma può avere grandi privilegi. Kubernetes non supporta la revoca dei certificati.
Accesso alle credenziali: tentativo di approvare la richiesta di firma del certificato non riuscito (CSR) (anteprima) GKE_APPROVE_CSR_FORBIDDEN Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha tentato di approvare manualmente una richiesta di firma del certificato (CSR), ma l'azione non è andata a buon fine. La creazione di un certificato per l'autenticazione del cluster è un metodo comune utilizzato dai malintenzionati per creare un accesso permanente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere di alto livello.
Accesso con credenziali: richiesta di firma del certificato (CSR) Kubernetes approvata manualmente (anteprima) GKE_CSR_APPROVED Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha approvato manualmente una richiesta di firma del certificato (CSR). La creazione di un certificato per l'autenticazione del cluster è un metodo comune utilizzato dagli attaccanti per creare un accesso permanente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda argomenti trattati, ma che possono essere privilegiati.
Esecuzione: pod Kubernetes creato con potenziali argomenti reverse shell (anteprima) GKE_REVERSE_SHELL_POD Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha creato un pod contenente comandi o argomenti comunemente associati a una shell inversa. Gli aggressori usano inverse per espandere o mantenere l'accesso iniziale a un cluster ed eseguire tramite comandi arbitrari.
Evasione della difesa: potenziale mascheramento dei pod Kubernetes (anteprima) GKE_POD_MASQUERADING Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un pod con una convenzione di denominazione simile ai carichi di lavoro predefiniti creati da GKE per il normale funzionamento del cluster. Questa tecnica è chiamata mascheramento.
Escalation dei privilegi: nomi dei container Kubernetes sospetti - Exploit ed escape (anteprima) GKE_SUSPICIOUS_EXPLOIT_POD Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Un utente ha eseguito il deployment di un pod con una convenzione di denominazione simile a quella degli strumenti comuni utilizzati o per eseguire altri attacchi sul cluster.
Impatto: nomi dei container Kubernetes sospetti - Coin mining (anteprima) GKE_SUSPICIOUS_CRYPTOMINING_POD Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Qualcuno ha disegnato un pod con una convenzione di denominazione simile a quella dei comuni miner di criptovaluta. Potrebbe trattarsi di un tentativo da parte di un malintenzionato che ha ottenuto l'accesso iniziale al cluster di utilizzare le risorse del cluster per il mining di criptovaluta.

Moduli personalizzati per Event Threat Detection

Oltre alle regole di rilevamento incorporate, Event Threat Detection fornisce modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate. Per ulteriori informazioni, consulta la Panoramica dei moduli personalizzati per Event Threat Detection.

Per creare regole di rilevamento per le quali non sono disponibili modelli di moduli personalizzati, puoi esportare i dati dei log in BigQuery, quindi eseguire query SQL uniche o ricorrenti che acquisiscono i tuoi modelli di minacce.

Modifiche non sicure a Google Gruppi

Questa sezione spiega in che modo Event Threat Detection utilizza i log di Google Workspace, Cloud Audit Logs e criteri IAM per rilevare i gruppi Google non sicuri modifiche. Il rilevamento delle modifiche di Google Gruppi è supportato solo quando attivi Security Command Center a livello di organizzazione.

I clienti Google Cloud possono utilizzare Google Gruppi per gestire i ruoli e le autorizzazioni per i membri delle loro organizzazioni oppure applicare criteri di accesso a raccolte di utenti. Anziché concedere i ruoli direttamente ai membri, gli amministratori possono assegnare ruoli e autorizzazioni ai gruppi Google e poi aggiungere i membri a gruppi specifici. I membri di un gruppo ereditano tutti i ruoli del gruppo autorizzazioni, che consentono ai membri di accedere a risorse e servizi specifici.

Sebbene i gruppi Google rappresentino un modo conveniente per gestire il controllo dell'accesso su larga scala, può rappresentare un rischio se gli utenti esterni all'organizzazione o al dominio vengono aggiunti a gruppi con privilegio, gruppi concessi autorizzazioni o ruoli sensibili. I ruoli sensibili controllano l'accesso alle impostazioni di sicurezza e di rete, ai log e alle informazioni che consentono l'identificazione personale (PII) e non sono consigliati per i membri esterni del gruppo.

Nelle organizzazioni di grandi dimensioni, gli amministratori potrebbero non essere a conoscenza dell'aggiunta di membri esterni ai gruppi con privilegi. I log di controllo di Cloud registrano le concessioni di ruoli ai gruppi, ma questi eventi di log non contengono informazioni sui membri del gruppo, il che può nascondere il potenziale impatto di alcune modifiche del gruppo.

Se condividi i tuoi log di Google Workspace con Google Cloud, Event Threat Detection monitora i flussi di log per rilevare membri aggiunti ai gruppi Google della tua organizzazione. Poiché i log si trovano a livello di organizzazione, Event Threat Detection può eseguire la scansione dei log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può eseguire la scansione di questi log quando attivi Security Command Center a livello di progetto.

Event Threat Detection identifica i membri esterni del gruppo e, utilizzando Cloud Audit Logs, esamina i ruoli IAM di ciascun gruppo interessato per verificare se ai gruppi sono stati concessi ruoli sensibili. Queste informazioni vengono utilizzate per rilevare le seguenti modifiche non sicure per i gruppi Google con privilegi:

  • Membri esterni del gruppo aggiunti ai gruppi con privilegi
  • Ruoli o autorizzazioni sensibili concessi a gruppi con membri esterni
  • Gruppi con privilegi modificati per consentire a chiunque nel pubblico di partecipa

Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri interni del gruppo che avviano gli eventi, i nomi dei gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere i membri esterni dai gruppi o revocare con ruoli sensibili concessi ai gruppi.

Per ulteriori informazioni sui risultati di Event Threat Detection, vedi Regole di Event Threat Detection.

Ruoli e autorizzazioni IAM sensibili

Questa sezione spiega in che modo Event Threat Detection definisce le i ruoli IAM. Rilevamento di concessioni anomale IAM e modifiche ai gruppi Google non sicure generano risultati solo se le modifiche riguardano ruoli con sensibilità elevata o media. La sensibilità dei ruoli influisce sulla valutazione della gravità assegnati ai risultati.

  • I ruoli ad alta sensibilità controllano i servizi critici nelle organizzazioni, tra cui fatturazione, impostazioni del firewall e logging. Risultati che corrispondono a questi ruoli sono classificati con gravità Alta.
  • I ruoli con dati di media sensibilità dispongono di autorizzazioni di modifica che consentono ai principali di apportare modifiche alle risorse Google Cloud, nonché di visualizzare ed eseguire autorizzazioni sui servizi di archiviazione dei dati che spesso contengono dati sensibili. La gravità assegnata ai risultati dipende dalla risorsa:
    • Se a livello di organizzazione vengono concessi ruoli a sensibilità media, i risultati sono classificati con gravità Alta.
    • Se vengono concessi ruoli a sensibilità media a livelli più bassi nella tua risorsa nella gerarchia (cartelle, progetti e bucket), i risultati sono con gravità Media.

L'assegnazione di questi ruoli sensibili è considerata pericolosa se il beneficiario è un membro esterno o un'identità anomala, ad esempio un principale che è stato inattivo per molto tempo.

La concessione di ruoli sensibili a membri esterni rappresenta una potenziale minaccia perché possono essere utilizzati in modo improprio per compromettere l'account e sfiltrare i dati.

Le categorie di risultati che utilizzano questi ruoli sensibili includono:

  • Persistenza: concessione IAM anomala
    • Regola secondaria: external_service_account_added_to_policy
    • Regola secondaria: external_member_added_to_policy
  • Accesso con credenziali: ruolo sensibile concesso al gruppo ibrido
  • Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo

Le categorie di risultati che utilizzano un sottoinsieme di ruoli sensibili includono:

  • Persistenza: concessione IAM anomala
    • Regola secondaria: service_account_granted_sensitive_role_to_member

La regola secondaria service_account_granted_sensitive_role_to_member ha come target entrambi membri interni ed esterni in genere, quindi utilizza solo un sottoinsieme ai ruoli sensibili, come spiegato nelle regole di Event Threat Detection.

Categoria Ruolo Descrizione
Ruoli di base: contengono migliaia di autorizzazioni per tutti i servizi Google Cloud. roles/owner Ruoli di base
roles/editor
Ruoli di sicurezza: controllare l'accesso alle impostazioni di sicurezza roles/cloudkms.* Tutti Ruoli di Cloud Key Management Service
roles/cloudsecurityscanner.* Tutti i ruoli di Web Security Scanner
roles/dlp.* Tutti i ruoli di Sensitive Data Protection
roles/iam.* Tutti Ruoli IAM
roles/secretmanager.* Tutti Ruoli di Secret Manager
roles/securitycenter.* Tutti i ruoli di Security Command Center
Ruoli di logging: controllano l'accesso ai log di un'organizzazione roles/errorreporting.* Tutti Ruoli di Error Reporting
roles/logging.* Tutti i ruoli di Cloud Logging
roles/stackdriver.* Tutti i ruoli di Cloud Monitoring
Ruoli relativi alle informazioni personali: controllano l'accesso alle risorse contenenti informazioni che consentono l'identificazione personale, tra cui servizi bancari e dati di contatto roles/billing.* Tutti Ruoli di fatturazione Cloud
roles/healthcare.* Tutti Ruoli dell'API Cloud Healthcare
roles/essentialcontacts.* Tutti i ruoli di Contatti fondamentali
Ruoli di rete: controllano l'accesso alla rete di un'organizzazione impostazioni roles/dns.* Tutti i ruoli Cloud DNS
roles/domains.* Tutti i ruoli di Cloud Domains
roles/networkconnectivity.* Tutti Ruoli di Network Connectivity Center
roles/networkmanagement.* Tutti Ruoli di Network Connectivity Center
roles/privateca.* Tutti Ruoli di Certificate Authority Service
Ruoli di servizio: controlla l'accesso alle risorse di servizio in Google Cloud roles/cloudasset.* Tutti i ruoli di Cloud Asset Inventory
roles/servicedirectory.* Tutti Ruoli di Service Directory
roles/servicemanagement.* Tutti i ruoli di Service Management
roles/servicenetworking.* Tutti i ruoli di Networking di servizi
roles/serviceusage.* Tutti Ruoli di Service Usage
Ruoli di Compute Engine: controlla l'accesso alla rete virtuale di Compute Engine. che eseguono job a lunga esecuzione e sono associati al firewall. regole

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Tutti gli amministratori di Compute Engine ed Editor
Categoria Ruolo Descrizione
Ruoli di modifica: i ruoli IAM che includono le autorizzazioni per apportare modifiche alle risorse Google Cloud

Esempi:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

In genere, i nomi dei ruoli terminano con titoli quali Amministratore, Proprietario, Editor o Writer.

Espandi il nodo nell'ultima riga della tabella per vedere Tutti i ruoli a sensibilità media

Ruoli di archiviazione dati: ruoli IAM che includono autorizzazioni per visualizzare ed eseguire servizi di archiviazione dati

Esempi:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli con sensibilità media
Tutti i ruoli con sensibilità media

Approvazione accesso

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Gestore contesto accesso

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Azioni

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Autorizzazione binaria

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminbeta

Funzioni di Cloud Run

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Archiviazione sul cloud

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Analisi degli elementi

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Server di gioco

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Hub Google Kubernetes Engine

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

API On-Demand Scanning

  • roles/ondemandscanning.admin

Monitoraggio della configurazione delle operazioni

  • roles/opsconfigmonitoring.resourceMetadata.writer

Servizio Criteri dell'organizzazione

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Altri ruoli

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Beacon di prossimità

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Consigli

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Motore per suggerimenti

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Impostazioni risorse

  • roles/resourcesettings.admin

Accesso VPC serverless

  • roles/vpcaccess.admin

Service Consumer Management

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Blocchi note gestiti dall'utente di Vertex AI Workbench

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Tipi di log e requisiti di attivazione

Questa sezione elenca i log utilizzati da Event Threat Detection, insieme alle minacce che Event Threat Detection cerca in ogni log e di cosa, se necessario, occorre per attivare ogni log.

Devi attivare un log per Event Threat Detection solo se: sono vere:

  • Stai utilizzando il prodotto o il servizio che scrive nel log.
  • Devi proteggere il prodotto o il servizio dalle minacce rilevate da Rilevamento minacce evento nel log.
  • Si tratta di un audit log dell'accesso ai dati o di un altro log disattivato per impostazione predefinita.

Alcune minacce possono essere rilevate in più log. Se Event Threat Detection può rilevare una minaccia in un log già attivato, non è necessario attivarne un altro per rilevare la stessa minaccia.

Se un log non è elencato in questa sezione, Event Threat Detection non lo esegue la scansione, anche se è attivato. Per ulteriori informazioni, consulta la sezione Scansioni dei log potenzialmente ridondanti.

Come descritto nella tabella seguente, alcuni tipi di log sono disponibili solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non esegue la scansione di questi log e non genera risultati.

Scansioni dei log potenzialmente ridondanti

Event Threat Detection può fornire il rilevamento della rete del malware scansionandone uno qualsiasi dei seguenti log:

  • Log di Cloud DNS
  • Log di Cloud NAT
  • Logging delle regole firewall
  • Log di flusso VPC

Se utilizzi già il logging di Cloud DNS, Event Threat Detection può rilevare malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log di Cloud DNS sufficiente per il rilevamento del malware nella rete.

Se hai bisogno di un ulteriore livello di visibilità oltre alla risoluzione del dominio, puoi attivare log di flusso VPC, ma i log di flusso VPC possono comportare costi. Per gestire questi costi, consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e di ridurre la frequenza di campionamento al 5-10%, ma esiste un compromesso tra il recupero (campione più elevato) e la gestione dei costi (frequenza di campionamento inferiore).

Se usi già il logging delle regole firewall o Cloud NAT log di flusso, questi log sono utili al posto dei log di flusso VPC.

Non è necessario attivare più di un tipo di logging, ad esempio il logging di Cloud NAT, il logging delle regole firewall o i log di flusso VPC.

Log che devi attivare

Questa sezione elenca i log di Cloud Logging e Google Workspace che può attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection in grado di rilevare.

Determinate minacce, ad esempio le minacce rappresentate da rappresentazioni anomale o della delega di un account di servizio, è disponibile nella maggior parte degli audit log. Per questi tipi di minacce, devi determinare quali log attivare in base ai prodotti e servizi che utilizzi.

La tabella seguente mostra i log specifici che devi attivare per le minacce che possono essere rilevate solo in determinati tipi di log.

Tipo di log Minacce rilevate Configurazione necessaria
Logging di Cloud DNS

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Attiva il logging di Cloud DNS
Log di Cloud NAT

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Attiva il logging di Cloud NAT
Logging delle regole firewall

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Attiva il logging delle regole firewall.
Audit log degli accessi ai dati di Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Attiva gli audit log di accesso ai dati di Logging per GKE
Log di controllo di amministrazione di Google Workspace

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Condividi i log di controllo della Console di amministrazione di Google Workspace con Cloud Logging

Questo tipo di log non può essere analizzato nelle attivazioni a livello di progetto.
Log di controllo dell'accesso a Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Condividere i log di controllo degli accessi di Google Workspace con Cloud Logging

Questo tipo di log non può essere sottoposto a scansione nelle attivazioni a livello di progetto.
Log del servizio di backend del bilanciatore del carico delle applicazioni esterno Initial Access: Log4j Compromise Attempt Attiva il logging del bilanciatore del carico delle applicazioni esterno
Audit log degli accessi ai dati di Cloud SQL per MySQL Exfiltration: Cloud SQL Data Exfiltration Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per MySQL
Audit log degli accessi ai dati di Cloud SQL PostgreSQL

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant
Audit log degli accessi ai dati di AlloyDB per PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant
Audit log degli accessi ai dati IAM Discovery: Service Account Self-Investigation Attiva gli audit log di accesso ai dati di Logging per Resource Manager
Audit log degli accessi ai dati di SQL Server Exfiltration: Cloud SQL Data Exfiltration Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per SQL Server
Audit log generici per l'accesso ai dati

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Attiva gli audit log di accesso ai dati.
authlogs/authlog sulle macchine virtuali Brute force SSH Installa Ops Agent o l'agente Logging precedente sui tuoi host VM
Log di flusso VPC

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Outgoing DoS

 Attivare i log di flusso VPC
Log di controllo di backup e RE

Data destruction: Google Cloud Backup and DR expire all images

Inhibit system recovery: Google Cloud Backup and DR delete policy

Inhibit system recovery: Google Cloud Backup and DR delete template

Inhibit system recovery: Google Cloud Backup and DR delete profile

Inhibit system recovery: Google Cloud Backup and DR delete storage pool

Inhibit system recovery: deleted Google Cloud Backup and DR host

Data destruction: Google Cloud Backup and DR expire image

Data destruction: Google Cloud Backup and DR remove appliance

Inhibit system recovery: Google Cloud Backup and DR remove plan

Impact: Google Cloud Backup and DR reduce backup expiration

Impact: Google Cloud Backup and DR reduce backup frequency

Abilita gli audit RE di Backup & DR

Log sempre attivi

La tabella seguente elenca i log di Cloud Logging che non è necessario attivare attivare o configurare. Questi log sono sempre attivi ed Event Threat Detection li analizza automaticamente.

Tipo di log Minacce rilevate Configurazione necessaria
Log di accesso ai dati di BigQueryAuditMetadata

Esfiltrazione: esfiltrazione dei dati di BigQuery

Esfiltrazione: estrazione di dati di BigQuery

Esfiltrazione: dati BigQuery su Google Drive

 Nessuno
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE)

Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili

Escalation dei privilegi: creazione di associazioni Kubernetes sensibili

Escalation dei privilegi: avvia un container Kubernetes con privilegi

Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale

Evasione di difesa: sessioni anonime che hanno concesso l'accesso amministrativo al cluster

Accesso iniziale: risorsa GKE anonima creata da internet (Anteprima)

Accesso iniziale: risorsa GKE modificata in modo anonimo da internet (Anteprima)

Escalation dei privilegi: cluster GKE a cui gli utenti anonimi hanno effettivamente concesso i privilegi Accesso (anteprima)

Esecuzione: esecuzione o collegamento sospetti a un pod di sistema (anteprima)

Escalation dei privilegi: carico di lavoro creato con un percorso host sensibile Montaggio (anteprima)

Escalation dei privilegi: carico di lavoro con shareProcessNamespace abilitato (anteprima)

Escalation dei privilegi: ClusterRole con verbi con privilegi (Anteprima)

Escalation dei privilegi: ClusterRoleBinding a ruolo con privilegi (anteprima)

Evasione della difesa: richiesta di firma del certificato (CSR) eliminata manualmente (Anteprima)

Accesso con credenziali: tentativo di approvazione della richiesta di firma del certificato (CSR) di Kubernetes non riuscito (anteprima)

Accesso alle credenziali: firma del certificato Kubernetes approvata manualmente Richiesta (CSR) (anteprima)

Esecuzione: pod Kubernetes creato con potenziali argomenti reverse shell (anteprima)

Evasione di difesa: potenziale mascheramento di pod Kubernetes (anteprima)

Escalation dei privilegi: nomi di container Kubernetes sospetti - Sfruttamento ed fuga (anteprima)

Impatto: nomi di container Kubernetes sospetti - Estrazione di monete (Anteprima)

Nessuno
Audit log delle attività di amministrazione IAM

Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido

Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo

Persistenza: ruolo per furto d'identità concesso per un account di servizio inattivo

Persistenza: concessione IAM anomala (anteprima)

Persistenza: ruolo sensibile concesso all'account non gestito

 Nessuno
Log delle attività di amministrazione MySQL Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna Nessuno
Log delle attività di amministrazione PostgreSQL Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna Nessuno
Log delle attività di amministrazione di SQL Server Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna Nessuno
Audit log generici delle attività di amministrazione

Accesso iniziale: azione account di servizio inattivo>

Accesso iniziale: è stata creata una chiave dell'account di servizio inattivo

Accesso iniziale: azioni negate per autorizzazioni eccessive

Accesso iniziale: chiave dell'account di servizio divulgata utilizzata

Persistenza: amministratore Compute Engine ha aggiunto una chiave SSH

Persistenza: script di avvio aggiunto dall'amministratore di Compute Engine

Persistenza: nuovo metodo API

Persistenza: nuova area geografica

Persistenza: nuovo user agent

Riassegnazione dei privilegi: simulazione anomala dell'identità del service account per l'attività di amministrazione

Riassegnazione dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione

Escalation dei privilegi: furto d'identità anomalo dell'account di servizio per Attività di amministrazione

Spostamento laterale: disco di avvio modificato collegato all'istanza (anteprima)

Nessuno
Log di controllo di VPC Service Controls Evasione della difesa: modifica del Controllo di servizio VPC (anteprima) Nessuno

Passaggi successivi