什麼是 Event Threat Detection?
事件威脅偵測是 Security Command Center 進階方案的內建服務,可持續監控貴機構或專案,並近乎即時地找出系統中的威脅。我們會定期更新 Event Threat Detection,加入新的偵測工具,以便大規模找出新興威脅。
Event Threat Detection 的運作方式
Event Threat Detection 會監控機構或專案的 Cloud Logging 串流,如果您在機構層級啟用 Security Command Center Premium 級,Event Threat Detection 會使用專案建立時的記錄檔,並監控 Google Workspace 記錄。Cloud Logging 包含 API 呼叫和其他動作的記錄項目,這些動作會建立、讀取或修改資源的設定或中繼資料。Google Workspace 記錄會追蹤使用者登入網域的活動,並記錄在 Google Workspace 管理控制台中執行的動作。
記錄檔項目包含狀態和事件資訊,Event Threat Detection 會使用這些資訊快速偵測威脅。Event Threat Detection 會套用偵測邏輯和專屬威脅情報,包括比對觸發指標、視窗式剖析、進階剖析、機器學習和異常偵測,以近乎即時的速度識別威脅。
Event Threat Detection 偵測到威脅時,會將發現項目寫入 Security Command Center。如果您在機構層級啟用 Security Command Center 進階方案,Security Command Center 就能將發現項目寫入 Cloud Logging 專案。您可以透過 Pub/Sub 將 Cloud Logging 和 Google Workspace 記錄檔中的發現項目匯出至其他系統,並使用 Cloud Run 函式處理這些項目。
如果您在機構層級啟用 Security Command Center Premium 方案,還可以使用 Google Security Operations 調查部分發現項目。Google SecOps 是一項 Google Cloud 服務,可讓您調查威脅,並在統一的時間軸中,透過相關實體進行樞紐分析。如需將發現項目傳送至 Google SecOps 的操作說明,請參閱「在 Google SecOps 中調查發現項目」。
您能否查看及編輯調查結果和記錄,取決於您獲得的身分與存取權管理 (IAM) 角色。如要進一步瞭解 Security Command Center 身分與存取權管理角色,請參閱「存取權控管」。
Event Threat Detection 規則
規則會定義 Event Threat Detection 偵測到的威脅類型,以及偵測器運作時必須啟用的記錄類型。系統一律會寫入管理員活動稽核記錄,且該記錄無法設定或停用。
Event Threat Detection 包含下列預設規則:
| 顯示名稱 | API 名稱 | 記錄來源類型 | 說明 |
|---|---|---|---|
| 主動掃描:Log4j 容易受到 RCE 攻擊 | 無法使用 | Cloud DNS 記錄 | 啟動 Log4j 安全漏洞掃描器,並識別未經過模糊處理的網域 DNS 查詢。 這個安全漏洞可能導致遠端執行程式碼 (RCE)。發現項目預設會分類為「高」嚴重程度。 |
| 影響:已刪除 Google Cloud 備份和災難復原主機 | BACKUP_HOSTS_DELETE_HOST |
Cloud 稽核記錄: 備份與 DR 服務管理員活動稽核記錄 |
主機已從備份和災難復原管理控制台中刪除。與已刪除主機相關聯的應用程式可能無法受到保護。發現結果預設會分類為「低」嚴重程度。 |
| 影響:Google Cloud 備份和災難復原服務會使映像檔過期 | BACKUP_EXPIRE_IMAGE |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
使用者要求從備份和災難復原管理控制台刪除備份映像檔。刪除備用圖片不會影響日後的備份作業。發現項目預設會分類為「中」嚴重程度。 |
| 影響:Google Cloud 備份和災難復原移除方案 | BACKUP_REMOVE_PLAN |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
您已從備份和災難復原服務中,刪除應用程式的多項政策備份方案。刪除備份方案可能會導致日後無法備份。發現項目預設會分類為「中」嚴重程度。 |
| 影響:Google Cloud 備份和災難復原會使所有映像檔過期 | BACKUP_EXPIRE_IMAGES_ALL |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
使用者透過備份和災難復原管理控制台,要求刪除受保護應用程式的所有備份映像檔。刪除備用圖片不會影響日後的備份作業。發現項目預設會分類為「高」嚴重性。 |
| 影響:Google Cloud 備份和災難復原刪除範本 | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
您從備份和災難復原管理控制台刪除了預先定義的備份範本,該範本用於設定多個應用程式的備份作業。日後可能無法設定備份。發現項目預設會分類為「中」嚴重程度。 |
| 影響:Google Cloud 備份與 DR 刪除政策 | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
備份與 DR 政策 (定義備份方式和儲存位置) 已從備份與 DR 管理控制台中刪除。使用該政策的未來備份作業可能會失敗。發現結果預設會分類為「低」嚴重程度。 |
| 影響:Google Cloud 備份和災難復原刪除設定檔 | BACKUP_PROFILES_DELETE_PROFILE |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
從備份和災難復原管理控制台刪除了備份和災難復原設定檔,該設定檔定義了應使用哪些儲存空間集區來儲存備份。日後使用該設定檔的備份作業可能會失敗。發現結果預設會分類為「低」嚴重程度。 |
| 影響:移除 Google Cloud 備份和災難復原設備 | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
備份設備已從備份和災難復原管理控制台中刪除。與已刪除備份裝置相關聯的應用程式可能無法受到保護。發現項目預設會分類為「中」嚴重程度。 |
| 影響:Google Cloud 備份與 DR 刪除儲存空間集區 | BACKUP_STORAGE_POOLS_DELETE |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
儲存空間集區 (將 Cloud Storage 值區與備份和災難復原建立關聯) 已從備份和災難復原管理控制台中移除。日後備份至這個儲存空間目標 將會失敗。發現結果預設會分類為「低」嚴重程度。 |
| 影響:Google Cloud 備份與 DR 縮短備份到期日 | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
透過備份和災難復原管理控制台,縮短受備份和災難復原服務保護的備份到期日。發現結果預設會分類為「低」嚴重程度。 |
| 影響:Google Cloud 備份與 DR 減少備份頻率 | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
修改備份和災難復原備份時間表,透過備份和災難復原管理控制台降低備份頻率。發現結果預設會分類為「低」嚴重程度。 |
| 影響:已刪除 Google Cloud 備份和災難復原 Vault | BACKUP_DELETE_VAULT |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
已刪除 backup vault。發現項目預設會分類為「高」嚴重性。 |
| 影響:已刪除 Google Cloud 備份與 DR 備份 | BACKUP_DELETE_VAULT_BACKUP |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
手動刪除了儲存在 backup vault 的備份。發現項目預設會分類為「高」嚴重性。 |
| 影響:已刪除 Google Cloud 備份與災難復原方案關聯 | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Cloud 稽核記錄: 備份與 DR 管理員活動稽核記錄 |
已從工作負載中移除備份和災難復原服務的備份方案。發現項目預設會分類為「高」嚴重性。 |
| SSH 暴力攻擊 | BRUTE_FORCE_SSH |
authlog | 攻擊者透過暴力破解技術,成功取得主機的 SSH 存取權。發現項目預設會分類為「高」嚴重性。 |
| Cloud IDS:THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Cloud IDS 記錄 |
Cloud IDS 偵測到威脅事件。 Cloud IDS 會分析鏡像封包,偵測第 7 層攻擊,並在偵測到威脅事件時,將威脅類別的發現結果傳送至 Security Command Center。找出以「Cloud IDS」開頭的類別名稱,後面接上 Cloud IDS 威脅 ID。 Cloud IDS 與事件威脅偵測的整合功能不包含 Cloud IDS 漏洞偵測。發現結果預設會分類為「低」嚴重程度。 如要進一步瞭解 Cloud IDS 偵測結果,請參閱 Cloud IDS 記錄資訊。 |
| 權限提升:外部成員新增至特殊權限群組 | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Google Workspace 記錄: 登入稽核 權限: DATA_READ
|
外部成員已新增至具備特殊權限的 Google 群組 (獲派敏感角色或權限的群組)。只有在群組中沒有與新加入成員來自同一機構的其他外部成員時,系統才會產生調查結果。詳情請參閱「不安全的 Google 網上論壇變更」。 這項發現項目不適用於專案層級的啟用作業。系統會根據與群組變更相關聯的角色敏感度,將調查結果歸類為高或中嚴重程度。詳情請參閱「敏感的身分與存取權管理角色和權限」。 |
| 提權:特殊權限群組對外公開 | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: 管理員稽核 權限: DATA_READ
|
特殊權限 Google 群組 (獲派敏感角色或權限的群組) 已變更為一般大眾可存取。詳情請參閱「不安全的 Google 網上論壇變更」。 這項發現項目不適用於專案層級的啟用作業。系統會根據與群組變更相關聯的角色敏感度,將調查結果歸類為「高」或「中」嚴重程度。詳情請參閱「敏感的身分與存取權管理角色和權限」。 |
| 權限提升:將敏感角色授予混合群組 | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
敏感角色已授予含有外部成員的 Google 群組。詳情請參閱「不安全的 Google 網上論壇變更」。 這項發現項目不適用於專案層級的啟用作業。系統會根據與群組變更相關聯的角色敏感度,將調查結果歸類為「高」或「中」嚴重程度。詳情請參閱「敏感的身分與存取權管理角色和權限」。 |
| 規避防禦機制:建立急用權限工作負載部署作業 (預先發布版) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud 稽核記錄: 管理員活動記錄 |
工作負載部署時使用急用權限旗標,覆寫二進位授權控管機制。發現結果預設會分類為「低」嚴重程度。 |
| 規避防禦機制:更新急用權限工作負載部署作業 (預先發布版) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud 稽核記錄: 管理員活動記錄 |
工作負載更新時,以急用權限旗標覆寫二進位授權控管機制。發現結果預設會分類為「低」嚴重程度。 |
| 規避防護功能:已修改 GCS bucket IP 篩選 (預先發布版) | GCS_BUCKET_IP_FILTERING_MODIFIED |
Cloud 稽核記錄: 管理員活動記錄 |
使用者或服務帳戶變更了 Cloud Storage 值區的 IP 篩選設定。 |
| 規避防護功能:修改 VPC Service Controls | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud 稽核記錄 VPC Service Controls 稽核記錄 |
現有的 VPC Service Controls 範圍已變更,導致該範圍提供的保護措施減少。 這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 規避防禦措施:已停用專案 HTTP 政策封鎖 (預覽版) | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Cloud 稽核記錄: 管理員活動記錄 |
使用者或服務帳戶已成功觸發動作,在專案中停用 storage.secureHttpTransport。在機構或資料夾層級採取行動時,也會發生這種情況,因為預設情況下,子專案會沿用這個層級套用的政策。 |
| 探索:可以取得機密 Kubernetes 物件檢查 | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud 稽核記錄: GKE 資料存取記錄 |
可能有惡意的行為人試圖使用
發現結果預設會分類為「低」嚴重程度。 |
| 探索:服務帳戶自我調查 | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud 稽核記錄: IAM 資料存取稽核記錄 權限: DATA_READ
|
系統使用 IAM 服務帳戶憑證,調查與該服務帳戶相關聯的角色和權限。 敏感角色 系統會根據授予角色的敏感度,將發現項目歸類為高或中嚴重程度。詳情請參閱「敏感的身分與存取權管理角色和權限」。 |
| 規避防禦機制:來自匿名 Proxy 的存取 | ANOMALOUS_ACCESS |
Cloud 稽核記錄: 管理員活動記錄 |
Google Cloud 服務修改作業來自與 Tor 網路相關聯的 IP 位址。發現項目預設會分類為「中」嚴重程度。 |
| 竊取:BigQuery 資料竊取 | DATA_EXFILTRATION_BIG_QUERY |
Cloud Audit Logs:
BigQueryAuditMetadata 資料存取記錄 權限: DATA_READ
|
偵測下列情況:
|
| 竊取:擷取 BigQuery 資料 | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud Audit Logs:
BigQueryAuditMetadata 資料存取記錄 權限: DATA_READ
|
偵測下列情況:
如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。發現結果預設會分類為「低」嚴重程度。 |
| 竊取:將 BigQuery 資料匯出至 Google 雲端硬碟 | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud Audit Logs:
BigQueryAuditMetadata 資料存取記錄 權限: DATA_READ
|
受保護機構擁有的 BigQuery 資源已透過擷取作業儲存至 Google 雲端硬碟資料夾。發現結果預設為「低」嚴重程度。 |
| 竊取:移至公開 BigQuery 資源 | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Cloud Audit Logs:
BigQueryAuditMetadata 資料存取記錄 權限: DATA_READ
|
BigQuery 資源已儲存至貴機構擁有的公開資源。發現項目預設會分類為「中」嚴重程度。 |
| 竊取資料:Cloud SQL 資料外洩 |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud 稽核記錄:
MySQL 資料存取記錄 PostgreSQL 資料存取記錄 SQL Server 資料存取記錄 |
偵測下列情況:
如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。發現項目預設會分類為「高」嚴重程度。 |
| 竊取資料:將 Cloud SQL 備份還原至外部機構 | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit Logs:
MySQL 管理員活動記錄 PostgreSQL 管理員活動記錄 SQL Server 管理員活動記錄 |
Cloud SQL 執行個體的備份已還原至貴機構外部的執行個體。發現項目預設會分類為「高」嚴重程度。 |
| 外洩:Cloud SQL 權限過度授予 | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs:
PostgreSQL 資料存取記錄 注意:您必須啟用 pgAudit 擴充功能,才能使用這項規則。 |
PostgreSQL 適用的 Cloud SQL 使用者或角色已取得下列項目的所有權限:某個資料庫,或是結構定義中的所有資料表、程序或函式。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取權:資料庫超級使用者寫入使用者資料表 | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud 稽核記錄:
PostgreSQL 適用的 Cloud SQL 資料存取記錄 MySQL 適用的 Cloud SQL 資料存取記錄 注意:您必須為 PostgreSQL 啟用 pgAudit 擴充功能,或為 MySQL 啟用資料庫稽核 ,才能使用這項規則。 |
Cloud SQL 超級使用者 (PostgreSQL 伺服器為 postgres,MySQL 使用者為 root) 寫入非系統資料表。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:AlloyDB 權限過度授予 | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs:
PostgreSQL 適用的 AlloyDB 資料存取記錄 注意:您必須啟用 pgAudit 擴充功能,才能使用這項規則。 |
PostgreSQL 適用的 AlloyDB 使用者或角色已取得資料庫的所有權限,或是結構定義中的所有資料表、程序或函式。發現結果預設會分類為「低」嚴重程度。 |
| 權限提升:AlloyDB 資料庫超級使用者寫入使用者資料表 | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:
PostgreSQL 適用的 AlloyDB 資料存取記錄 注意:您必須啟用 pgAudit 擴充功能,才能使用這項規則。 |
PostgreSQL 適用的 AlloyDB 超級使用者 (postgres) 寫入非系統資料表。發現結果預設會分類為「低」嚴重程度。
|
| 初始存取權:休眠服務帳戶動作 | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud 稽核記錄: 管理員活動記錄 | 閒置的使用者代管服務帳戶觸發了動作。在此情況下,如果服務帳戶閒置超過 180 天,就會視為休眠帳戶。發現項目預設會分類為「高」嚴重性。 |
| 權限提升:休眠服務帳戶獲得敏感角色 | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
休眠的 使用者管理服務帳戶獲派一或多個敏感 IAM 角色。在此情況下,如果服務帳戶閒置超過 180 天,就會視為休眠帳戶。 敏感角色 系統會根據授予角色的敏感度,將發現項目歸類為高或中嚴重程度。發現項目預設會分類為「中」嚴重程度。詳情請參閱「敏感的身分與存取權管理角色和權限」。 |
| 權限提升:已授予休眠服務帳戶身分的模擬角色 | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 | 主體已獲授權 模擬處於閒置狀態的使用者管理服務帳戶。在此情況下,如果服務帳戶閒置超過 180 天,就會視為休眠帳戶。發現項目預設會分類為「中」嚴重程度。 |
| 初始存取權:已建立休眠服務帳戶金鑰 | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud 稽核記錄: 管理員活動記錄 | 為閒置的使用者代管服務帳戶建立金鑰。 在此情況下,如果服務帳戶閒置超過 180 天,就會視為休眠帳戶。發現項目預設會分類為「高」嚴重性。 |
| 初始存取:使用外洩的服務帳戶金鑰 | LEAKED_SA_KEY_USED |
Cloud 稽核記錄:
管理員活動記錄 資料存取記錄 |
系統使用外洩的服務帳戶金鑰驗證動作。在此情況下,外洩的服務帳戶金鑰是指發布到公開網際網路的金鑰。發現項目預設會分類為「高」嚴重性。 |
| 初始存取權:因過度授權而遭拒的動作 | EXCESSIVE_FAILED_ATTEMPT |
Cloud 稽核記錄: 管理員活動記錄 | 主體嘗試透過多種方法和服務進行變更,因此重複觸發權限遭拒錯誤。發現項目預設會分類為「中」嚴重程度。 |
| 持續性:高強度驗證已停用 |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: 管理員稽核 |
機構已停用兩步驟驗證。 這項發現項目不適用於專案層級的啟用作業。發現項目預設會分類為「中」嚴重程度。 |
| 削弱防禦機制:停用兩步驟驗證 |
2SV_DISABLE
|
Google Workspace 記錄: 登入稽核 權限: DATA_READ
|
使用者停用了兩步驟驗證。 這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取權:帳戶已停用遭入侵 |
ACCOUNT_DISABLED_HIJACKED
|
Google Workspace 記錄: 登入稽核 權限: DATA_READ
|
使用者的帳戶因可疑活動而遭到停權。 這項發現項目不適用於專案層級的啟用作業。發現項目預設會分類為「中」嚴重程度。 |
| 初始存取權:已停用密碼外洩 |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Google Workspace 記錄: 登入稽核 權限: DATA_READ
|
系統偵測到密碼外洩,因此停用了使用者的帳戶。 這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取:受到政府資助的入侵者攻擊 |
GOV_ATTACK_WARNING
|
Google Workspace 記錄: 登入稽核 權限: DATA_READ
|
受到某些政府支援的攻擊者可能試圖駭進使用者帳戶或電腦。 這項發現項目不適用於專案層級的啟用作業。發現項目預設會分類為「高」嚴重程度。 |
| 初始存取:嘗試惡意利用 Log4j | 無法使用 |
Cloud 負載平衡記錄: Cloud HTTP 負載平衡器 注意:您必須啟用外部應用程式負載平衡器記錄功能,才能使用這項規則。 |
系統在標頭或網址參數中偵測到 Java Naming and Directory Interface (JNDI) 查閱。這些查詢可能表示有人嘗試利用 Log4Shell 漏洞。這些發現事項的嚴重程度較低,因為它們只表示偵測到或嘗試入侵,而非弱點或入侵。 這項規則一律會開啟。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取權:已封鎖可疑的登入活動 |
SUSPICIOUS_LOGIN
|
Google Workspace 記錄: 登入稽核 權限: DATA_READ
|
系統偵測到有人試圖登入使用者的帳戶,但已封鎖該活動。 這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| Log4j 惡意軟體:無效網域 | LOG4J_BAD_DOMAIN |
Cloud DNS 記錄 | 系統偵測到 Log4j 攻擊中使用的已知網域連線或查詢,因此判斷為 Log4j 攻擊流量。發現結果預設會分類為「低」嚴重程度。 |
| Log4j 惡意軟體:無效 IP | LOG4J_BAD_IP |
虛擬私有雲流量記錄 防火牆規則記錄 Cloud NAT 記錄 |
系統偵測到連線至 Log4j 攻擊中使用的已知 IP 位址,因此判斷為 Log4j 攻擊流量。發現結果預設會分類為「低」嚴重程度。 |
| 惡意軟體:無效網域 | MALWARE_BAD_DOMAIN |
Cloud DNS 記錄 | 系統根據連線或查閱已知不良網域的結果,偵測到惡意軟體。發現結果預設會分類為「低」嚴重程度。 |
| 惡意軟體:無效 IP | MALWARE_BAD_IP |
虛擬私有雲流量記錄 防火牆規則記錄 Cloud NAT 記錄 |
系統偵測到連線至已知惡意 IP 位址,因此判定為惡意軟體。發現結果預設會分類為「低」嚴重程度。 |
| 惡意軟體:加密貨幣挖礦無效網域 | CRYPTOMINING_POOL_DOMAIN |
Cloud DNS 記錄 | 系統偵測到連線至或查詢已知挖礦網域,因此判定為加密貨幣挖礦。發現結果預設會分類為「低」嚴重程度。 |
| 惡意軟體:加密貨幣挖礦無效 IP | CRYPTOMINING_POOL_IP |
虛擬私有雲流量記錄 防火牆規則記錄 Cloud NAT 記錄 |
系統偵測到連至已知挖礦 IP 位址的連線,因此判斷為加密貨幣挖礦活動。發現結果預設會分類為「低」嚴重程度。 |
| 持續性:GCE 管理員新增安全殼層金鑰 | GCE_ADMIN_ADD_SSH_KEY |
Cloud 稽核記錄: Compute Engine 管理員活動稽核記錄 |
已修改已建立執行個體 (超過 1 週) 的 Compute Engine 執行個體中繼資料 SSH 金鑰值。發現結果預設會分類為「低」嚴重程度。 |
| 持續性:GCE 管理員新增開機指令碼 | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud 稽核記錄: Compute Engine 管理員活動稽核記錄 |
已在建立超過 1 週的執行個體上,修改 Compute Engine 執行個體中繼資料開機指令碼值。發現結果預設會分類為「低」嚴重程度。 |
| 持續性:身分與存取權管理異常授權 | IAM_ANOMALOUS_GRANT |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
這項發現包含子規則,可提供這項發現每個例項的更具體資訊。 以下列出所有可能的子規則:
|
| 持續性:非代管帳戶獲授機密角色 (預覽版) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
已將敏感角色授予非代管帳戶。發現項目預設會分類為「高」嚴重性。 |
| 持續性:新的 API 方法 |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud 稽核記錄: 管理員活動記錄 |
IAM 服務帳戶異常存取 Google Cloud 服務。發現結果預設會分類為「低」嚴重程度。 |
| 持續:新地理區域 | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud 稽核記錄: 管理員活動記錄 |
根據要求 IP 位址的地理位置,從異常位置存取的 IAM 使用者和服務帳戶。 Google Cloud 這項發現項目不適用於專案層級的啟用作業,且預設會歸類為低嚴重程度。 |
| 持續性:新使用者代理程式 | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud 稽核記錄: 管理員活動記錄 |
從異常或可疑的使用者代理程式存取 IAM 服務帳戶。 Google Cloud 這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 持續性:單一登入 (SSO) 啟用切換開關 |
TOGGLE_SSO_ENABLED
|
Google Workspace: 管理員稽核 |
管理員帳戶的「啟用 SSO (單一登入)」設定已停用。 這項發現項目不適用於專案層級的啟用作業。發現項目預設會分類為「高」嚴重程度。 |
| 持續性:單一登入 (SSO) 設定已變更 |
CHANGE_SSO_SETTINGS
|
Google Workspace: 管理員稽核 |
已變更管理員帳戶的單一登入 (SSO) 設定。 這項發現項目不適用於專案層級的啟用作業。發現項目預設會分類為「高」嚴重程度。 |
| 權限提升:有人冒用服務帳戶,並出現異常的管理員活動 | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud 稽核記錄: 管理員活動記錄 |
系統偵測到有人可能冒用服務帳戶,並從事管理活動。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:管理員活動的異常多步驟服務帳戶委派項目 | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud 稽核記錄: 管理員活動記錄 |
系統偵測到管理活動的異常多步驟委派要求。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:資料存取權的異常多步驟服務帳戶委派項目 | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud 稽核記錄: 資料存取記錄 |
系統偵測到資料存取活動出現異常多步驟 委派要求。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:管理員活動的異常服務帳戶模擬者 | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud 稽核記錄: 管理員活動記錄 |
在委派鏈中,可能出現異常的呼叫者或模擬者,並用於管理活動。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:有人冒用服務帳戶,並出現異常的資料存取活動 | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud 稽核記錄: 資料存取記錄 |
資料存取活動可能使用了委派鏈中的異常呼叫者或冒用者。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:變更機密 Kubernetes RBAC 物件 | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud 稽核記錄: GKE 管理員活動記錄 |
為提升權限,可能有惡意的行為人試圖使用 PUT 或 PATCH 要求,修改機密
cluster-admin 角色的 ClusterRole、RoleBinding 或 ClusterRoleBinding 角色式存取權控管 (RBAC) 物件。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:建立主憑證的 Kubernetes CSR | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud 稽核記錄: GKE 管理員活動記錄 |
可能有惡意的行為人建立了 Kubernetes 主憑證簽署要求 (CSR),藉此取得
cluster-admin 存取權。發現項目預設會分類為「高」嚴重性。
|
| 權限提升:建立機密 Kubernetes 繫結 | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
為提升權限,可能有惡意的行為人試圖為
cluster-admin
角色建立新的 RoleBinding 或 ClusterRoleBinding 物件。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:取得啟動憑證外洩的 Kubernetes CSR | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud 稽核記錄: GKE 資料存取記錄 |
可能有惡意的行為人使用了外洩的啟動憑證,以 kubectl 指令查詢
憑證簽署要求 (CSR)。發現項目預設會分類為「高」嚴重性。
|
| 權限提升:啟動具備特殊權限的 Kubernetes 容器 | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud 稽核記錄: GKE 管理員活動記錄 |
可能有惡意的行為人建立了 Pod,當中的容器具備特殊權限或權限提升功能。
特殊權限容器的 |
| Persistence: Service Account Key Created | SERVICE_ACCOUNT_KEY_CREATION |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
系統已建立服務帳戶金鑰。服務帳戶金鑰是長期有效的憑證,會增加未經授權存取 Google Cloud資源的風險。發現結果預設會分類為「低」嚴重程度。 |
| 提權:新增全域關機指令碼 | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
專案中新增了全域關機指令碼。發現結果預設會分類為「低」嚴重程度。 |
| 持續:新增全域開機指令碼 | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
專案中新增了全域開機指令碼。發現結果預設會分類為「低」嚴重程度。 |
| 規避防護功能:新增機構層級服務帳戶權杖建立者角色 | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
在機構層級授予 服務帳戶權杖建立者 IAM 角色。發現結果預設會分類為「低」嚴重程度。 |
| 規避防禦措施:新增專案層級服務帳戶權杖建立者角色 | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
專案層級已授予 服務帳戶權杖建立者 IAM 角色。發現結果預設會分類為「低」嚴重程度。 |
| 橫向移動:透過服務帳戶執行 OS 修補作業 | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud 稽核記錄。 IAM 管理員活動稽核記錄 |
服務帳戶使用 Compute Engine 修補程式功能,更新目前正在執行的任何 Compute Engine 執行個體作業系統。發現結果預設會分類為「低」嚴重程度。 |
| 橫向移動:附加至執行個體的開機磁碟已修改 (預先發布版) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud 稽核記錄: Compute Engine 稽核記錄 |
開機磁碟已從一個 Compute Engine 執行個體卸離,並連接至另一個執行個體,這可能表示有人企圖使用修改過的開機磁碟入侵系統。發現結果預設會分類為「低」嚴重程度。 |
| 憑證存取:在 Kubernetes 命名空間存取密鑰 | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud 稽核記錄: GKE 資料存取記錄 |
目前 Kubernetes 命名空間中的服務帳戶存取了 Secret 或服務帳戶權杖。發現結果預設會分類為「低」嚴重程度。 |
| 資源開發:有問題的安全性發行版本活動 | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
透過已知的滲透測試或攻擊性安全發行版本,成功操控資源。 Google Cloud 發現結果預設會分類為「低」嚴重程度。 |
| 權限提升:新服務帳戶是擁有者或編輯者 | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
為專案建立具備「編輯者」或「擁有者」角色的新服務帳戶。發現結果預設會分類為「低」嚴重程度。 |
| 探索:使用資訊收集工具 | INFORMATION_GATHERING_TOOL_USED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
系統偵測到 ScoutSuite 用量。ScoutSuite 是一項雲端安全稽核工具,據瞭解,攻擊者會使用這項工具。發現結果預設會分類為「低」嚴重程度。 |
| 權限提升:可疑的權杖產生作業 | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
iam.serviceAccounts.implicitDelegation 權限遭到濫用,用來從權限較高的服務帳戶產生存取權杖。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:可疑的權杖產生作業 | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
服務帳戶使用
serviceAccounts.signJwt
方法,為其他服務帳戶產生存取權杖。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:可疑的權杖產生作業 | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 權限提升:可疑的權杖產生作業 | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 權限提升:可疑的跨專案權限使用行為 | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
這項發現項目不適用於專案層級的啟用作業。發現結果預設會分類為「低」嚴重程度。 |
| 命令與控制:DNS 通道 | DNS_TUNNELING_IODINE_HANDSHAKE |
Cloud DNS 記錄 | 系統偵測到 DNS 通道工具 Iodine 的握手程序。發現結果預設會分類為「低」嚴重程度。 |
| 規避防禦機制:嘗試混充虛擬私有雲路徑 | VPC_ROUTE_MASQUERADE |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
手動建立偽裝成 Google Cloud 預設路徑的虛擬私有雲路徑,允許輸出流量流向外部 IP 位址。發現項目預設會分類為「高」嚴重性。 |
| 影響:計費功能已停用 | BILLING_DISABLED_SINGLE_PROJECT |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
專案的計費功能已停用。發現結果預設會分類為「低」嚴重程度。 |
| 影響:計費功能已停用 | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
機構內的多個專案在短時間內停用計費功能。發現結果預設會分類為「低」嚴重程度。 |
| 影響:虛擬私有雲防火牆進行高優先順序封鎖作業 | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
系統已新增優先順序為 0 的虛擬私有雲防火牆規則,封鎖所有輸出流量。發現結果預設會分類為「低」嚴重程度。 |
| 影響:大量刪除虛擬私有雲防火牆規則暫時無法使用 | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
虛擬私有雲防火牆規則遭非服務帳戶大量刪除。 這項規則暫時無法使用。如要監控防火牆規則的更新,請使用 Cloud 稽核記錄。發現結果預設會分類為「低」嚴重程度。 |
| 影響:停用服務 API | SERVICE_API_DISABLED |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
實際執行環境中的 Google Cloud 服務 API 已停用。發現結果預設會分類為「低」嚴重程度。 |
| 影響:將代管執行個體群組的自動調度資源機制設為最大值 | MIG_AUTOSCALING_SET_TO_MAX |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
代管執行個體群組已設定為自動調度資源上限。發現結果預設會分類為「低」嚴重程度。 |
| 探索:未經授權的服務帳戶 API 呼叫 | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud 稽核記錄: IAM 管理員活動稽核記錄 |
服務帳戶發出未經授權的跨專案 API 呼叫。發現結果預設會分類為「低」嚴重程度。 |
| 規避防禦機制:匿名工作階段獲授予叢集管理員存取權 | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud 稽核記錄: GKE 管理員活動記錄 |
系統已建立角色型存取權控管 (RBAC) ClusterRoleBinding 物件,將 root-cluster-admin-binding 行為新增至匿名使用者。發現結果預設會分類為「低」嚴重程度。
|
| 持續:AI 服務的新地理區域 | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud 稽核記錄: 管理員活動記錄 |
IAM 使用者和服務帳戶從異常位置存取 Google Cloud AI 服務,判斷依據是要求 IP 位址的地理位置。 這項發現項目不適用於專案層級的啟用作業,且預設會歸類為低嚴重程度。 |
| 權限提升:AI 管理員活動出現異常多步驟服務帳戶委派情況 | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud 稽核記錄: 管理員活動記錄 |
系統偵測到 AI 服務的管理活動出現異常多步驟委派要求。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:AI 資料存取出現異常多步驟服務帳戶委派情況 | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud 稽核記錄: 資料存取記錄 |
系統偵測到 AI 服務的資料存取活動出現異常多步驟委派要求。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:AI 管理員活動出現異常服務帳戶模擬者 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud 稽核記錄: 管理員活動記錄 |
在委派鏈中,可能出現異常的呼叫者或模擬者,用於 AI 服務的管理活動。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:AI 資料存取出現異常服務帳戶模擬者 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud 稽核記錄: 資料存取記錄 |
在委派鏈中,可能出現異常的呼叫者或模擬者,用於 AI 服務的資料存取活動。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:AI 管理員活動出現異常服務帳戶模擬者 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud 稽核記錄: 管理員活動記錄 |
系統偵測到有人可能冒用服務帳戶,對 AI 服務執行管理活動。發現項目預設會分類為「中」嚴重程度。 |
| 持續性:新 AI API 方法 |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud 稽核記錄: 管理員活動記錄 |
IAM 服務帳戶異常存取 Google Cloud AI 服務。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取權:AI 服務中的休眠服務帳戶活動 | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud 稽核記錄: 管理員活動記錄 | 休眠的使用者代管服務帳戶在 AI 服務中觸發動作。在此情況下,如果服務帳戶閒置超過 180 天,就會視為休眠帳戶。發現項目預設會分類為「高」嚴重性。 |
| 初始存取:透過網際網路匿名建立 GKE 資源 (預覽版) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud 稽核記錄: GKE 管理員活動記錄。發現項目預設會分類為「高」嚴重性。 |
資源是由匿名網路使用者建立。 |
| 初始存取:透過網際網路匿名修改 GKE 資源 (預先發布版) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud 稽核記錄: GKE 管理員活動記錄 |
資源遭到 匿名網路使用者操控。發現項目預設會分類為「高」嚴重性。 |
| 權限提升:已將 GKE 叢集存取權授予確實匿名的使用者 | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人建立的 RBAC 繫結參照了下列使用者或群組:
這些使用者和群組實際上是匿名的,因此建立任何 RBAC 角色的角色繫結或叢集角色繫結時,應避免使用這些使用者和群組。請檢查繫結,確認是否必要。如果繫結並非必要,請移除。發現項目預設會分類為「中」嚴重程度。 |
| 執行作業:對系統 Pod 執行可疑的 exec 或 attach 指令 (預先發布版) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人使用 exec 或 attach 指令取得殼層,或在 kube-system 命名空間中執行的容器上執行指令。有時會基於正當的偵錯目的使用這些方法。不過,kube-system 命名空間適用於 Kubernetes 建立的系統物件,因此應檢查非預期的指令執行或殼層建立作業。發現項目預設會分類為「中」嚴重程度。
|
| 權限提升:透過敏感主機路徑掛接而建立的工作負載 (預先發布版) | GKE_SENSITIVE_HOSTPATH |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人建立的工作負載包含 hostPath 磁碟區,並掛接至主機節點檔案系統中的敏感路徑。存取主機檔案系統上的這些路徑,可用於存取節點上的具備權限或敏感資訊,以及用於容器逸出。請盡可能不要在叢集中使用任何 hostPath 磁碟區。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:已啟用 ShareProcessNamespace 的工作負載 (搶先版) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人部署工作負載時,將 shareProcessNamespace 選項設為 true,允許所有容器共用相同的 Linux 程序命名空間。這可能會導致不受信任或遭入侵的容器存取及控管環境變數、記憶體和其他敏感資料,進而提升權限。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:具有權限動詞的 ClusterRole (預先發布版) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人建立包含 bind、escalate 或 impersonate 動詞的 RBAC ClusterRole。如果主體繫結至具有這些動詞的角色,就能模擬其他具備更高權限的使用者、繫結至含有其他權限的其他 Roles 或 ClusterRoles,或是修改自己的 ClusterRole 權限。這可能會導致這些主體取得叢集管理員權限。發現結果預設會分類為「低」嚴重程度。
|
| 權限提升:透過 ClusterRoleBinding 使角色獲得特殊權限 | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人建立參照預設 ClusterRoleBinding 的 RBAC system:controller:clusterrole-aggregation-controller
ClusterRole。這個預設 ClusterRole 具有 escalate 動詞,可讓主體修改自身角色的權限,進而提升權限。發現結果預設會分類為「低」嚴重程度。
|
| 規避防禦機制:手動刪除憑證簽署要求 (CSR) | GKE_MANUALLY_DELETED_CSR |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人手動刪除了憑證簽署要求 (CSR)。垃圾收集控制器會自動移除 CSR,但惡意行為者可能會手動刪除 CSR,以規避偵測。如果刪除的 CSR 是已核准並核發的憑證,惡意行為人現在就多了一種驗證方法,可存取叢集。憑證的相關權限取決於憑證包含的主體,但可能具有高度權限。Kubernetes 不支援憑證撤銷。發現結果預設會分類為「低」嚴重程度。 |
| 憑證存取:試圖核准 Kubernetes 憑證簽署要求 (CSR),但並未成功 | GKE_APPROVE_CSR_FORBIDDEN |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人嘗試手動核准憑證簽署要求 (CSR),但該動作失敗。建立叢集驗證憑證是攻擊者常用的手法,可持續存取遭入侵的叢集。憑證的相關權限取決於憑證包含的主體,但可能屬於高權限。發現結果預設會分類為「低」嚴重程度。 |
| 憑證存取:手動核准 Kubernetes 憑證簽署要求 (CSR) (預覽版) | GKE_CSR_APPROVED |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人手動核准憑證簽署要求 (CSR)。攻擊者通常會建立叢集驗證用的憑證,以便持續存取遭入侵的叢集。憑證的相關權限取決於憑證包含的主體,但可能具有高度權限。發現結果預設會分類為「低」嚴重程度。 |
| 執行:疑似使用反向殼層引數建立的 Kubernetes Pod | GKE_REVERSE_SHELL_POD |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人建立的 Pod 含有通常與反向殼層相關聯的指令或引數。攻擊者會使用反向 Shell 擴大或維持對叢集的初始存取權,並執行任意指令。發現項目預設會分類為「中」嚴重程度。 |
| 規避防禦機制:潛在的 Kubernetes Pod 偽裝行為 | GKE_POD_MASQUERADING |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人部署的 Pod 命名慣例與 GKE 為一般叢集作業建立的預設工作負載相似。這項技術稱為「偽裝」。發現項目預設會分類為「中」嚴重程度。 |
| 權限提升:可疑的 Kubernetes 容器名稱 - 漏洞與逃逸攻擊 (預覽版) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人部署的 Pod 命名慣例與常見的容器逸出工具相似,或用於對叢集執行其他攻擊。發現項目預設會分類為「中」嚴重程度。 |
| 持續性:在機密命名空間建立服務帳戶 | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人在機密命名空間中建立服務帳戶。kube-system 和 kube-public 命名空間對 GKE 叢集運作至關重要,未經授權的服務帳戶可能會危及叢集穩定性和安全性。發現結果預設會分類為「低」嚴重程度。
|
| 影響:可疑的 Kubernetes 容器名稱 - 加密貨幣挖礦 | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人部署的 Pod 命名慣例與常見的加密貨幣挖礦程式相似。這可能是攻擊者在取得叢集的初始存取權後,嘗試使用叢集資源進行加密貨幣挖礦。發現項目預設會分類為「高」嚴重性。 |
| 執行:在敏感命名空間中觸發工作負載 | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人在 kube-system 或 kube-public 命名空間中部署工作負載 (例如 Pod 或 Deployment)。這些命名空間對 GKE 叢集運作至關重要,未經授權的工作負載可能會影響叢集穩定性或安全性。發現結果預設會分類為「低」嚴重程度。
|
| 執行:啟動具備過多功能的 GKE 容器 (預覽版) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人在安全性內容提升的叢集中,建立具備下列一或多項功能的容器:
|
| 持續性:偵測到 GKE Webhook 設定 | GKE_WEBHOOK_CONFIG_CREATED |
Cloud 稽核記錄: GKE 管理員活動記錄 |
系統在 GKE 叢集中偵測到 Webhook 設定。 Webhook 可以攔截及修改 Kubernetes API 要求,因此攻擊者可能會在叢集中持續存在或操控資源。發現結果預設會分類為「低」嚴重程度。 |
| 規避防禦機制:建立靜態 Pod | GKE_STATIC_POD_CREATED |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人在 GKE 叢集中建立靜態 Pod。 靜態 Pod 會直接在節點上執行,並略過 Kubernetes API 伺服器,因此更難監控及控制。攻擊者可使用靜態 Pod 躲避偵測或維持持續性。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取:透過 TOR Proxy IP 成功發出 API 呼叫 | GKE_TOR_PROXY_IP_REQUEST |
Cloud 稽核記錄: GKE 管理員活動記錄 |
從與 Tor 網路相關聯的 IP 位址,對 GKE 叢集發出 API 呼叫。Tor 提供匿名性,攻擊者經常利用這點隱藏身分。發現項目預設會分類為「高」嚴重性。 |
| 初始存取:已建立 GKE NodePort 服務 | GKE_NODEPORT_SERVICE_CREATED |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人建立了 NodePort 服務。NodePort 服務會直接在節點的 IP 位址和靜態通訊埠上公開 Pod,讓叢集外部可以存取 Pod。這可能會造成重大安全風險,因為攻擊者可能會利用公開服務中的安全漏洞,存取叢集或機密資料。發現項目預設會分類為「中」嚴重程度。 |
| 影響:偵測到 GKE kube-dns 遭到修改 (預先發布版) | GKE_KUBE_DNS_MODIFICATION |
Cloud 稽核記錄: GKE 管理員活動記錄 |
有人修改了 GKE 叢集中的 kube-dns 設定。 GKE kube-dns 是叢集網路的重要元件,設定錯誤可能會導致安全漏洞。發現項目預設會分類為「中」嚴重程度。 |
| 影響:加密貨幣挖礦指令 | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud 稽核記錄: IAM 系統事件稽核記錄 |
執行期間,特定加密貨幣挖礦指令會附加至 Cloud Run 工作。發現項目預設會分類為「高」嚴重性。 |
| 執行:加密貨幣挖礦 Docker 映像檔 | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud 稽核記錄: IAM 系統事件稽核記錄 |
特定已知不良的 Docker 映像檔已附加至新的或現有的 Cloud Run 服務或工作。發現項目預設會分類為「高」嚴重性。 |
| 權限提升:預設 Compute Engine 服務帳戶 SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud 稽核記錄: 管理員活動記錄 |
預設的 Compute Engine 服務帳戶用於設定 Cloud Run 服務的 IAM 政策。如果無伺服器服務的 Compute Engine 權杖遭到入侵,這項操作可能會在攻擊後執行。發現結果預設會分類為「低」嚴重程度。 |
| 初始存取:透過去識別化的 Proxy IP 成功登入 CloudDB | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Cloud Audit Logs:
PostgreSQL 適用的 AlloyDB 資料存取記錄 PostgreSQL 適用的 Cloud SQL 資料存取記錄 MySQL 適用的 Cloud SQL 資料存取記錄 注意:您必須在 PostgreSQL 中啟用 IP 記錄功能,才能將這項規則用於 AlloyDB 和 Postgres。 |
系統偵測到有人從已知的去識別化 IP 位址成功登入資料庫執行個體。這可能表示攻擊者已取得執行個體的初始存取權。 |
| 憑證存取:無法透過去識別化的 Proxy IP 登入 CloudDB | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Cloud Audit Logs:
PostgreSQL 適用的 AlloyDB 資料存取記錄 PostgreSQL 適用的 Cloud SQL 資料存取記錄 MySQL 適用的 Cloud SQL 資料存取記錄 注意:您必須在 PostgreSQL 中啟用 IP 記錄功能,才能將這項規則用於 AlloyDB 和 Postgres。 |
系統偵測到有人從已知的去識別化 IP 位址登入資料庫執行個體失敗。這可能表示攻擊者試圖未經授權存取您的執行個體。 |
Event Threat Detection 的自訂模組
除了內建偵測規則,Event Threat Detection 也提供模組範本,可用於建立自訂偵測規則。詳情請參閱「Event Threat Detection 自訂模組總覽」。
如要建立偵測規則,但沒有可用的自訂模組範本,您可以將記錄資料匯出至 BigQuery,然後執行擷取威脅模型的專屬或週期性 SQL 查詢。
不安全的 Google 群組變更
本節說明 Event Threat Detection 如何使用 Google Workspace 記錄、Cloud 稽核記錄和 IAM 政策,偵測不安全的 Google 群組變更。只有在機構層級啟用 Security Command Center 時,系統才會偵測 Google 群組的變更。
Google Cloud 客戶可以使用 Google 群組,管理機構成員的角色和權限,或對使用者集合套用存取權政策。管理員可以將角色和權限授予 Google 群組,然後將成員新增至特定群組,不必直接授予成員角色。群組成員會繼承群組的所有角色和權限,因此可以存取特定資源和服務。
Google 網路論壇是大規模管理存取控制權的便利方式,但如果將機構或網域外部使用者加入具備權限的群組 (即獲派敏感角色或權限的群組),可能會造成風險。敏感角色可控管安全性與網路設定、記錄和個人識別資訊 (PII) 的存取權,因此不建議授予外部群組成員。
在大型機構中,管理員可能不會注意到外部成員加入具備特殊權限的群組。Cloud Audit Logs 會記錄授予群組的角色,但這些記錄事件不含群組成員的資訊,因此可能會遮蓋部分群組變更的潛在影響。
如果您與 Google Cloud共用 Google Workspace 記錄,事件威脅偵測功能就會監控記錄串流,查看是否有新成員加入貴機構的 Google 群組。由於記錄位於機構層級,只有在機構層級啟用 Security Command Center 時,Event Threat Detection 才能掃描 Google Workspace 記錄。在專案層級啟用 Security Command Center 時,Event Threat Detection 無法掃描這些記錄。
Event Threat Detection 會找出外部群組成員,並使用 Cloud 稽核記錄檢查每個受影響群組的 IAM 角色,確認這些群組是否獲得敏感角色。這項資訊可用於偵測下列 Google 群組的危險變更:
- 外部群組成員新增至特殊權限群組
- 將敏感角色或權限授予含有外部群組成員的群組
- 變更特殊權限群組,允許一般大眾加入
Event Threat Detection 會將發現項目寫入 Security Command Center。調查結果包含新加入的外部成員電子郵件地址、發起活動的內部群組成員、群組名稱,以及與群組相關聯的敏感角色。您可以利用這些資訊從群組中移除外部成員,或撤銷授予群組的敏感角色。
如要進一步瞭解 Event Threat Detection 發現項目,請參閱「Event Threat Detection 規則」。
私密資訊 IAM 角色和權限
本節說明 Event Threat Detection 如何定義敏感的 IAM 角色。只有在變更涉及高或中等敏感度角色時,身分與存取權管理異常授權和不安全的 Google 群組變更等偵測結果,才會產生發現項目。角色的敏感度會影響指派給發現項目的嚴重性評等。
- 高敏感度角色可控管機構中的重要服務,包括帳單、防火牆設定和記錄。符合這些角色的發現項目會歸類為高嚴重性。
- 中等敏感度角色具備編輯權限,可讓主體變更 Google Cloud 資源,以及查看和執行資料儲存服務的權限,這類服務通常會保存敏感資料。指派給發現項目的嚴重程度取決於資源:
- 如果在機構層級授予中等敏感度角色,系統會將調查結果歸類為高嚴重程度。
- 如果在資源階層結構 (資料夾、專案和 bucket 等) 的較低層級授予中等機密程度的角色,系統會將調查結果分類為「中等」嚴重程度。
如果受授予者是外部成員或異常身分 (例如長期處於非使用中狀態的主體),授予這些敏感角色就會被視為危險行為。
將機密角色授予外部成員可能會造成潛在威脅,因為這些角色可能會遭到濫用,導致帳戶遭盜用和資料外洩。
使用這些敏感角色的類別包括:
- 持續性:身分與存取權管理異常授權
- 子規則:
external_service_account_added_to_policy - 子規則:
external_member_added_to_policy
- 子規則:
- 權限提升:將敏感角色授予混合群組
- 權限提升:休眠服務帳戶獲得敏感角色
找出使用部分敏感角色的類別,包括:
- 持續性:身分與存取權管理異常授權
- 子規則:
service_account_granted_sensitive_role_to_member
- 子規則:
service_account_granted_sensitive_role_to_member 子規則一般會同時鎖定外部和內部成員,因此只會使用部分敏感角色,如「事件威脅偵測規則」一文所述。
| 類別 | 角色 | 說明 |
|---|---|---|
| 基本角色:包含所有 Google Cloud 服務的數千項權限。 | roles/owner |
基本角色 |
roles/editor |
||
| 安全性角色:控管安全性設定的存取權 | roles/cloudkms.* |
所有 Cloud Key Management Service 角色 |
roles/cloudsecurityscanner.* |
所有 Web Security Scanner 角色 | |
roles/dlp.* |
所有 Sensitive Data Protection 角色 | |
roles/iam.* |
全部 IAM 角色 | |
roles/secretmanager.* |
所有 Secret Manager 角色 | |
roles/securitycenter.* |
所有 Security Command Center 角色 | |
| 記錄檔角色:控管機構記錄檔的存取權 | roles/errorreporting.* |
所有 Error Reporting 角色 |
roles/logging.* |
所有 Cloud Logging 角色 | |
roles/stackdriver.* |
所有 Cloud Monitoring 角色 | |
| 個人資訊角色:控管對含有個人識別資訊的資源的存取權,包括銀行和聯絡資訊 | roles/billing.* |
所有 Cloud Billing 角色 |
roles/healthcare.* |
所有 Cloud Healthcare API 角色 | |
roles/essentialcontacts.* |
全部 重要聯絡人角色 | |
| 網路角色:控管機構網路設定的存取權 | roles/dns.* |
所有 Cloud DNS 角色 |
roles/domains.* |
所有 Cloud Domains 角色 | |
roles/networkconnectivity.* |
所有 Network Connectivity Center 角色 | |
roles/networkmanagement.* |
所有 Network Connectivity Center 角色 | |
roles/privateca.* |
所有 憑證授權單位服務角色 | |
| 服務角色:控管服務資源的存取權, Google Cloud | roles/cloudasset.* |
所有 Cloud Asset Inventory 角色 |
roles/servicedirectory.* |
所有 Service Directory 角色 | |
roles/servicemanagement.* |
所有 服務管理角色 | |
roles/servicenetworking.* |
全部 Service Networking 角色 | |
roles/serviceusage.* |
全部 服務使用情形角色 | |
| Compute Engine 角色:控管對 Compute Engine 虛擬機器的存取權,這些機器會執行長時間執行的工作,並與防火牆規則相關聯 |
|
所有 Compute Engine 管理員和編輯者角色 |
| 類別 | 角色 | 說明 |
|---|---|---|
| 編輯角色:包含可變更 Google Cloud 資源的權限的 IAM 角色 |
範例:
|
角色名稱通常會以「管理員」、「擁有者」、「編輯者」或「撰寫者」等結尾。 展開表格最後一列的節點,即可查看 所有中等敏感度角色。 |
| 資料儲存角色:包含檢視及執行資料儲存服務權限的 IAM 角色 |
範例:
|
展開表格最後一列的節點,即可查看所有中等敏感度角色 |
|
所有中度敏感角色
Managed Service for Microsoft Active Directory
|
||
記錄類型和啟用規定
本節列出 Event Threat Detection 使用的記錄,以及 Event Threat Detection 在每項記錄中尋找的威脅,並說明您是否需要採取任何行動來啟用每項記錄。
只有在符合下列所有條件時,您才需要為 Event Threat Detection 啟用記錄:
- 您正在使用會寫入記錄的產品或服務。
- 您必須防範事件威脅偵測功能在記錄中偵測到的威脅。
- 記錄是資料存取稽核記錄,或是預設為關閉的其他記錄。
某些威脅可能會在多個記錄中偵測到。如果 Event Threat Detection 可以在已開啟的記錄中偵測到威脅,您就不需要開啟其他記錄來偵測相同威脅。
如果這個部分未列出記錄,即使已開啟 Event Threat Detection,系統也不會掃描該記錄。詳情請參閱「可能多餘的記錄掃描」。
如下表所述,部分記錄類型僅適用於機構層級。如果您在專案層級啟用 Security Command Center,Event Threat Detection 不會掃描這些記錄,也不會產生任何發現項目。
Google Cloud基礎記錄來源
Event Threat Detection 會使用基礎資料來源,偵測網路中可能有害的活動。
如果未啟用虛擬私有雲流量記錄,Event Threat Detection 會立即開始分析獨立、重複的虛擬私有雲流量記錄內部串流。如要進一步調查現有的 Event Threat Detection 發現項目,您需要啟用 VPC 流程記錄,並手動前往記錄檔探索工具和流程分析工具。如果您在稍後啟用虛擬私有雲流量記錄檔,只有日後發現項目會包含相關連結,供您進一步調查。
如果您啟用 Event Threat Detection 並搭配使用虛擬私有雲流程記錄檔,Event Threat Detection 會立即開始分析部署作業中的虛擬私有雲流程記錄檔,並提供 Logs Explorer 和 Flow Analyzer 的連結,協助您進一步調查。
惡意軟體網路偵測記錄
Event Threat Detection 可掃描下列任一記錄,偵測網路中的惡意軟體:
- Cloud DNS 記錄
- Cloud NAT 記錄
- 防火牆規則記錄
- 虛擬私有雲流量記錄
您不需要啟用多個 Cloud NAT 記錄、防火牆規則記錄或虛擬私有雲流量記錄。
如果您已使用 Cloud DNS 記錄,Event Threat Detection 就能透過網域解析偵測惡意軟體。對大多數使用者來說,Cloud DNS 記錄足以偵測網路中的惡意軟體。
如果需要網域解析以外的瀏覽權限層級,可以開啟虛擬私有雲流量記錄,但這可能會產生費用。如要管理這些費用,建議將匯總時間間隔增加至 15 分鐘,並將取樣率降低至 5% 到 10% 之間,但回想率 (較高的樣本) 和費用管理 (較低的取樣率) 之間會有所取捨。詳情請參閱「記錄檔取樣與處理」。
如果您已使用防火牆規則記錄功能或 Cloud NAT 記錄功能,這些記錄檔可取代虛擬私有雲流程記錄檔。
支援的記錄資料和偵測到的威脅
本節列出您可以開啟或設定的 Cloud Logging 和 Google Workspace 記錄,以增加事件威脅偵測可偵測到的威脅數量。
大多數稽核記錄都會顯示特定威脅,例如服務帳戶的異常模擬或委派行為所造成的威脅。針對這類威脅,請根據您使用的產品和服務,決定要開啟哪些記錄。
下表列出可啟用的特定記錄,以及可偵測到的威脅類型。
| 記錄類型 | 偵測到威脅 | 需要調整設定 |
|---|---|---|
| Cloud DNS 記錄 |
|
開啟 Cloud DNS 記錄功能
另請參閱 「網路惡意軟體偵測記錄」。 |
| Cloud NAT 記錄 |
|
開啟 Cloud NAT 記錄
另請參閱「透過網路偵測惡意軟體的記錄」。 |
| 防火牆規則記錄 |
|
開啟防火牆規則記錄功能
另請參閱「透過網路偵測惡意軟體的記錄」。 |
| Google Kubernetes Engine (GKE) 資料存取稽核記錄 |
|
為 GKE 啟用 Logging 資料存取稽核記錄 |
| Google Workspace 管理員稽核記錄 |
|
與 Cloud Logging 共用 Google Workspace 管理員稽核記錄 在專案層級啟用時,無法掃描這個記錄類型。 |
| Google Workspace 登入稽核記錄 |
|
與 Cloud Logging 共用 Google Workspace 登入稽核記錄 在專案層級啟用時,無法掃描這個記錄類型。 |
| 外部應用程式負載平衡器後端服務記錄 | Initial Access: Log4j Compromise Attempt |
開啟外部應用程式負載平衡器記錄功能 |
| Cloud SQL MySQL 資料存取稽核記錄 |
|
為 MySQL 適用的 Cloud SQL 啟用記錄資料存取稽核記錄 |
| Cloud SQL PostgreSQL 資料存取稽核記錄 |
|
|
| PostgreSQL 適用的 AlloyDB 資料存取稽核記錄 |
|
|
| IAM 資料存取稽核記錄 |
Discovery: Service Account Self-Investigation
|
為 Resource Manager 啟用記錄資料存取稽核記錄 |
| SQL Server 資料存取稽核記錄 | Exfiltration: Cloud SQL Data Exfiltration |
為 SQL Server 適用的 Cloud SQL 啟用記錄資料存取稽核記錄 |
| 一般資料存取稽核記錄 |
|
啟用記錄資料存取稽核記錄。 |
| 虛擬機器的 authlogs/authlog | Brute force SSH |
在 VM 主機上安裝作業套件代理程式或舊版記錄代理程式 |
| 虛擬私有雲流量記錄 |
|
啟用虛擬私有雲流量記錄
另請參閱「透過網路偵測惡意軟體的記錄」。 |
一律開啟的記錄
下表列出不需要開啟或設定的 Cloud Logging 記錄。這些記錄一律會啟用,且 Event Threat Detection 會自動掃描這些記錄。
| 記錄類型 | 偵測到威脅 | 需要調整設定 |
|---|---|---|
| BigQueryAuditMetadata 資料存取記錄 |
竊取:BigQuery 資料竊取 竊取:擷取 BigQuery 資料 竊取:將 BigQuery 資料匯出至 Google 雲端硬碟 外洩:移至公開 BigQuery 資源 (預先發布版) |
無 |
| Google Kubernetes Engine (GKE) 管理員活動稽核記錄 |
憑證存取:試圖核准 Kubernetes 憑證簽署要求 (CSR),但並未成功 憑證存取:手動核准 Kubernetes 憑證簽署要求 (CSR) (預覽版) 規避防禦機制:匿名工作階段獲授予叢集管理員存取權 規避防禦機制:手動刪除憑證簽署要求 (CSR) 規避防禦機制:潛在的 Kubernetes Pod 偽裝行為 規避防禦機制:建立靜態 Pod 執行:啟動具備過多功能的 GKE 容器 (預覽版) 執行:疑似使用反向殼層引數建立的 Kubernetes Pod 執行作業:對系統 Pod 執行可疑的 exec 或 attach 指令 (預覽版) 執行:在敏感命名空間中觸發工作負載 影響:偵測到 GKE kube-dns 遭到修改 (預覽版) 影響:可疑的 Kubernetes 容器名稱 - 加密貨幣挖礦 初始存取:透過網際網路匿名建立 GKE 資源 (預覽版) 初始存取:已建立 GKE NodePort 服務 初始存取:透過網際網路匿名修改 GKE 資源 (預覽版) 初始存取:透過 TOR Proxy IP 成功發出 API 呼叫 持續性:偵測到 GKE Webhook 設定 持續性:在機密命名空間建立服務帳戶 權限提升:變更機密 Kubernetes RBAC 物件 權限提升:具有權限動詞的 ClusterRole (預先發布版) 權限提升:透過 ClusterRoleBinding 使角色獲得特殊權限 權限提升:建立主憑證的 Kubernetes CSR 權限提升:建立機密 Kubernetes 繫結 權限提升:已將 GKE 叢集存取權授予確實匿名的使用者 權限提升:啟動具備特殊權限的 Kubernetes 容器 權限提升:可疑的 Kubernetes 容器名稱 - 漏洞與逃逸攻擊 (預覽版) 權限提升:透過敏感主機路徑掛接而建立的工作負載 (預先發布版) 權限提升:已啟用 ShareProcessNamespace 的工作負載 (預先發布版) |
無 |
| IAM 管理員活動稽核記錄 |
持續性:身分與存取權管理異常授權 (預先發布版) 持續性:非代管帳戶獲得機密角色 權限提升:預設 Compute Engine 服務帳戶 SetIAMPolicy 權限提升:休眠服務帳戶獲得敏感角色 權限提升:已授予休眠服務帳戶身分的模擬角色 權限提升:將敏感角色授予混合群組 |
無 |
| MySQL 管理員活動記錄 | 竊取資料:將 Cloud SQL 備份還原至外部機構 | 無 |
| PostgreSQL 管理員活動記錄 | 竊取資料:將 Cloud SQL 備份還原至外部機構 | 無 |
| SQL Server 管理員活動記錄 | 竊取資料:將 Cloud SQL 備份還原至外部機構 | 無 |
| 一般管理員活動稽核記錄 |
規避防護功能:已修改 GCS bucket IP 篩選 (預先發布版) 規避防禦措施:已停用專案 HTTP 政策封鎖 (預覽版) 初始存取權:休眠服務帳戶動作 初始存取權:AI 服務中的休眠服務帳戶活動 初始存取權:已建立休眠服務帳戶金鑰 初始存取權:因過度授權而遭拒的動作 初始存取:使用外洩的服務帳戶金鑰 橫向移動:連接至執行個體的開機磁碟已修改 (預覽版) 持續性:GCE 管理員新增安全殼層金鑰 持續性:GCE 管理員新增開機指令碼 持續性:新 AI API 方法 持續性:新 API 方法 持續:新地理區域 持續:AI 服務的新地理區域 持續性:新使用者代理程式 權限提升:有人冒用服務帳戶,並出現異常的管理員活動 權限提升:AI 管理員活動出現異常服務帳戶模擬者 權限提升:管理員活動的異常多步驟服務帳戶委派項目 權限提升:AI 管理員活動出現異常多步驟服務帳戶委派情況 權限提升:管理員活動的異常服務帳戶模擬者 權限提升:AI 管理員活動出現異常服務帳戶模擬者 |
無 |
| VPC Service Controls 稽核記錄 | 規避防護功能:修改 VPC Service Controls (預覽版) | 無 |
| 備份與 DR 管理員活動稽核記錄 |
影響:Google Cloud 備份和災難復原服務會讓所有映像檔過期 影響:已刪除 Google Cloud 備份與 DR 備份 影響:已刪除 Google Cloud 備份和災難復原主機 影響:已刪除 Google Cloud 備份與災難復原方案關聯 影響:已刪除 Google Cloud 備份和災難復原 Vault 影響:Google Cloud 備份與 DR 刪除政策 影響:Google Cloud 備份和災難復原刪除設定檔 影響:Google Cloud 備份和災難復原刪除範本 影響:Google Cloud 備份和災難復原服務會使映像檔過期 影響:Google Cloud 備份與 DR 減少備份到期日 影響:Google Cloud 備份與 DR 減少備份頻率 影響:Google Cloud 備份和災難復原移除設備 影響:Google Cloud 備份和災難復原移除方案 禁止系統復原:Google Cloud 備份和災難復原刪除儲存空間集區 |
無 |
| IAM 系統事件稽核記錄 |
執行:加密貨幣挖礦 Docker 映像檔 影響:加密貨幣挖礦指令 |
無 |
後續步驟
- 瞭解如何使用 Event Threat Detection。
- 瞭解如何調查及制定威脅因應計畫。