informações gerais de detecção de ameaças a eventos

O que é o Event Threat Detection?

O Event Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente sua organização ou projetos e identifica ameaças nos sistemas quase que em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.

Como o Event Threat Detection funciona

O Event Threat Detection monitora o fluxo do Cloud Logging para sua organização ou seus projetos. Se você ativar o nível Premium do Security Command Center no nível da organização, o Event Threat Detection vai consumir registros para seus projetos conforme eles forem criados, e o Event Threat Detection poderá monitorar os registros do Google Workspace. O Cloud Logging contém entradas de registro de chamadas de API e outras ações que criam, leem ou modificam a configuração ou os metadados dos seus recursos. Os registros do Google Workspace rastreiam os logins de usuários no seu domínio e fornecem um registro das ações realizadas no Admin Console do Google Workspace.

As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica lógica de detecção e inteligência proprietária de ameaças, incluindo correspondência de indicadores de tripwire, criação de perfis em janelas, criação avançada de perfis, machine learning e detecção de anomalias para identificar ameaças quase em tempo real.

Quando o Event Threat Detection detecta uma ameaça, ele grava uma descoberta no Security Command Center. Se você ativar o nível Premium do Security Command Center no nível da organização, ele poderá gravar as descobertas em um projeto do Cloud Logging. No Cloud Logging e na geração de registros do Google Workspace, é possível exportar as descobertas para outros sistemas com o Pub/Sub e processá-las com funções do Cloud Run.

Se você ativar o nível Premium do Security Command Center no nível da organização, também poderá usar o Google Security Operations para investigar algumas descobertas. O Google SecOps é um serviço do Google Cloud que permite investigar ameaças e alternar entre entidades relacionadas em uma linha do tempo unificada. Para instruções sobre como enviar descobertas para o Google SecOps, consulte Investigar descobertas no Google SecOps.

A capacidade de visualizar e editar descobertas e registros é determinada pelos papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) que você recebeu. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.

Regras do Event Threat Detection

As regras definem o tipo de ameaças que o Event Threat Detection detecta e os tipos de registros que precisam ser ativados para que os detectores funcionem. Os registros de auditoria da atividade do administrador são sempre gravados, não é possível configurá-los ou desativá-los.

O Event Threat Detection inclui as seguintes regras padrão:

Nome de exibição Nome da API Tipos de origem do registro Descrição
Verificação ativa: Log4j vulnerável a RCE Indisponível Registros do Cloud DNS Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciados por verificadores de vulnerabilidade do Log4j suportados.
Inibir recuperação do sistema: host de backup e DR do Google Cloud excluído BACKUP_HOSTS_DELETE_HOST Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador do serviço de backup e DR
Um host foi excluído do backup e DR. Os aplicativos associados ao host excluído talvez não sejam protegidos.
Destruição de dados: imagem de expiração de backup e DR do Google Cloud BACKUP_EXPIRE_IMAGE Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um usuário solicitou a exclusão de uma imagem de backup do backup e DR. A exclusão de uma imagem de backup não impede backups futuros.
Inibir recuperação do sistema: plano de remoção de backup e DR do Google Cloud BACKUP_REMOVE_PLAN Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um plano de backup com várias políticas para um aplicativo foi excluído do Backup e DR. A exclusão de um plano de backup pode impedir backups futuros.
Destruição de dados: expiração de todas as imagens de backup e DR do Google Cloud BACKUP_EXPIRE_IMAGES_ALL Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um usuário solicitou a exclusão de todas as imagens de backup de um aplicativo protegido do Backup e DR. A exclusão das imagens de backup não impede backups futuros.
Inibir recuperação do sistema: modelo de exclusão de backup e DR do Google Cloud BACKUP_TEMPLATES_DELETE_TEMPLATE Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um modelo de backup predefinido, usado para configurar backups de vários aplicativos, foi excluído. A capacidade de configurar backups no futuro pode ser afetada.
Inibir recuperação do sistema: política de exclusão de backup e DR do Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Uma política de backup e DR, que define como um backup é feito e onde ele é armazenado, foi excluída. Os backups futuros que usam a política podem falhar.
Inibir recuperação do sistema: exclusão de perfil de backup e DR do Google Cloud BACKUP_PROFILES_DELETE_PROFILE Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um perfil de backup e DR, que define quais pools de armazenamento devem ser usados para armazenar backups, foi excluído. Os backups futuros que usam o perfil podem falhar.
Destruição de dados: remoção de dispositivo de backup e DR do Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um dispositivo de backup foi excluído do backup e DR. Os aplicativos associados ao dispositivo de backup excluído talvez não sejam protegidos.
Inibir recuperação do sistema: pool de armazenamento de exclusão de backup e DR do Google Cloud BACKUP_STORAGE_POOLS_DELETE Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
Um pool de armazenamento, que associa um bucket do Cloud Storage ao backup e DR, foi removido do backup e DR. Os backups futuros nesse destino de armazenamento vão falhar.
Impacto: o Backup e DR do Google Cloud reduziram a expiração do tempo de backup BACKUP_REDUCE_BACKUP_EXPIRATION Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
A data de validade de um backup protegido pelo backup e DR foi reduzida.
Impacto: o Backup e DR do Google Cloud reduziram a frequência de backup BACKUP_REDUCE_BACKUP_FREQUENCY Registros de auditoria do Cloud:
registros de auditoria da atividade do administrador de backup e DR
A programação de backup e DR foi modificada para reduzir a frequência de backup.
Ataques de força bruta contra SSH BRUTE_FORCE_SSH authlog Detecção da força bruta do SSH em um host
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Registros do Cloud IDS

Eventos de ameaça detectados pelo Cloud IDS.

O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando um evento de ameaça é detectado, envia uma descoberta de classe de ameaça para o Security Command Center. Os nomes das categorias de descoberta começam com "Cloud IDS" seguido pelo identificador de ameaças do Cloud IDS.

A integração do Cloud IDS com a detecção de ameaças a eventos não inclui detecções de vulnerabilidade do Cloud IDS.

Para saber mais sobre as detecções do Cloud IDS, consulte as Informações de geração de registros do Cloud IDS.

Acesso às credenciais: participante externo adicionado ao grupo privilegiado EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

Detecta eventos em que um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google.

As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à mudança do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Essa descoberta não está disponível para ativações no nível do projeto.

Acesso às credenciais: grupo privilegiado aberto para público PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Auditoria do administrador
Permissões:
DATA_READ

Detecta eventos em que um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google.

As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à mudança do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Essa descoberta não está disponível para ativações no nível do projeto.

Acesso às credenciais: papel confidencial concedido ao grupo híbrido SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM

Detecta eventos em que papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações inseguras no Grupo do Google.

As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Essa descoberta não está disponível para ativações no nível do projeto.

Evasão de defesa: implantação forçada da carga de trabalho criada (pré-lançamento) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecta a implantação de cargas de trabalho implantadas usando a flag de acesso imediato para modificar os controles da autorização binária.
Evasão de defesa: implantação forçada da carga de trabalho atualizada (pré-lançamento). BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecta quando as cargas de trabalho são atualizadas usando a flag de implantação forçada para modificar os controles da autorização binária.
Evasão de defesa: modificar o VPC Service Control DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Registros de auditoria do Cloud Registros de auditoria do VPC Service Controls

Detecta uma alteração em um perímetro atual do VPC Service Controls que levaria a uma redução na proteção oferecida por esse perímetro.

Essa descoberta não está disponível para ativações no nível do projeto.

Descoberta: pode receber verificações de objetos sensíveis do Kubernetes. GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Registros de auditoria do Cloud:
Registros de acesso a dados do GKE

Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no GKE eles podem consultar usando o comando kubectl auth can-i get. Especificamente, a regra detecta se a pessoa verificou o acesso à API nos seguintes objetos:

Descoberta: autoinvestigação da conta de serviço SERVICE_ACCOUNT_SELF_INVESTIGATION Registros de auditoria do Cloud:
Registros de auditoria de acesso a dados do IAM
Permissões:
DATA_READ

Detecção de uma credencial de conta de serviço do IAM usada para investigar os papéis e as permissões associados a essa mesma conta de serviço.

Papéis sensíveis

As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Evasão: acesso de proxy de anonimização ANOMALOUS_ACCESS Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecção de modificações no serviço do Google Cloud originadas de endereços IP de proxy anônimos, como endereços IP do Tor.
Exfiltração: exfiltração de dados do BigQuery DATA_EXFILTRATION_BIG_QUERY Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata
Permissões:
DATA_READ

Detecta os seguintes cenários:

  • Recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência

    Esse cenário é indicado por uma sub-regra de exfil_to_external_table e uma gravidade de HIGH.

  • Tenta acessar os recursos do BigQuery protegidos pelo VPC Service Controls.

    Esse cenário é indicado por uma sub-regra de vpc_perimeter_violation e uma gravidade de LOW.

Exfiltração: extração de dados do BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata
Permissões:
DATA_READ

Detecta os seguintes cenários:

  • Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage fora da organização.
  • Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage acessível ao público de propriedade dessa organização.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Exfiltração: dados do BigQuery para o Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata
Permissões:
DATA_READ

Detecta o seguinte:

  • Um recurso do BigQuery pertencente à organização protegida é salvo, por meio de operações de extração, em uma pasta do Google Drive.
Exfiltração: mover para o recurso público do BigQuery DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata
Permissões:
DATA_READ

Detecta o seguinte:

  • Um recurso do BigQuery é salvo em um recurso público de propriedade da sua organização.
Exfiltração: exfiltração de dados do Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Registros de auditoria do Cloud: Registros de acesso a dados do MySQL
Registros de acesso a dados do PostgreSQL
Registros de acesso a dados do SQL Server

Detecta os seguintes cenários:

  • Dados de instâncias ativas exportados para um bucket do Cloud Storage fora da organização.
  • Dados de instâncias ativas exportados para um bucket do Cloud Storage de propriedade da organização e acessível publicamente.

Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.

Exfiltração: backup de restauração do Cloud SQL para organização externa CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Registros de auditoria do Cloud: Registros de atividade do administrador do MySQL
Registros de atividade do administrador do PostgreSQL
Registros de atividade do administrador do SQL Server

Detecta eventos em que o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização.

Exfiltração: concessão privilegiada demais do Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Registros de auditoria do Cloud: Registros de acesso a dados do PostgreSQL
Observação: é necessário ativar a extensão pgAudit para usar essa regra.
Detecta eventos em que um usuário ou papel do Cloud SQL para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Acesso inicial: gravações de superusuário do Database em tabelas do usuário CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Registros de auditoria do Cloud: Registros de acesso a dados do Cloud SQL para PostgreSQL
Registros de acesso a dados do Cloud SQL para MySQL
Observação: é necessário ativar a extensão pgAudit para PostgreSQL ou a auditoria do banco de dados para MySQL usar essa regra.
Detecta eventos em que um superusuário do Cloud SQL (postgres para servidores PostgreSQL ou root para usuários do MySQL) grava em tabelas que não são do sistema.
Escalonamento de privilégios: concessão de privilégios excessivos do AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Registros de auditoria do Cloud: AlloyDB para registros de acesso a dados do PostgreSQL
Observação: é necessário ativar a extensão pgAudit para usar essa regra.
Detecta eventos em que um usuário ou papel do AlloyDB para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Escalonamento de privilégios: o superusuário do banco de dados AlloyDB grava nas tabelas do usuário ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Registros de auditoria do Cloud: AlloyDB para registros de acesso a dados do PostgreSQL
Observação: é necessário ativar a extensão pgAudit para usar essa regra.
Detecta eventos em que um superusuário do AlloyDB para PostgreSQL (postgres) grava em tabelas que não são do sistema.
Acesso inicial: ação de uma conta de serviço inativa DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Registros de auditoria do Cloud: Registros de atividade do administrador Detecta eventos em que uma conta serviço gerenciado pelo usuário inativa acionou uma ação. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM

Detecta eventos em que uma serviço gerenciado pelo usuário inativa recebeu um ou mais papéis confidenciais do IAM. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.

Papéis sensíveis

As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Persistência: papel de representação concedido a uma conta de serviço inativa DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM Detecta eventos em que um principal recebe permissões para representar uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Acesso inicial: criação de chave em uma conta de serviço inativa DORMANT_SERVICE_ACCOUNT_KEY_CREATED Registros de auditoria do Cloud: Registros de atividade do administrador Detecta eventos em que uma chave é criada para uma conta serviço gerenciado pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Acesso inicial: chave da conta de serviço vazada usada LEAKED_SA_KEY_USED Registros de auditoria do Cloud: Registros de atividade do administrador
Registros de acesso a dados
Detecta eventos em que uma chave de conta de serviço com vazamento é usada para autenticar a ação. Nesse contexto, uma chave de conta de serviço com vazamento foi publicada na Internet pública.
Acesso inicial: permissões negadas em excesso EXCESSIVE_FAILED_ATTEMPT Registros de auditoria do Cloud: Registros de atividade do administrador Detecta eventos em que um principal aciona repetidamente erros de permissão negada ao tentar fazer mudanças em vários métodos e serviços.
Defesa por danos: autenticação forte desativada ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Auditoria do administrador

A verificação em duas etapas foi desativada para a organização.

Essa descoberta não está disponível para ativações no nível do projeto.

Defesa de danos: verificação em duas etapas desativada 2SV_DISABLE Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

Um usuário desativou a verificação em duas etapas.

Essa descoberta não está disponível para ativações no nível do projeto.

Acesso inicial: conta desativada ACCOUNT_DISABLED_HIJACKED Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

A conta de um usuário foi suspensa devido a atividade suspeita.

Essa descoberta não está disponível para ativações no nível do projeto.

Acesso inicial: vazamento de senha desativado ACCOUNT_DISABLED_PASSWORD_LEAK Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

A conta de um usuário foi desativada porque foi detectado um vazamento de senha.

Essa descoberta não está disponível para ativações no nível do projeto.

Acesso inicial: ataque baseado no governo GOV_ATTACK_WARNING Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador.

Essa descoberta não está disponível para ativações no nível do projeto.

Acesso inicial: tentativa de comprometimento de Log4j Indisponível Registros do Cloud Load Balancing:
Balanceador de carga HTTP do Cloud
Observação: é necessário ativar a geração de registros do balanceador de carga de aplicativo para usar essa regra.

Detecta buscas de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas de exploração do Log4Shell. Essas descobertas têm gravidade baixa porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento.

Esta regra está sempre ativada.

Acesso inicial: login suspeito bloqueado SUSPICIOUS_LOGIN Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

Um login suspeito na conta de um usuário foi detectado e bloqueado.

Essa descoberta não está disponível para ativações no nível do projeto.

Malware Log4j: domínio inválido LOG4J_BAD_DOMAIN Registros do Cloud DNS Detecção de tráfego de exploração do Log4j com base em uma conexão ou pesquisa de um domínio conhecido usado em ataques do Log4j.
Malware Log4j: IP inválido LOG4J_BAD_IP Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de tráfego do Log4j com base em uma conexão a um endereço IP conhecido usado em ataques do Log4j.
Domínio inválido de malware MALWARE_BAD_DOMAIN Registros do Cloud DNS Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido.
Malware: IP inválido MALWARE_BAD_IP Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de malware com base em uma conexão com um endereço IP inválido conhecido.
Malware: domínio criptografado de criptomineração CRYPTOMINING_POOL_DOMAIN Registros do Cloud DNS Detecção de criptomineração com base em uma conexão ou pesquisa de um domínio de mineração conhecido
Malware: criptomoedas com IP inválido CRYPTOMINING_POOL_IP Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de criptomineração com base em uma conexão com um endereço IP de mineração conhecido.
DoS de saídaDesligar OUTGOING_DOS Registros de fluxo da VPC Detecção de tráfego de negação de serviço de saída
Persistência: chave SSH adicionada pelo administrador do GCE GCE_ADMIN_ADD_SSH_KEY Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do Compute Engine
Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: script de inicialização adicionado pelo administrador do GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Registros de auditoria do Cloud:
Registros de auditoria da atividade de administrador do Compute Engine
Detecção de uma modificação no valor do script de inicialização de metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: concessão anômala de IAM IAM_ANOMALOUS_GRANT Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM

Essa descoberta inclui subregras que fornecem informações mais específicas sobre cada instância dessa descoberta.

A lista a seguir mostra todas as subregras possíveis:

  • external_service_account_added_to_policy, external_member_added_to_policy: detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização ou, se o Security Command Center estiver ativado apenas no projeto nível, seu projeto.

    Observação: se o Security Command Center estiver ativado no nível da organização em qualquer nível, o detector usará as políticas do IAM atuais de uma organização como contexto. Se a ativação do Security Command Center estiver apenas no nível do projeto, o detector vai usar apenas as políticas do IAM do projeto como contexto.

    Se ocorrer uma concessão de IAM confidencial a um membro externo e houver menos de três políticas do IAM semelhantes a ela, esse detector vai gerar uma descoberta.

    Papéis sensíveis

    As descobertas são classificadas como de alta ou média gravidade, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

  • external_member_invited_to_policy: detecta quando um membro externo é convidado como proprietário do projeto pela API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: detecta quando a permissão setIAMPolicy é adicionada a um papel personalizado.
  • service_account_granted_sensitive_role_to_member: detecta quando papéis privilegiados são concedidos aos membros por meio de uma conta de serviço. Essa subregra é acionada por um subconjunto de papéis sensíveis que incluem apenas papéis básicos do IAM e determinados papéis de armazenamento de dados. Para mais informações, consulte Papéis e permissões confidenciais do IAM.
  • policy_modified_by_default_compute_service_account: detecta quando uma conta de serviço padrão do Compute Engine é usada para modificar as configurações do IAM do projeto.
Persistência: papel sensível concedido a uma conta não gerenciada (pré-lançamento) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecção de um papel sensível sendo concedido a uma conta não gerenciada.
Persistência: novo método de API
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM.
Persistência: nova região geográfica IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Registros de auditoria do Cloud:
Registros de atividade do administrador

Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud de locais anômalos, com base na geolocalização dos endereços IP solicitantes.

Essa descoberta não está disponível para ativações no nível do projeto.

Persistência: novo user agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Registros de auditoria do Cloud:
Registros de atividade do administrador

Detecção de contas de serviço do IAM que acessam o Google Cloud de user agents anômalos ou suspeitos.

Essa descoberta não está disponível para ativações no nível do projeto.

Persistência: alternância de SSO TOGGLE_SSO_ENABLED Google Workspace:
Auditoria do administrador

A configuração Ativar SSO (logon único) na conta de administrador foi desativada.

Essa descoberta não está disponível para ativações no nível do projeto.

Persistência: configurações de SSO alteradas CHANGE_SSO_SETTINGS Google Workspace:
Auditoria do administrador

As configurações de SSO da conta de administrador foram alteradas.

Essa descoberta não está disponível para ativações no nível do projeto.

Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecta quando uma conta de serviço falsificada potencialmente anômala é usada para uma atividade administrativa.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecta quando uma solicitação delegada anomalia em várias etapas é encontrada para uma atividade administrativa.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para acesso aos dados ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Registros de auditoria do Cloud:
Registros de acesso a dados
Detecta quando uma solicitação delegada anomalia em várias etapas é encontrada para uma atividade de acesso aos dados.
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade administrativa.
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para acesso aos dados ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Registros de auditoria do Cloud:
Registros de acesso a dados
Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade de acesso aos dados.
Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes. GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou modificar um objeto de controle de acesso baseado em papel (RBAC) ClusterRole, RoleBinding ou ClusterRoleBinding do papel sensível cluster-admin usando uma solicitação PUT ou PATCH.
Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre. GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Um usuário possivelmente malicioso criou uma solicitação de assinatura de certificado (CSR) mestre do Kubernetes, o que concede a ele acesso cluster-admin.
Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes. GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou criar um novo objeto RoleBinding ou ClusterRoleBinding para o papel cluster-admin.
Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidas. GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Registros de auditoria do Cloud:
Registros de acesso a dados do GKE
Uma pessoa mal-intencionada consultou uma solicitação de assinatura de certificado (CSR), com o comando kubectl, usando credenciais de inicialização comprometida.
Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes. GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE

Uma pessoa possivelmente mal-intencionada criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios.

Um contêiner privilegiado tem o campo privileged definido como true. Um contêiner com recursos de escalonamento de privilégios tem o campo allowPrivilegeEscalation definido como true. Para mais informações, consulte a referência da API SecurityContext v1 core na documentação do Kubernetes.

Persistência: chave da conta de serviço criada SERVICE_ACCOUNT_KEY_CREATION Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta a criação de uma chave de conta de serviço. As chaves de conta de serviço são credenciais de longa duração que aumentam o risco de acesso não autorizado aos recursos do Google Cloud.
Escalonamento de privilégios: script de desligamento global adicionado GLOBAL_SHUTDOWN_SCRIPT_ADDED Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando um script de desligamento global é adicionado a um projeto.
Persistência: script de inicialização global adicionado GLOBAL_STARTUP_SCRIPT_ADDED Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando um script de inicialização global é adicionado a um projeto.
Evasão de defesa: adição do papel de criador de token da conta de serviço no nível da organização ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando o papel do IAM de Criador do token da conta de serviço é concedido no nível da organização.
Evasão de defesa: adição do papel de criador de token da conta de serviço no projeto PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando o papel de IAM de Criador de token da conta de serviço é concedido no nível do projeto.
Movimento lateral: execução de patches do SO da conta de serviço OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud Audit Logs
Registros de auditoria da atividade do administrador do IAM
Detecta quando uma conta de serviço usa o recurso de patch do Compute Engine para atualizar o sistema operacional de qualquer instância do Compute Engine em execução.
Movimento lateral: disco de inicialização modificado anexado à instância (pré-lançamento) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Registros de auditoria do Cloud:
Registros de auditoria do Compute Engine
Detecta quando um disco de inicialização é desconectado de uma instância do Compute Engine e conectado a outra, o que pode indicar uma tentativa maliciosa de comprometer o sistema usando um disco de inicialização modificado.
Acesso credencial: segredos acessados no namespace do Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Registros de auditoria do Cloud:
Registros de acesso a dados do GKE
Detecta quando secrets ou tokens de conta de serviço são acessados por uma conta de serviço no namespace atual do Kubernetes.
Desenvolvimento de recursos: atividade ofensiva de distros de segurança OFFENSIVE_SECURITY_DISTRO_ACTIVITY Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta manipulações bem-sucedidas de recursos do Google Cloud de testes de penetração conhecidos ou distros de segurança ofensivas.
Escalonamento de privilégios: a nova conta de serviço é de proprietário ou editor SERVICE_ACCOUNT_EDITOR_OWNER Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando uma nova conta de serviço é criada com papéis de editor ou proprietário em um projeto.
Descoberta: ferramenta de coleta de informações usada INFORMATION_GATHERING_TOOL_USED Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta o uso do ScoutSuite, uma ferramenta de auditoria de segurança na nuvem que é conhecida por ser usada por agentes de ameaças.
Escalonamento de privilégios: geração de token suspeito SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando a permissão iam.serviceAccounts.implicitDelegation é usada indevidamente para gerar tokens de acesso de uma conta de serviço com mais privilégios.
Escalonamento de privilégios: geração de token suspeito SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando uma conta de serviço usa o método serviceAccounts.signJwt para gerar um token de acesso para outra conta de serviço.
Escalonamento de privilégios: geração de token suspeito SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM

Detecta o uso entre projetos da permissão iam.serviceAccounts.getOpenIdToken do IAM.

Essa descoberta não está disponível para ativações no nível do projeto.

Escalonamento de privilégios: geração de token suspeito SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM

Detecta o uso entre projetos da permissão iam.serviceAccounts.getAccessToken do IAM.

Essa descoberta não está disponível para ativações no nível do projeto.

Escalonamento de privilégios: uso suspeito de permissões entre projetos SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM

Detecta o uso entre projetos da permissão datafusion.instances.create do IAM.

Essa descoberta não está disponível para ativações no nível do projeto.

Comando e controle: encapsulamento DNS DNS_TUNNELING_IODINE_HANDSHAKE Registros do Cloud DNS Detecta o handshake da ferramenta de encapsulamento DNS Iodine.
Evasão de defesa: tentativa de mascaramento de rota da VPC VPC_ROUTE_MASQUERADE Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta a criação manual de rotas da VPC mascaradas como rotas padrão do Google Cloud, permitindo o tráfego de saída para endereços IP externo.
Impacto: faturamento desativado BILLING_DISABLED_SINGLE_PROJECT Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando o faturamento foi desativado para um projeto.
Impacto: faturamento desativado BILLING_DISABLED_MULTIPLE_PROJECTS Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando o faturamento foi desativado para vários projetos em uma organização em um curto período.
Impacto: bloqueio de alta prioridade do firewall da VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando uma regra de firewall da VPC que bloqueia todo o tráfego é adicionada com prioridade 0.
Impacto: exclusão em massa de regras do firewall da VPC Temporariamente indisponível VPC_FIREWALL_MASS_RULE_DELETION Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM

Detecta a exclusão em massa de regras de firewall da VPC por contas que não são de serviço.

Esta regra está temporariamente indisponível. Para monitorar as atualizações das regras de firewall, use os registros de auditoria do Cloud.

Impacto: API Service desativada SERVICE_API_DISABLED Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando uma API de serviço do Google Cloud está desativada em um ambiente de produção.
Impacto: o escalonamento automático do grupo de instâncias gerenciadas foi definido como máximo MIG_AUTOSCALING_SET_TO_MAX Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando um grupo de instâncias gerenciadas está configurado para o escalonamento automático máximo.
Descoberta: chamada de API não autorizada de conta de serviço UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Registros de auditoria do Cloud:
Registros de auditoria da atividade do administrador do IAM
Detecta quando uma conta de serviço faz uma chamada de API entre projetos não autorizada.
Evasão de defesa: acesso de administrador de cluster concedido a sessões anônimas ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Detecta a criação de um objeto ClusterRoleBinding RBAC (controle de acesso baseado em função) adicionando o comportamento root-cluster-admin-binding a usuários anônimos.
Acesso inicial: recurso anônimo do GKE criado na Internet (pré-lançamento) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Detecta eventos de criação de recursos de usuários da Internet efetivamente anônimos.
Acesso inicial: recurso do GKE modificado anonimamente pela Internet (pré-lançamento) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Detecta eventos de manipulação de recursos de usuários da Internet efetivamente anônimos.
Escalonamento de privilégios: usuários efetivamente anônimos receberam acesso ao cluster do GKE (pré-lançamento) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE

Alguém criou uma vinculação do RBAC que faz referência a um dos seguintes usuários ou grupos:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Esses usuários e grupos são efetivamente anônimos e devem ser evitados ao criar vinculações de papéis ou de funções de cluster para qualquer papel do RBAC. Verifique se a vinculação é necessária. Se não for necessário, remova a vinculação.

Execução: execução ou anexamento suspeito a um pod do sistema (pré-lançamento) GKE_SUSPICIOUS_EXEC_ATTACH Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém usou os comandos exec ou attach para receber um shell ou executar um comando em um contêiner em execução no namespace kube-system. Esses métodos às vezes são usados para fins legítimos de depuração. No entanto, o namespace kube-system é destinado a objetos do sistema criados pelo Kubernetes, e a execução de comandos ou a criação de shells inesperadas precisa ser analisada.
Escalonamento de privilégios: carga de trabalho criada com uma montagem de caminho de host sensível (pré-lançamento) GKE_SENSITIVE_HOSTPATH Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém criou uma carga de trabalho que contém uma montagem de volume hostPath para um caminho confidencial no sistema de arquivos do nó host. O acesso a esses caminhos no sistema de arquivos do host pode ser usado para acessar informações privilegiadas ou sensíveis no nó e para escapar do contêiner. Se possível, não permita volumes hostPath no cluster.
Escalonamento de privilégios: carga de trabalho com shareProcessNamespace ativado (pré-lançamento) GKE_SHAREPROCESSNAMESPACE_POD Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém implantou uma carga de trabalho com a opção shareProcessNamespace definida como true, permitindo que todos os contêineres compartilhem o mesmo namespace de processo do Linux. Isso pode permitir que um contêiner não confiável ou comprometido aumente privilégios acessando e controlando variáveis de ambiente, memória e outros dados sensíveis de processos executados em outros contêineres.
Escalonamento de privilégios: ClusterRole com verbos privilegiados (pré-lançamento) GKE_CLUSTERROLE_PRIVILEGED_VERBS Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém criou uma ClusterRole do RBAC que contém os verbos bind, escalate ou impersonate. Um sujeito vinculado a uma função com esses verbos pode se passar por outros usuários com privilégios mais altos, se vincular a outros Roles ou ClusterRoles que contêm permissões adicionais ou modificar as próprias permissões de ClusterRole. Isso pode fazer com que esses indivíduos ganhem privilégios de administrador do cluster.
Escalonamento de privilégios: ClusterRoleBinding para função privilegiada (pré-lançamento) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém criou uma ClusterRoleBinding do RBAC que faz referência à system:controller:clusterrole-aggregation-controller ClusterRole padrão. Esse ClusterRole padrão tem o verbo escalate, que permite aos sujeitos modificar os privilégios das próprias funções, o que permite o escalonamento de privilégios.
Evasão de defesa: solicitação de assinatura de certificado (CSR) excluída manualmente (pré-lançamento) GKE_MANUALLY_DELETED_CSR Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém excluiu manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). Os CSRs são removidos automaticamente por um controlador de coleta de lixo, mas agentes mal-intencionados podem excluí-los manualmente para evitar a detecção. Se a CSR excluída era de um certificado aprovado e emitido, o usuário potencialmente malicioso agora tem um método de autenticação adicional para acessar o cluster. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. O Kubernetes não permite a revogação de certificados.
Acesso às credenciais: falha na tentativa de aprovar a solicitação de assinatura de certificado (CSR) do Kubernetes (Pré-lançamento) GKE_APPROVE_CSR_FORBIDDEN Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém tentou aprovar manualmente uma solicitação de assinatura de certificado (CSR), mas a ação falhou. A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas.
Acesso às credenciais: solicitação de assinatura de certificado (CSR) do Kubernetes aprovada manualmente (Visualização) GKE_CSR_APPROVED Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém aprovou manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas.
Execução: pod do Kubernetes criado com possíveis argumentos de shell reverso (pré-lançamento) GKE_REVERSE_SHELL_POD Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém criou um pod com comandos ou argumentos geralmente associados a um shell reverso. Os invasores usam shells reversos para expandir ou manter o acesso inicial a um cluster e executar comandos arbitrários.
Evasão de defesa: possível mascaramento de pods do Kubernetes (pré-lançamento) GKE_POD_MASQUERADING Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém implantou um pod com uma convenção de nomenclatura semelhante às cargas de trabalho padrão que o GKE cria para a operação normal do cluster. Essa técnica é chamada de mascaramento.
Escalonamento de privilégios: nomes de contêiner do Kubernetes suspeitos: exploração e escape (Visualização) GKE_SUSPICIOUS_EXPLOIT_POD Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém implantou um pod com uma convenção de nomenclatura semelhante a ferramentas comuns usadas para escapar de contêineres ou para executar outros ataques no cluster.
Impacto: nomes de contêineres do Kubernetes suspeitos: mineração de moedas (Visualização) GKE_SUSPICIOUS_CRYPTOMINING_POD Registros de auditoria do Cloud:
Registros de atividade do administrador do GKE
Alguém implantou um pod com uma convenção de nomenclatura semelhante a dos mineradores de moedas de criptomoedas comuns. Isso pode ser uma tentativa de um invasor que obteve acesso inicial ao cluster para usar os recursos dele na mineração de criptomoedas.

Módulos personalizados do Event Threat Detection

Além das regras de detecção integradas, o Event Threat Detection fornece modelos de módulos que podem ser usados para criar regras de detecção personalizadas. Para mais informações, consulte Visão geral dos módulos personalizados para o Event Threat Detection.

Para criar regras de detecção sem modelos de módulo personalizados disponíveis, exporte os dados de registro para o BigQuery e execute consultas SQL únicas ou recorrentes que capturem os modelos de ameaça.

Alterações inseguras no Grupo do Google

Esta seção explica como o Event Threat Detection usa registros do Google Workspace, registros de auditoria do Cloud e políticas do IAM para detectar alterações inseguras nos Grupos do Google. A detecção de mudanças nos Grupos do Google só é possível quando você ativa o Security Command Center no nível da organização.

Os clientes do Google Cloud podem usar os Grupos do Google para gerenciar papéis e permissões para membros das organizações ou aplicar políticas de acesso a coleções de usuários. Em vez de conceder papéis diretamente aos membros, os administradores podem conceder papéis e permissões aos Grupos do Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todos os papéis e permissões de um grupo, o que permite que os membros acessem recursos e serviços específicos.

Embora os Grupos do Google sejam uma maneira conveniente de gerenciar o controle de acesso em grande escala, eles podem representar um risco se usuários externos fora da sua organização ou domínio forem adicionados a grupos privilegiados, grupos que receberam permissões ou papéis confidenciais. Esses papéis controlam o acesso a configurações de segurança e rede, registros e informações de identificação pessoal (PII) e não são recomendados para membros externos do grupo.

Em grandes organizações, os administradores podem não saber quando membros externos são adicionados a grupos privilegiados. Os registros de auditoria do Cloud registram concessões de função a grupos, mas esses eventos de registro não contêm informações sobre os membros do grupo, o que pode ocultar o possível impacto de algumas mudanças no grupo.

Se você compartilhar seus registros do Google Workspace com o Google Cloud, o Event Threat Detection vai monitorar seus fluxos de registro de novos membros adicionados aos Grupos do Google da sua organização. Como os registros estão no nível da organização, o Event Threat Detection só verifica os registros do Google Workspace quando você ativa o Security Command Center no nível da organização. O Event Threat Detection não consegue verificar esses registros quando você ativa o Security Command Center para envolvidos no projeto.

O Event Threat Detection identifica membros externos do grupo e, usando os registros de auditoria do Cloud, analisa os papéis do IAM de cada grupo afetado para verificar se os grupos receberam papéis confidenciais. Essas informações são usadas para detectar as seguintes alterações inseguras em Grupos do Google privilegiados:

  • Participantes externos adicionados a grupos privilegiados
  • Permissões ou funções confidenciais concedidas a grupos com membros externos
  • Grupos privilegiados que foram alterados para permitir que qualquer pessoa do público geral participe

O Event Threat Detection grava as descobertas no Security Command Center. As descobertas contêm os endereços de e-mail dos membros externos recém-adicionados, os membros internos do grupo que iniciam eventos, os nomes dos grupos e os papéis confidenciais associados aos grupos. Use as informações para remover membros externos dos grupos ou revogar papéis confidenciais concedidos a grupos.

Para saber mais sobre as descobertas do Event Threat Detection, consulte Regras do Event Threat Detection.

Papéis e permissões confidenciais do IAM

Nesta seção, explicamos como o Event Threat Detection define papéis do IAM sensíveis. As detecções, como alterações na concessão anômala do IAM e em grupo não seguro do Google, só descobrirão as alterações se elas envolverem papéis de alta ou média confidencialidade. A confidencialidade dos papéis afeta a gravidade atribuída às descobertas.

  • Os papéis de alta confidencialidade controlam serviços essenciais nas organizações, incluindo faturamento, configurações de firewall e geração de registros. As descobertas que correspondem a esses papéis são classificadas como de alta gravidade.
  • Os papéis com média confidencialidade têm permissões de edição, que permitem que os principais façam alterações nos recursos do Google Cloud, e permissões de visualização e execução em serviços de armazenamento de dados, que geralmente contêm dados confidenciais. A gravidade atribuída às descobertas depende do recurso:
    • Se os papéis de média confidencialidade forem concedidos no nível da organização, as descobertas serão classificadas como de alta gravidade.
    • Se os papéis de confidencialidade média forem concedidos em níveis mais baixos da hierarquia de recursos (pastas, projetos e buckets, entre outros), as descobertas serão classificadas como de média gravidade.

A concessão desses papéis confidenciais é considerada perigosa se o beneficiário for um membro externo ou uma identidade anormal, como um principal que está inativo há muito tempo.

Conceder papéis confidenciais a membros externos cria uma possível ameaça porque eles podem ser usados indevidamente para comprometer contas e exfiltrar dados.

Encontre categorias que usam esses papéis confidenciais:

  • Persistência: concessão anômala do IAM
    • Subregra: external_service_account_added_to_policy
    • Subregra: external_member_added_to_policy
  • Acesso às credenciais: papel confidencial concedido ao grupo híbrido
  • Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa

Encontre categorias que usam um subconjunto dos papéis confidenciais:

  • Persistência: concessão anômala do IAM
    • Subregra: service_account_granted_sensitive_role_to_member

A sub-regra service_account_granted_sensitive_role_to_member geralmente segmenta membros externos e internos. Portanto, usa apenas um subconjunto de papéis confidenciais, conforme explicado em Regras do Event Threat Detection.

Categoria Papel Descrição
Papéis básicos: contêm milhares de permissões em todos os serviços do Google Cloud. roles/owner Papéis básicos
roles/editor
Papéis de segurança: controlam o acesso às configurações de segurança roles/cloudkms.* Todos os papéis do Cloud Key Management Service
roles/cloudsecurityscanner.* Todos os papéis do Web Security Scanner
roles/dlp.* Todos os papéis de proteção de dados confidenciais
roles/iam.* Todos os papéis do IAM
roles/secretmanager.* Todos os papéis do Secret Manager
roles/securitycenter.* Todos os papéis do Security Command Center
Papéis de registro: controlam o acesso aos registros de uma organização roles/errorreporting.* Todos os papéis do Error Reporting
roles/logging.* Todos os papéis do Cloud Logging
roles/stackdriver.* Todos os papéis do Cloud Monitoring
Papéis de informações pessoais: controlam o acesso a recursos que contêm informações de identificação pessoal, incluindo informações bancárias e de contato roles/billing.* Todos os papéis do Cloud Billing
roles/healthcare.* Todos os papéis da API Cloud Healthcare
roles/essentialcontacts.* Todos os papéis de Contatos Essenciais
Papéis de rede: controlam o acesso às configurações de rede da organização roles/dns.* Todos os papéis do Cloud DNS
roles/domains.* Todos os papéis do Cloud Domains
roles/networkconnectivity.* Todos os papéis do Network Connectivity Center
roles/networkmanagement.* Todos os papéis do Network Connectivity Center
roles/privateca.* Todos os papéis do Certificate Authority Service
Papéis de serviço: controlam o acesso aos recursos de serviço no Google Cloud. roles/cloudasset.* Todos os papéis do Inventário de recursos do Cloud
roles/servicedirectory.* Todos os papéis do Diretório de serviços
roles/servicemanagement.* Todos os papéis do Service Management
roles/servicenetworking.* Todos os papéis da Rede de serviços
roles/serviceusage.* Todos os papéis do Service Usage
Papéis do Compute Engine: controlam o acesso a máquinas virtuais do Compute Engine, que executam jobs de longa duração e estão associadas a regras de firewall.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Todos os papéis de Administrador e Compute Engine Editor
Categoria Papel Descrição
Papéis de edição: papéis do IAM que incluem permissões para fazer alterações nos recursos do Google Cloud.

Exemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Os nomes de papéis geralmente terminam com títulos como Administrador, Proprietário, Editor ou Gravador.

Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade

Papéis de armazenamento de dados: papéis do IAM que incluem permissões para visualizar e executar serviços de armazenamento de dados

Exemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade
Todos os papéis com média confidencialidade

Aprovação de acesso

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Ações

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

Gateway de API

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Autorização binária

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Funções do Cloud Run

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Análise de artefatos

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Metastore do Dataproc

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Hub do Google Kubernetes Engine

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Serviço gerenciado para Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore para Redis

  • roles/redis.admin
  • roles/redis.editor

API On-Demand Scanning

  • roles/ondemandscanning.admin

Monitoramento de configuração de operações

  • roles/opsconfigmonitoring.resourceMetadata.writer

Serviço de política da organização

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Outros papéis

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Sensor de proximidade

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Recomendações

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Recomendador

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Configurações de recursos

  • roles/resourcesettings.admin

Acesso VPC sem servidor

  • roles/vpcaccess.admin

Gestão de consumidores de serviço

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Serviço de transferência do Cloud Storage

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Notebooks do Vertex AI Workbench gerenciados pelo usuário

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Tipos de registro e requisitos de ativação

Esta seção lista os registros usados pelo Event Threat Detection, as ameaças que ele busca em cada registro e o que é necessário fazer para ativar cada registro.

É necessário ativar um registro para o Event Threat Detection apenas se todas as seguintes condições forem verdadeiras:

  • Você está usando o produto ou serviço que grava no registro.
  • É preciso proteger o produto ou serviço contra as ameaças detectadas pelo Event Threat Detection no registro.
  • É um registro de auditoria de acesso a dados ou outro registro que fica desativado por padrão.

Algumas ameaças podem ser detectadas em vários registros. Se o Event Threat Detection detectar uma ameaça em um registro que já esteja ativado, não será necessário ativar outro registro para detectar essa ameaça.

Se um registro não estiver listado nesta seção, o Event Threat Detection não o verificará, mesmo que esteja ativado. Para saber mais, consulte Verificações de registros possivelmente redundantes.

Conforme descrito na tabela a seguir, alguns tipos de registro só estão disponíveis no nível da organização. Se você ativar o Security Command Center para envolvidos no projeto, o Event Threat Detection não vai verificar esses registros e não vai produzir nenhuma descoberta.

Origens de registro fundamentais

O Event Threat Detection usa fontes de dados fundamentais para detectar atividades potencialmente maliciosas na sua rede.

  • Se você ativar o Event Threat Detection sem os Registros de fluxo da VPC, ele vai começar a analisar imediatamente um fluxo interno, independente e duplicado de Registros de fluxo da VPC. Para investigar melhor uma detecção de ameaças a eventos, ative os Registros de fluxo da VPC e navegue manualmente até a Análise de registros e o Analisador de fluxo. Se você ativar os registros de fluxo de VPC em uma data posterior, apenas as descobertas futuras vão conter os links relevantes para uma investigação adicional.

  • Se você ativar o Event Threat Detection com os registros de fluxo de VPC, ele vai começar a analisar os registros de fluxo de VPC na sua implantação imediatamente e vai fornecer links para a Análise de registros e o Flow Analyzer para ajudar na investigação.

Verificações de registros possivelmente redundantes

A detecção de ameaças a eventos oferece detecção de malware na rede ao verificar qualquer um destes registros:

  • Geração de registros do Cloud DNS
  • Geração de registros do Cloud NAT
  • Registro de regras de firewall
  • Registros de fluxo de VPC

Se você já estiver usando a geração de registros do Cloud DNS, a detecção de ameaças a eventos poderá detectar malware usando a resolução de domínio. Para a maioria dos usuários, os registros do Cloud DNS são suficientes para a detecção de malware na rede.

Se você precisar de outro nível de visibilidade além da resolução de domínio, ative os registros de fluxo da VPC, mas esses registros podem gerar custos. Para gerenciar esses custos, recomendamos aumentar o intervalo de agregação para 15 minutos e reduzir a taxa de amostragem para 5% e 10%, mas há uma compensação entre o recall (amostra maior) e o gerenciamento de custos (taxa de amostragem menor). Para mais informações, consulte Amostragem e processamento de registros.

Se você já estiver usando a geração de registros de regras de firewall ou do Cloud NAT, esses registros serão úteis no lugar dos registros de fluxo da VPC.

Não é preciso ativar mais de um destes: geração de registros do Cloud NAT, geração de registros de regras de firewall ou registros de fluxo da VPC.

Registros que você precisa ativar

Esta seção lista os registros do Cloud Logging e do Google Workspace que podem ser ativados ou configurados para aumentar o número de ameaças que o Event Threat Detection pode detectar.

Algumas ameaças, como aquelas de representação anômala ou delegação de uma conta de serviço, podem ser encontradas na maioria dos registros de auditoria. Para esses tipos de ameaças, você determina quais registros precisam ser ativados com base nos produtos e serviços que você está usando.

A tabela a seguir mostra registros específicos que você precisa ativar para ameaças que podem ser detectadas apenas em determinados tipos de registro.

Tipo de registro Ameaças detectadas Configuração obrigatória
Geração de registros do Cloud DNS

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

Ativar a geração de registros do Cloud DNS
Registros do Cloud NAT

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Ativar a geração de registros do Cloud NAT
Geração de registros de regras de firewall

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Ative a geração de registros de regras de firewall.
Registros de auditoria de acesso a dados do Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Ativar os registros de auditoria de acesso a dados do Logging para o GKE
Registros de auditoria do administrador do Google Workspace

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Compartilhar registros de auditoria do administrador do Google Workspace com o Cloud Logging

Não é possível verificar esse tipo de registro em ativações no nível do projeto.

Registros de auditoria de login do Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Compartilhar registros de auditoria de login do Google Workspace com o Cloud Logging

Não é possível verificar esse tipo de registro em ativações no nível do projeto.

Registros de serviço de back-end do balanceador de carga de aplicativo externo Initial Access: Log4j Compromise Attempt Ativar a geração de registros do balanceador de carga de aplicativo externo
Registros de auditoria de acesso a dados do MySQL do Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Ative os registros de auditoria de acesso a dados do Logging para o Cloud SQL para MySQL
Registros de auditoria de acesso a dados do Cloud SQL para PostgreSQL

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

Registros de auditoria do acesso a dados do AlloyDB para PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

Registros de auditoria de acesso a dados do IAM Discovery: Service Account Self-Investigation Ativar os registros de auditoria de acesso a dados do Logging para o Resource Manager
Registros de auditoria de acesso a dados do SQL Server Exfiltration: Cloud SQL Data Exfiltration Ativar os registros de auditoria de acesso a dados do Logging para o Cloud SQL para SQL Server
Registros de auditoria de acesso a dados genéricos

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Ative os registros de auditoria de acesso a dados do Logging.
authlogs/authlog em máquinas virtuais Brute force SSH Instale o Agente de operações ou o Agente do Logging legado nos hosts de VM.
Registros de fluxo de VPC

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Ativar os registros de fluxo da VPC

Registros que estão sempre ativados

A tabela a seguir lista os registros do Cloud Logging que você não precisa ativar ou configurar. Esses registros estão sempre ativados e são verificados automaticamente pelo Event Threat Detection.

Tipo de registro Ameaças detectadas Configuração obrigatória
Registros de acesso a dados para BigQueryAuditMetadata

Exfiltração: exfiltração de dados do BigQuery

Exfiltração: extração de dados do BigQuery

Exfiltração: dados do BigQuery para o Google Drive

Exfiltração: mover para o recurso público do BigQuery (pré-lançamento)

Nenhum
Registros de auditoria de atividade do administrador do Google Kubernetes Engine (GKE)

Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes.

Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes.

Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes.

Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre.

Evasão de defesa: acesso de administrador de cluster concedido a sessões anônimas

Acesso inicial: recurso anônimo do GKE criado na Internet (pré-lançamento)

Acesso inicial: recurso do GKE modificado anonimamente pela Internet (pré-lançamento)

Escalonamento de privilégios: usuários efetivamente anônimos receberam acesso ao cluster do GKE (pré-lançamento).

Execução: execução ou anexamento suspeito a um pod do sistema (pré-lançamento)

Escalonamento de privilégios: carga de trabalho criada com uma montagem de caminho de host confidencial (pré-lançamento)

Escalonamento de privilégios: carga de trabalho com shareProcessNamespace ativado (Pré-lançamento)

Escalonamento de privilégios: ClusterRole com verbos privilegiados (pré-lançamento)

Escalonamento de privilégios: ClusterRoleBinding para função privilegiada (Prévia)

Evasão de defesa: solicitação de assinatura de certificado (CSR) excluída manualmente (Pré-lançamento)

Acesso às credenciais: falha na tentativa de aprovar a solicitação de assinatura de certificado (CSR) do Kubernetes (Pré-lançamento).

Acesso às credenciais: solicitação de assinatura de certificado (CSR) do Kubernetes aprovada manualmente (pré-lançamento)

Execução: pod do Kubernetes criado com possíveis argumentos de shell reverso (pré-lançamento).

Evasão de defesa: possível mascaramento de pods do Kubernetes (pré-lançamento)

Escalonamento de privilégios: nomes de contêiner do Kubernetes suspeitos: exploração e escape (Visualização).

Impacto: nomes de contêineres do Kubernetes suspeitos: mineração de moedas (Visualização)

Nenhum
Registros de auditoria da atividade do administrador do IAM

Acesso às credenciais: papel confidencial concedido ao grupo híbrido

Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa

Persistência: papel de representação concedido a uma conta de serviço inativa

Persistência: concessão anômala do IAM (pré-lançamento)

Persistência: papel sensível concedido a uma conta não gerenciada

Nenhum
Registros de atividades do administrador do MySQL Exfiltração: backup de restauração do Cloud SQL para organização externa Nenhum
Registros de atividades do administrador do PostgreSQL Exfiltração: backup de restauração do Cloud SQL para organização externa Nenhum
Registros de atividades do administrador para SQL Server Exfiltração: backup de restauração do Cloud SQL para organização externa Nenhum
Registros de auditoria genéricas da atividade do administrador

Acesso inicial: ação da conta de serviço inativa>

Acesso inicial: criação de chave em uma conta de serviço inativa

Acesso inicial: permissões negadas em excesso

Acesso inicial: chave da conta de serviço vazada usada

Persistência: chave SSH adicionada pelo administrador do GCE

Persistência: script de inicialização adicionado pelo administrador do GCE

Persistência: novo método de API

Persistência: nova região geográfica

Persistência: novo user agent

Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador

Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador

Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador

Movimento lateral: disco de inicialização modificado anexado à instância (pré-lançamento)

Nenhum
Registros de auditoria do VPC Service Controls Evasão de defesa: modificar o VPC Service Control (pré-lançamento) Nenhum
Registros de auditoria de atividade do administrador de backup e DR

Destruição de dados: expiração de todas as imagens de backup e DR do Google Cloud

Inibir recuperação do sistema: política de exclusão de backup e DR do Google Cloud

Inibir recuperação do sistema: modelo de exclusão de backup e DR do Google Cloud

Inibir recuperação do sistema: exclusão de perfil de backup e DR do Google Cloud

Inibir recuperação do sistema: pool de armazenamento de exclusão de backup e DR do Google Cloud

Inibir recuperação do sistema: host de backup e DR do Google Cloud excluído

Destruição de dados: imagem de expiração de backup e DR do Google Cloud

Destruição de dados: remoção de dispositivo de backup e DR do Google Cloud

Inibir recuperação do sistema: plano de remoção de backup e DR do Google Cloud

Impacto: o Backup e DR do Google Cloud reduzem a expiração do backup

Impacto: o Backup e DR do Google Cloud reduzem a frequência de backup

Nenhum

A seguir