此页面由 Cloud Translation API 翻译。

Event Threat Detection 概览

什么是 Event Threat Detection？

Event Threat Detection 是 Security Command Center 高级层级的内置服务，持续监控您的组织或项目并识别威胁实时更新系统内的数据Event Threat Detection 会定期更新检测程序，以识别新出现的云规模的威胁。

Event Threat Detection 的工作原理

Event Threat Detection 会监控贵组织或项目的 Cloud Logging 流。如果您激活 Security Command Center 高级方案那么 Event Threat Detection 使用日志创建项目后，Event Threat Detection 可以监控 Google Workspace 日志。 Cloud Logging 包含会创建、读取或修改资源配置或元数据的 API 调用以及其他操作的日志条目。Google Workspace 日志会跟踪您网域中的用户登录情况，并提供在 Google Workspace 管理控制台中执行的操作的记录。

日志条目包含 Event Threat Detection 用于快速检测威胁的状态和事件信息。Event Threat Detection 会应用检测逻辑和专有威胁情报（包括 Tripwire 指示器匹配、时段分析、高级分析、机器学习和异常值检测），以近乎实时的方式识别威胁。

当 Event Threat Detection 检测到威胁时，它会将发现结果写入 Security Command Center。如果您在组织级别，Security Command Center 可以将发现结果写入 Cloud Logging，项目。从 Cloud Logging 和 Google Workspace 日志记录中，您可以使用 Pub/Sub 将发现结果导出到其他系统，并使用 Cloud Run 函数对其进行处理。

如果您在组织级层激活 Security Command Center 高级层级，还可以使用 Google 安全运营来调查一些发现结果。Google SecOps 是一项 Google Cloud 服务可让您调查威胁，并在统一的环境中时间轴。如需了解如何将发现结果发送到 Google SecOps，请参阅在 Google SecOps 中调查发现结果。

您查看和修改发现结果和日志的能力取决于您被授予的 Identity and Access Management (IAM) 角色。如需详细了解 Security Command Center IAM 角色，请参阅访问权限控制。

Event Threat Detection 规则

规则定义了 Event Threat Detection 检测到的威胁类型，以及让检测器工作所必须启用的日志类型。管理员活动审核日志始终会写入；您无法配置或停用它们。

Event Threat Detection 包含以下默认规则：

显示名称	API 名称	日志源类型	说明
主动扫描：Log4j 易受 RCE 攻击	不可用	Cloud DNS 日志	通过识别未混淆网域的 DNS 查询，检测活跃的 Log4j 漏洞由受支持的 Log4j 漏洞扫描程序发起的事件。
禁止系统恢复：删除了 Google Cloud 备份和灾难恢复主机	`BACKUP_HOSTS_DELETE_HOST`	Cloud Audit Logs：备份和灾难恢复服务数据访问日志	已从备份和灾难恢复中删除主机。与删除的主机可能未受到保护。
数据销毁：Google Cloud 备份和灾难恢复会过期的映像	`BACKUP_EXPIRE_IMAGE`	Cloud Audit Logs：备份和灾难恢复数据访问日志	用户请求从备份和灾难恢复中删除备份图片。通过删除备用图片不会阻止未来的备份。
禁止系统恢复：Google Cloud 备份和灾难恢复移除方案	`BACKUP_REMOVE_PLAN`	Cloud Audit Logs：备份和灾难恢复数据访问日志	从备份和灾难恢复中删除了具有多个应用的备份方案。删除备份方案可能会阻止未来备份。
数据销毁：Google Cloud 备份和灾难恢复会使所有映像过期	`BACKUP_EXPIRE_IMAGES_ALL`	Cloud Audit Logs：备份和灾难恢复数据访问日志	用户请求从备份和灾难恢复中删除受保护应用的所有备份映像。删除备份不会阻止未来备份。
禁止系统恢复：Google Cloud 备份和灾难恢复删除模板	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Cloud Audit Logs：备份和灾难恢复数据访问日志	预定义的备份模板，用于为多个应用设置备份；已删除。未来设置备份的能力可能会受到影响。
禁止系统恢复：Google Cloud 备份和灾难恢复删除政策	`BACKUP_TEMPLATES_DELETE_POLICY`	Cloud Audit Logs：备份和灾难恢复数据访问日志	备份和灾难恢复政策定义了备份的存储方式和存储位置。将来使用该政策的备份可能会失败。
禁止系统恢复：Google Cloud 备份和灾难恢复删除配置文件	`BACKUP_PROFILES_DELETE_PROFILE`	Cloud Audit Logs：备份和灾难恢复数据访问日志	备份和灾难恢复配置文件（用于定义应该使用哪些存储池来存储备份）已被删除。将来使用该配置文件的备份可能会失败。
数据销毁：Google Cloud 备份和灾难恢复移除设备	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Cloud Audit Logs：备份和灾难恢复数据访问日志	从备份和灾难恢复中删除了备份设备。与已删除的备份设备关联的应用可能无法受到保护。
禁止系统恢复：Google Cloud 备份和灾难恢复删除存储池	`BACKUP_STORAGE_POOLS_DELETE`	Cloud Audit Logs：备份和灾难恢复数据访问日志	已从备份和灾难恢复中移除存储池，该池将 Cloud Storage 存储桶与备份和灾难恢复相关联。此存储目标的未来备份将失败。
影响：Google Cloud 备份和灾难恢复缩短了备份过期时间	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Cloud Audit Logs：备份和灾难恢复数据访问日志	受备份和灾难恢复保护的备份的到期日期已缩短。
影响：Google Cloud 备份和灾难恢复降低了备份频率	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Cloud Audit Logs：备份和灾难恢复数据访问日志	已修改备份和灾难恢复备份时间表以减少备份频率。
SSH 暴力破解	`BRUTE_FORCE_SSH`	authlog	检测主机上的 SSH 暴力破解能力。
Cloud IDS：`THREAT_IDENTIFIER`	`CLOUD_IDS_THREAT_ACTIVITY`	Cloud IDS 日志	Cloud IDS 检测到的威胁事件。 Cloud IDS 通过分析镜像数据包检测第 7 层攻击，检测到威胁事件，将威胁类别发现结果发送到 Security Command Center。发现结果类别名称以“Cloud IDS”开头，后跟 Cloud IDS 威胁标识符。 Cloud IDS 与 Event Threat Detection 的集成不包括 Cloud IDS 漏洞检测。如需详细了解 Cloud IDS 检测，请参阅 Cloud IDS Logging 信息。
凭据访问：添加到特权群组的外部成员	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Google Workspace 日志：登录审核权限： `DATA_READ`	检测外部成员被添加到特权 Google 群组（群组）的事件敏感角色或权限）。仅当群组处于非活动状态时，未与新成员来自同一组织的其他外部成员已添加成员。如需了解详情，请参阅不安全的 Google 群组更改。发现结果分为高或中严重级别，具体取决于与群组更改相关的角色的敏感度。如需了解详情，请参阅敏感 IAM 角色和权限。此发现结果不适用于项目级激活。
凭据访问：向公众开放的特权群组	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace：管理员审核权限： `DATA_READ`	检测特权 Google 群组（授予了敏感角色或权限的群组）变为可供公众访问的事件。如需了解详情，请参阅不安全的 Google 群组更改。发现结果的分类为高或中，具体取决于与组更改相关的角色的敏感性。如需了解详情，请参阅敏感 IAM 角色和权限。此发现结果不适用于项目级激活。
凭据访问：授予混合群组的敏感角色	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Cloud Audit Logs： IAM 管理员活动审核日志	检测向具有外部成员的 Google 群组授予敏感角色的事件。如需了解详情，请参阅不安全的 Google 群组更改。发现结果分为高或中严重级别，具体取决于与群组更改相关的角色的敏感度。有关请参阅敏感 IAM 角色和权限。此发现结果不适用于项目级激活。
防护规避：已创建 Breakglass 工作负载部署（预览版）	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Cloud Audit Logs：管理员活动日志	使用紧急访问权限标志检测所部署的工作负载的部署情况，替换 Binary Authorization 控件。
防护规避：更新 Breakglass 工作负载部署（预览版）	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Cloud Audit Logs：管理员活动日志	使用 breakglass 标志替换工作负载，以检测工作负载何时更新 Binary Authorization 控件。
防护规避：修改 VPC Service Controls	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud Audit Logs VPC Service Controls 审核日志	检测对现有 VPC Service Controls 边界的更改，这些更改会导致该边界提供的保护减少。此发现结果不适用于项目级激活。
发现：可以获取敏感的 Kubernetes 对象检查	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud Audit Logs： GKE 数据访问日志	潜在恶意操作者尝试使用 `kubectl auth can-i get` 命令确定可以查询 GKE 中的哪些敏感对象。具体而言，该规则会检测恶意操作者是否检查了以下对象的 API 访问权限： `*`（全部） `cluster-admin` `ClusterRole` `Secret`
发现：服务账号自行调查	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Cloud Audit Logs： IAM 数据访问审核日志权限： `DATA_READ`	检测用于 t 的 IAM 服务账号凭据调查与同一服务账号关联的角色和权限。敏感角色发现结果的严重程度分为高或中，具体取决于授予的角色的敏感度。如需了解详情，请参阅敏感 IAM 角色和权限。
评估：从匿名代理访问	`ANOMALOUS_ACCESS`	Cloud Audit Logs：管理员活动日志	检测源自匿名代理 IP 地址（例如 Tor IP 地址）的 Google Cloud 服务修改。
数据渗漏：BigQuery 数据渗漏	`DATA_EXFILTRATION_BIG_QUERY`	Cloud Audit Logs： BigQueryAuditMetadata 数据访问日志权限： `DATA_READ`	检测以下场景：检测受保护组织所拥有并保存在组织外部的资源，包括复制或转移操作。此场景由 `exfil_to_external_table` 子规则和 `HIGH` 严重程度表示。尝试访问受 VPC Service Controls 保护的 BigQuery 资源。此场景由 `vpc_perimeter_violation` 子规则和 `LOW` 严重程度表示。
渗漏：BigQuery 数据提取	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Cloud Audit Logs： BigQueryAuditMetadata 数据访问日志权限： `DATA_READ`	检测以下场景：受保护的组织所拥有的 BigQuery 资源通过提取操作保存到组织外部的 Cloud Storage 存储桶中。受保护的组织所拥有的 BigQuery 资源通过提取操作保存到该组织拥有的可公开访问的 Cloud Storage 存储桶中。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。
渗漏：BigQuery 数据进入 Google 云端硬盘	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Cloud Audit Logs： BigQueryAuditMetadata 数据访问日志权限： `DATA_READ`	检测以下情况：系统通过提取操作将受保护组织拥有的 BigQuery 资源保存到 Google 云端硬盘文件夹。
渗漏：Cloud SQL 数据渗漏	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud Audit Logs：MySQL 数据访问日志 PostgreSQL 数据访问日志 SQL Server 数据访问日志	检测以下场景：活动实例数据导出到组织外部的 Cloud Storage 存储桶。实时实例数据导出到并可公开访问。对于 Security Command Center 高级层级的项目级激活，此发现结果仅在父级组织中启用了标准层级时才可用。
渗漏：Cloud SQL 将备份恢复到外部组织	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud Audit Logs： MySQL 管理员活动日志 PostgreSQL 管理员活动日志 SQL Server 管理员活动日志	检测 Cloud SQL 实例的备份恢复到实例的事件组织外部人员。
渗漏：Cloud SQL 过度授予特权	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs： PostgreSQL 数据访问日志注意：您必须启用 pgAudit 才能使用此规则。	检测 Cloud SQL for PostgreSQL 用户或角色已被授予全部数据库或架构中的所有表、过程或函数的权限。
初始访问：数据库超级用户写入用户表	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs： Cloud SQL for PostgreSQL 数据访问日志 Cloud SQL for MySQL 数据访问日志注意：您必须为 PostgreSQL 启用 pgAudit 扩展程序，或为 MySQL 启用数据库审核才能使用此规则。	检测 Cloud SQL 超级用户（对于 PostgreSQL，为 `postgres`）的事件服务器或 `root`（针对 MySQL 用户）写入非系统表。
提升权限：AlloyDB 过度特权授权	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs： AlloyDB for PostgreSQL 数据访问日志注意：您必须启用 pgAudit 扩展程序才能使用此规则。	检测 AlloyDB for PostgreSQL 用户或角色已被授予所有数据库或架构中的所有表、过程或函数的权限。
提升权限：AlloyDB 数据库超级用户写入用户表	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs： AlloyDB for PostgreSQL 数据访问日志注意：您必须启用 pgAudit 扩展程序以使用此规则。	检测 AlloyDB for PostgreSQL 超级用户 (`postgres`) 写入非系统表的事件。
初始访问：休眠服务账号操作	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud Audit Logs：管理员活动日志	检测处于休眠状态的用户管理的服务账号触发了操作的事件。在此上下文中，如果服务账号处于非活跃状态超过 180 天，则会被视为休眠。
提升权限：休眠服务账号被授予敏感角色	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs： IAM 管理员活动审核日志	检测休眠事件用户代管式服务被授予了一个或多个敏感 IAM 角色。在此上下文中，如果服务账号处于非活跃状态超过 180 天，则会被视为休眠。敏感角色发现结果分为高或中严重级别，具体取决于所授予角色的敏感度。如需了解详情，请参阅敏感 IAM 角色和权限。
持久性：已授予休眠服务账号的模拟角色	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Cloud Audit Logs： IAM 管理员活动审核日志	检测主账号被授予模拟用户管理的休眠服务账号的权限的事件。在此上下文中，如果服务账号处于非活跃状态超过 180 天，则会被视为休眠。
初始访问：已创建休眠服务账号密钥	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Cloud Audit Logs：管理员活动日志	检测为用户管理的休眠服务账号创建密钥的事件。在这种情况下，如果服务账号处于非活跃状态，则会被视为休眠账号超过 180 天。
初始访问权限：使用的服务账号密钥已泄露	`LEAKED_SA_KEY_USED`	Cloud Audit Logs：管理员活动日志数据访问日志	检测使用泄露的服务账号密钥对操作进行身份验证的事件。在此上下文中，泄露的服务账号密钥是发布到公共互联网上的密钥。
初始访问：过多的权限遭拒操作	`EXCESSIVE_FAILED_ATTEMPT`	Cloud Audit Logs：管理员活动日志	检测到主账号尝试在多个方法和服务中进行更改时反复触发权限遭拒错误的事件。
防御受影响：强身份验证被停用	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace：管理员审核	您的组织已停用两步验证。此发现结果不适用于项目级激活。
防御受影响：两步验证被停用	`2SV_DISABLE`	Google Workspace 日志：登录审核权限： `DATA_READ`	用户停用了两步验证。此发现结果不适用于项目级激活。
初始访问权限：账号因遭到盗用而被停用	`ACCOUNT_DISABLED_HIJACKED`	Google Workspace 日志：登录审核权限： `DATA_READ`	用户的账号因可疑活动而被中止。此发现结果不适用于项目级激活。
初始访问权限：因密码泄露而被停用	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Google Workspace 日志：登录审核权限： `DATA_READ`	由于检测到密码泄露，用户的账号已被停用。此发现结果不适用于项目级激活。
初始访问权限：受政府支持的攻击	`GOV_ATTACK_WARNING`	Google Workspace 日志：登录审核权限： `DATA_READ`	受政府支持的攻击者可能曾试图入侵用户账号或计算机。此发现结果不适用于项目级激活。
初始访问权限：Log4j 入侵尝试	不可用	Cloud Load Balancing 日志： Cloud HTTP 负载平衡器注意：您必须启用外部应用负载平衡器日志记录才能使用此规则。	检测标头或网址参数中的 Java 命名和目录接口 (JNDI) 查找。这些查找可能表明 Log4Shell 被漏洞利用的尝试。这些发现结果的严重程度较低，因为它们仅表示检测到了一项而非漏洞或入侵行为此规则始终处于启用状态。
初始访问权限：可疑登录被阻止	`SUSPICIOUS_LOGIN`	Google Workspace 日志：登录审核权限： `DATA_READ`	检测到并阻止了用户账号的可疑登录。此发现结果不适用于项目级激活。
Log4j 恶意软件：网域错误	`LOG4J_BAD_DOMAIN`	Cloud DNS 日志	根据与 Log4j 攻击中使用的已知网域的连接或查询来检测 Log4j 漏洞流量。
Log4j 恶意软件：IP 错误	`LOG4J_BAD_IP`	VPC 流日志防火墙规则日志 Cloud NAT 日志	根据与以下项目中使用的已知 IP 地址的连接检测 Log4j 漏洞攻击 Log4j 攻击。
恶意软件错误网域	`MALWARE_BAD_DOMAIN`	Cloud DNS 日志	根据与已知恶意网域的连接或查找，检测恶意软件。
恶意软件错误 IP	`MALWARE_BAD_IP`	VPC 流日志防火墙规则日志 Cloud NAT 日志	根据与已知不良 IP 地址的连接检测恶意软件。
恶意软件：挖矿网域错误	`CRYPTOMINING_POOL_DOMAIN`	Cloud DNS 日志	根据与已知挖矿网域的连接或查询挖掘加密内容。
恶意软件：挖矿 IP 错误	`CRYPTOMINING_POOL_IP`	VPC 流日志防火墙规则日志 Cloud NAT 日志	根据与已知挖矿 IP 地址的连接检测加密。
传出 DoS	`OUTGOING_DOS`	VPC 流日志	检测拒绝服务攻击流量传出事件。
持久性：GCE 管理员添加了 SSH 密钥	`GCE_ADMIN_ADD_SSH_KEY`	Cloud Audit Logs： Compute Engine 审核日志	在该页面上检测 Compute Engine 实例元数据 SSH 密钥值是否遭到修改已建立的实例（超过 1 周）。
持久性：GCE 管理员添加了启动脚本	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Cloud Audit Logs： Compute Engine 审核日志	检测对 Compute Engine 实例元数据启动脚本的修改值（超过 1 周）。
持久化：IAM 异常授权	`IAM_ANOMALOUS_GRANT`	Cloud Audit Logs ： IAM 管理员活动审核日志	此发现结果包含子规则，用于提供有关此发现结果每个实例的更具体的信息。以下列表显示了所有可能的子规则： `external_service_account_added_to_policy`、`external_member_added_to_policy`：检测向非组织成员的 IAM 用户和服务账号授予的权限，或者如果仅在项目级层激活 Security Command Center，则检测向非项目成员的 IAM 用户和服务账号授予的权限。注意：如果在任何组织级别激活 Security Command Center 则此检测器使用组织的现有 IAM 作为上下文。如果仅在项目中激活 Security Command Center 那么检测器仅使用项目的 IAM 政策上下文。如果发生向外部成员发出的敏感 IAM 授权，并且存在三个与此类似的现有 IAM 政策，则此检测器会生成发现结果。敏感角色发现结果的严重程度分为高或中，具体取决于授予的角色的敏感度。如需了解详情，请参阅敏感 IAM 角色和权限。 `external_member_invited_to_policy`：检测何时通过 `InsertProjectOwnershipInvite` API 邀请外部成员成为项目所有者。 `custom_role_given_sensitive_permissions`：检测为自定义角色添加了 `setIAMPolicy` 权限。 `service_account_granted_sensitive_role_to_member`：检测何时特权角色通过服务账号授予成员。该子规则由仅包含基本 IAM 的部分敏感角色触发以及某些数据存储角色如需了解详情，请参阅敏感 IAM 角色和权限。 `policy_modified_by_default_compute_service_account`：检测默认的 Compute Engine 服务账号用于修改项目 IAM 设置。
持久性：非托管账号被授予敏感角色（预览版）	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs： IAM 管理员活动审核日志	检测到向非托管账号授予敏感角色。
持久性：新的 API 方法	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Cloud Audit Logs：管理员活动日志	检测 IAM 服务账号对 Google Cloud 服务的异常使用。
持久性：新地理位置	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Cloud Audit Logs：管理员活动日志	根据发出请求的 IP 地址的地理位置，检测到 IAM 用户和服务账号从异常位置访问 Google Cloud。此发现结果不适用于项目级激活。
持久性：新用户代理	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Cloud Audit Logs：管理员活动日志	检测到 IAM 服务账号从异常或可疑用户代理访问 Google Cloud。此发现结果不适用于项目级激活。
持久性：单点登录启用切换	`TOGGLE_SSO_ENABLED`	Google Workspace：管理员审核	管理员账号的“启用 SSO（单点登录）”设置已停用。此发现结果不适用于项目级激活。
持久性：单点登录设置发生了更改	`CHANGE_SSO_SETTINGS`	Google Workspace：管理员审核	管理员账号的 SSO 设置已更改。此发现结果不适用于项目级激活。
提升权限：针对管理员活动的服务账号异常模拟	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Cloud Audit Logs：管理员活动日志	检测潜在的异常模拟服务账号何时用于管理活动。
提升权限：针对管理员活动的异常多步服务账号委托	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Cloud Audit Logs：管理员活动日志	检测何时发现针对管理活动的异常多步委托请求。
提升权限：针对数据访问的异常多步服务账号委托	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud Audit Logs：数据访问日志	当出现异常多步，委托的请求数据访问活动。
提升权限：针对管理员活动的异常服务账号模拟者	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Cloud Audit Logs：管理员活动日志	在出现潜在的异常值时， caller/impersonator 委托链用于管理活动。
提升权限：针对数据访问的异常服务账号模拟者	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud Audit Logs：数据访问日志	在出现潜在的异常值时 caller/impersonator 委托链用于数据访问活动。
提升权限：对敏感 Kubernetes RBAC 对象的更改	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Cloud Audit Logs： GKE 管理员活动日志	为了提升特权，潜在恶意操作者尝试使用 `PUT` 或 `PATCH` 请求修改敏感 `cluster-admin` 角色的 `ClusterRole`、`RoleBinding` 或 `ClusterRoleBinding` 基于角色的访问权限控制 (RBAC) 对象。
提升权限：为主证书创建 Kubernetes CSR	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud Audit Logs： GKE 管理员活动日志	潜在恶意方已创建一个 Kubernetes 主实例证书签名请求 (CSR)，这让他们可以 `cluster-admin` 访问权限。
提升权限：创建敏感的 Kubernetes 绑定	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Cloud Audit Logs： IAM 管理员活动审核日志	为了升级特权，潜在的恶意行为者试图创建新的 `RoleBinding` 或 `ClusterRoleBinding` 对象 `cluster-admin` 角色。
提升权限：使用被破解的引导凭据获取 Kubernetes CSR	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud Audit Logs： GKE 数据访问日志	潜在恶意方已请求证书签名请求 (CSR)，通过 `kubectl` 命令使用被盗的引导凭据。
提升权限：启动特权 Kubernetes 容器	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Cloud Audit Logs： GKE 管理员活动日志	潜在恶意方已创建一个 Pod，该 Pod 包含特权容器或具有提升权限功能的容器。特权容器的 `privileged` 字段设置为 `true`。具有提升权限功能的容器 `allowPrivilegeEscalation` 字段设为 `true`。有关请参阅 SecurityContext v1 核心 Kubernetes 文档中的 API 参考文档。
持久性：已创建服务账号密钥	`SERVICE_ACCOUNT_KEY_CREATION`	Cloud Audit Logs： IAM 管理员活动审核日志	检测到服务账号密钥的创建操作。服务账号密钥长期有效会增加未经授权访问 Google Cloud 的风险资源。
提升权限：已添加全局关闭脚本	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Cloud Audit Logs： IAM 管理员活动审核日志	检测何时向项目添加了全局关闭脚本。
持久性：已添加全局启动脚本	`GLOBAL_STARTUP_SCRIPT_ADDED`	Cloud Audit Logs： IAM 管理员活动审核日志	检测何时向项目添加全局启动脚本。
防护规避：已添加组织级 Service Account Token Creator 角色	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs： IAM 管理员活动审核日志	当 Service Account Token Creator IAM 角色都是在组织级别授予的
防护规避：添加了项目级 Service Account Token Creator 角色	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs： IAM 管理员活动审核日志	检测何时在项目级授予 Service Account Token Creator IAM 角色。
横向移动：从服务账号发起的操作系统补丁执行作业	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Cloud Audit Logs。 IAM 管理员活动审核日志	检测服务账号何时使用 Compute Engine 补丁功能更新当前正在运行的任何 Compute Engine 实例的操作系统。
横向移动：修改了挂接到实例的启动磁盘（预览版）	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Cloud Audit Logs： Compute Engine 审核日志	检测启动磁盘何时与一个 Compute Engine 实例分离并挂接这表示有人试图使用经过修改的启动磁盘
凭据访问：在 Kubernetes 命名空间中访问 Secret	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Cloud Audit Logs： GKE 数据访问日志	检测当前 Kubernetes 命名空间中的服务账号何时访问 Secret 或服务账号令牌。
资源开发：攻击性安全发行版活动	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Cloud Audit Logs： IAM 管理员活动审核日志	检测来自已知渗透测试或攻击性安全分发版的成功 Google Cloud 资源操纵。
提升权限：新服务账号为 Owner 或 Editor	`SERVICE_ACCOUNT_EDITOR_OWNER`	Cloud Audit Logs： IAM 管理员活动审核日志	检测何时创建了具有项目 Editor 或 Owner 角色的新服务账号。
发现：使用了信息收集工具	`INFORMATION_GATHERING_TOOL_USED`	Cloud Audit Logs： IAM 管理员活动审核日志	检测到 ScoutSuite 的使用情况。ScoutSuite 是已知使用的云安全审核工具造成干扰。
提升权限：可疑的令牌生成活动	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Cloud Audit Logs： IAM 管理员活动审核日志	检测 `iam.serviceAccounts.implicitDelegation` 权限何时获得用于从权限更高的服务账号生成访问令牌。
提升权限：可疑的令牌生成活动	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Cloud Audit Logs： IAM 管理员活动审核日志	检测服务账号何时使用 `serviceAccounts.signJwt` 方法为其他服务账号生成访问令牌。
提升权限：可疑的令牌生成活动	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Cloud Audit Logs： IAM 管理员活动审核日志	检测 `iam.serviceAccounts.getOpenIdToken` IAM 权限的跨项目使用情况。此发现结果不适用于项目级激活。
提升权限：可疑的令牌生成活动	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Cloud Audit Logs： IAM 管理员活动审核日志	检测 `iam.serviceAccounts.getAccessToken` IAM 权限的跨项目使用情况。此发现结果不适用于项目级激活。
特权提升：可疑的跨项目权限使用	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Cloud Audit Logs： IAM 管理员活动审核日志	检测 `datafusion.instances.create` 的跨项目使用 IAM 权限。此发现结果不适用于项目级激活。
命令和控制：DNS 隧道	`DNS_TUNNELING_IODINE_HANDSHAKE`	Cloud DNS 日志	检测 DNS 隧道工具 Iodine 的握手。
防护规避：VPC 路由伪装尝试	`VPC_ROUTE_MASQUERADE`	Cloud Audit Logs： IAM 管理员活动审核日志	检测手动创建的 VPC 路由是否冒充 Google Cloud 默认路由，允许出站流量流向外部 IP 地址。
影响：结算功能已停用	`BILLING_DISABLED_SINGLE_PROJECT`	Cloud Audit Logs： IAM 管理员活动审核日志	检测何时为项目停用结算功能。
影响：已停用结算功能	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Cloud Audit Logs： IAM 管理员活动审核日志	检测何时为组织中的多个项目在短时间内停用了结算功能。
影响：VPC 防火墙高优先级阻止	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Cloud Audit Logs： IAM 管理员活动审核日志	检测是否 VPC 防火墙规则阻止了添加的流量的优先级为 0
影响：VPC 防火墙大规模规则删除^{暂时无法使用}	`VPC_FIREWALL_MASS_RULE_DELETION`	Cloud Audit Logs： IAM 管理员活动审核日志	检测非服务账号大规模删除 VPC 防火墙规则的情况。此规则暂时不可用。如需监控防火墙规则的更新，请使用 Cloud Audit Logs。
影响：已停用服务 API	`SERVICE_API_DISABLED`	Cloud Audit Logs： IAM 管理员活动审核日志	检测 Google Cloud 服务 API 在生产环境中何时停用。
影响：托管式实例组自动扩缩已设为最大	`MIG_AUTOSCALING_SET_TO_MAX`	Cloud Audit Logs： IAM 管理员活动审核日志	检测代管式实例组何时进行最大自动扩缩
发现：未经授权的服务账号 API 调用	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Cloud Audit Logs： IAM 管理员活动审核日志	检测服务账号何时进行未经授权的跨项目 API 调用。
防御规避：向匿名会话授予集群管理员访问权限	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Cloud Audit Logs： GKE 管理员活动日志	检测创建基于角色的访问控制 (RBAC) `ClusterRoleBinding` 对象的情况，该对象会向匿名用户添加 `root-cluster-admin-binding` 行为。
初始访问：从互联网创建匿名 GKE 资源（预览版）	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs： GKE 管理员活动日志	从以下位置检测资源创建事件：有效匿名化互联网用户。
初始访问：从互联网匿名修改 GKE 资源（预览版）	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs： GKE 管理员活动日志	检测来自有效匿名互联网用户的资源操纵事件。
提升权限：以有效匿名用户授予 GKE 集群访问权限（预览版）	`GKE_ANONYMOUS_USERS_GRANTED_ACCESS`	Cloud Audit Logs： GKE 管理员活动日志	有人创建了引用以下某个用户或群组的 RBAC 绑定： `system:anonymous` `system:unauthenticated` `system:authenticated` 这些用户和群组实际上是匿名的，因此在向任何 RBAC 角色创建角色绑定或集群角色绑定时，应避免使用它们。检查绑定，确保其必要性。如果不需要该绑定，请将其移除。
执行：可疑执行或系统 Pod 连接（预览版）	`GKE_SUSPICIOUS_EXEC_ATTACH`	Cloud Audit Logs： GKE 管理员活动日志	有人使用 `exec` 或 `attach` 命令获取了 shell，或者对在 `kube-system` 命名空间中运行的容器执行了命令。这些方法有时用于合法的调试目的。不过， `kube-system` 命名空间用于由 Kubernetes 创建的系统对象，以及意外的命令执行或 shell 创建。
提升权限：在装载敏感主机路径的情况下创建的工作负载（预览版）	`GKE_SENSITIVE_HOSTPATH`	Cloud Audit Logs： GKE 管理员活动日志	有人创建了一个工作负载，其中包含将 `hostPath` 卷装载到敏感路径。对主机文件系统上这些路径的访问权限可用于访问节点上的特权或敏感信息，以及用于容器逃逸。如果可能，请勿将任何 `hostPath` 卷放入集群。
提升权限：启用了 ShareProcessNamespace 的工作负载（预览版）	`GKE_SHAREPROCESSNAMESPACE_POD`	Cloud Audit Logs： GKE 管理员活动日志	有人部署了工作负载，并将 `shareProcessNamespace` 选项设置为 `true`：允许所有容器共享同一个 Linux 进程命名空间。这可能会让不受信任或被盗用的容器通过从命令行访问和控制环境变量、内存和其他敏感数据，其他容器中运行的进程
提升权限：具有特权动词的 ClusterRole（预览版）	`GKE_CLUSTERROLE_PRIVILEGED_VERBS`	Cloud Audit Logs： GKE 管理员活动日志	有人创建了包含 `bind`、`escalate` 或 `impersonate` 动词的 RBAC `ClusterRole`。绑定到具有这些动词的角色可以模拟其他用户、绑定到其他 `Roles` 或 `ClusterRoles`，其中包含其他或修改其自己的 ClusterRole 权限。这可能会导致这些主体获得集群管理员权限。
提升权限：ClusterRoleBinding 到特权角色（预览版）	`GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER`	Cloud Audit Logs： GKE 管理员活动日志	有人创建了一个引用默认 `system:controller:clusterrole-aggregation-controllerClusterRole` 的 RBAC `ClusterRoleBinding`。此默认 `ClusterRole` 具有 `escalate` 动词，允许主体修改自己的角色的权限，从而导致权限提升。
防护规避：手动删除证书签名请求 (CSR)（预览版）	`GKE_MANUALLY_DELETED_CSR`	Cloud Audit Logs： GKE 管理员活动日志	有人手动删除了证书签名请求 (CSR)。垃圾回收控制器会自动移除 CSR，但恶意行为者可能会手动删除 CSR 以逃避检测。如果已删除的 CSR 对应的是已获批准并已颁发的证书，那么潜在恶意行为者现在又多了一个用于访问集群的身份验证方法。与证书关联的权限因它们包含的主题，但可能具有高度特权。Kubernetes 不支持证书撤消。
凭据访问：未能批准 Kubernetes 证书签名请求 (CSR) (Preview)	`GKE_APPROVE_CSR_FORBIDDEN`	Cloud Audit Logs： GKE 管理员活动日志	有人尝试手动批准证书签名请求 (CSR)，但操作失败。创建用于集群身份验证的证书是攻击者创建对已被入侵集群的永久访问权限的常用方法。权限会随证书包含的主题而有所不同，但具有较高特权。
凭据访问：手动批准的 Kubernetes 证书签名请求 (CSR) （预览版）	`GKE_CSR_APPROVED`	Cloud Audit Logs： GKE 管理员活动日志	有人手动批准了证书签名请求 (CSR)。创建证书是攻击者创建永久访问的常用方法，被入侵的集群与证书关联的权限因情况而异包含哪个主题，但可能具有高度特权。
执行：使用潜在的反向 Shell 参数创建的 Kubernetes Pod（预览版）	`GKE_REVERSE_SHELL_POD`	Cloud Audit Logs： GKE 管理员活动日志	有人创建了一个 Pod，其中包含的命令或参数通常与反向 shell。攻击者使用反向 Shell 来扩大或维持对集群的初始访问权限，并执行任意命令。
防护规避：潜在的 Kubernetes Pod 伪装（预览版）	`GKE_POD_MASQUERADING`	Cloud Audit Logs： GKE 管理员活动日志	有人部署了一个 Pod，其命名规范类似于 GKE 为常规集群操作而创建此技术称为伪装。
提升权限：可疑的 Kubernetes 容器名称 - 漏洞利用和转义（预览版）	`GKE_SUSPICIOUS_EXPLOIT_POD`	Cloud Audit Logs： GKE 管理员活动日志	有人部署了一个 Pod，其命名惯例与用于部署容器的常用工具类似，容器逃逸或对集群实施其他攻击。
影响：可疑的 Kubernetes 容器名称 - 代币挖掘（预览版）	`GKE_SUSPICIOUS_CRYPTOMINING_POD`	Cloud Audit Logs： GKE 管理员活动日志	有人部署了一个 Pod，其命名惯例与常见的加密货币类似矿工。这可能是因为攻击者已获得对集群的初始访问权限，并尝试使用集群的资源进行加密货币挖掘。

Event Threat Detection 的自定义模块

除了内置检测规则之外，Event Threat Detection 还提供模块模板，可用于创建自定义检测规则。如需了解详情，请参阅 Event Threat Detection 的自定义模块概览。

如需创建没有可用自定义模块模板的检测规则，您可以将日志数据导出到 BigQuery，然后运行唯一或重复的 SQL 查询来捕获威胁模型。

不安全的 Google 群组更改

本部分介绍了 Event Threat Detection 如何使用 Google Workspace 日志，用于检测不安全的 Google 群组的 Cloud Audit Logs 和 IAM 政策更改。仅当您在组织级层激活 Security Command Center 时，才支持检测 Google 群组更改。

Google Cloud 客户可以使用 Google 群组管理其组织成员的角色和权限，或对一系列用户应用访问权限政策。管理员可以直接向成员授予角色和权限，然后将成员添加到特定群组，而不是直接向成员授予角色。群组成员会继承群组的所有角色和权限，使成员可以访问特定资源和服务。

虽然 Google 群组是一种大规模管理访问权限控制的便捷方式，如果来自您组织或网域外部的外部用户添加到特权群组 - 被授予的群组敏感角色或权限。敏感角色控制对安全和网络设置、日志以及个人身份信息的访问权限信息 (PII)，不建议用于外部群组成员。

在大型组织中，管理员可能不知道外部成员添加到特权群组的时间。Cloud Audit Logs 会记录向群组授予的角色，但这些日志事件不包含群组成员的相关信息，这可能会掩盖部分群组更改的潜在影响。

如果您与 Google Cloud 共享 Google Workspace 日志，则 Event Threat Detection 会监控您的日志记录流，以查找添加到组织 Google 群组的新成员。由于日志位于组织级别，Event Threat Detection 可以扫描 Google Workspace 日志只有在组织级别激活 Security Command Center 时才启用此选项。如果您在项目级层激活 Security Command Center，Event Threat Detection 则无法扫描这些日志。

事件威胁检测可识别外部群组成员，并利用 Cloud Audit Logs 查看每个受影响群组的 IAM 角色，以检查群组被授予敏感角色。这些信息用于检测特权 Google 群组的以下不安全更改：

已加入特权群组的外部群组成员
授予群组外部成员的敏感角色或权限
更改为允许公众加入的特权群组

Event Threat Detection 会将发现结果写入 Security Command Center。发现结果包含新添加的外部成员的电子邮件地址、内部群组（用于启动事件、群组名称）以及与群组关联的敏感角色。您可以使用这些信息从群组中移除外部成员或撤消授予群组的敏感角色。

如需详细了解 Event Threat Detection 的发现结果，请参阅 Event Threat Detection 规则。

敏感 IAM 角色和权限

本部分介绍了事件威胁检测如何定义敏感的 IAM 角色。仅当更改涉及高或中敏感度角色时，IAM 异常授予和不安全的 Google 群组更改等检测才会生成发现结果。角色的敏感度会影响严重性评级分配给发现结果。

高敏感度角色控制组织中的关键服务，包括结算、防火墙设置和日志记录。与这些角色匹配的发现结果会被归类为高严重程度。
中敏感角色具有修改权限，可让主账号更改 Google Cloud 资源；以及查看通常对敏感数据拥有的数据存储服务的权限并执行这些权限。分配给发现结果的严重级别取决于资源：
- 如果在组织级层授予了中敏感度角色，则发现结果将归类为高严重性。
- 如果在资源层次结构中的较低级层授予了中敏感角色（文件夹、项目和存储分区等），则发现结果将归类为中严重性。

如果被授予者是外部成员或异常身份（例如长时间处于非活跃状态的主账号），则授予这些敏感角色可能会有危险。

向外部成员授予敏感角色会构成潜在的威胁，因为它们可能会被滥用，从而导致账号泄露和数据渗漏。

查找使用这些敏感角色的类别包括：

持久性：IAM 异常授权
- 子规则：external_service_account_added_to_policy
- 子规则：external_member_added_to_policy
凭据访问：授予混合群组的敏感角色
提升权限：休眠服务账号被授予敏感角色

查找使用部分敏感角色的类别包括：

持久性：IAM 异常授权
- 子规则：service_account_granted_sensitive_role_to_member

service_account_granted_sensitive_role_to_member 子规则同时定位因此通常只使用一部分成员，敏感角色，如 Event Threat Detection 规则中所述。

类别	角色	说明
基本角色：具有针对所有 Google Cloud 服务的数千项权限。	`roles/owner`	基本角色
基本角色：具有针对所有 Google Cloud 服务的数千项权限。	`roles/editor`	基本角色
安全角色：控制对安全设置的访问权限	`roles/cloudkms.*`	所有 Cloud Key Management Service 角色
	`roles/cloudsecurityscanner.*`	所有 Web Security Scanner 角色
	`roles/dlp.*`	所有敏感数据保护角色
	`roles/iam.*`	所有 IAM 角色
	`roles/secretmanager.*`	所有 Secret Manager 角色
	`roles/securitycenter.*`	所有 Security Command Center 角色
Logging 角色：控制对组织日志的访问权限	`roles/errorreporting.*`	所有 Error Reporting 角色
	`roles/logging.*`	所有 Cloud Logging 角色
	`roles/stackdriver.*`	所有 Cloud Monitoring 角色
个人信息角色：控制对资源的访问权限包含个人身份信息（包括银行和联系信息	`roles/billing.*`	全部 Cloud Billing 角色
	`roles/healthcare.*`	全部 Cloud Healthcare API 角色
	`roles/essentialcontacts.*`	所有重要联系人角色
网络角色：控制对组织网络设置的访问权限	`roles/dns.*`	所有 Cloud DNS 角色
	`roles/domains.*`	所有 Cloud Domains 角色
	`roles/networkconnectivity.*`	全部 Network Connectivity Center 角色
	`roles/networkmanagement.*`	全部 Network Connectivity Center 角色
	`roles/privateca.*`	所有 Certificate Authority Service 角色
服务角色：控制对 Google Cloud 控制台中服务资源的访问权限 Google Cloud	`roles/cloudasset.*`	所有 Cloud Asset Inventory 角色
	`roles/servicedirectory.*`	所有 Service Directory 角色
	`roles/servicemanagement.*`	所有 Service Management 角色
	`roles/servicenetworking.*`	所有 Service Networking 角色
	`roles/serviceusage.*`	所有 Service Usage 角色
Compute Engine 角色：控制对 Compute Engine 虚拟机的访问，这些虚拟机承担长时间运行的作业并与防火墙规则相关联。	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	所有 Compute Engine 管理员和 Editor 角色

类别角色说明

类别	角色	说明
修改角色：包含权限的 IAM 角色更改 Google Cloud 资源	示例： `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	角色名称通常以“管理员”“所有者”等标题结尾 Editor 或 Writer。展开表最后一行中的节点，以查看所有中敏感度角色
数据存储角色：包含以下角色的 IAM 角色：拥有查看和执行数据存储服务的权限	示例： `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	展开表格最后一行中的节点即可查看所有中敏感度角色
所有中等敏感度角色访问权限审批 `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` 操作 `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API Gateway `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Binary Authorization `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^{Beta 版} Cloud Run 函数 `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Artifact Analysis `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Managed Service for Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore for Redis `roles/redis.admin` `roles/redis.editor` On-Demand Scanning API `roles/ondemandscanning.admin` Ops Config 监控 `roles/opsconfigmonitoring.resourceMetadata.writer` 组织政策服务 `roles/axt.admin` `roles/orgpolicy.policyAdmin` 其他角色 `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` 临近信标 `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` 建议 `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Recommender `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` 资源设置 `roles/resourcesettings.admin` 无服务器 VPC 访问通道 `roles/vpcaccess.admin` 服务使用者管理 `roles/serviceconsumermanagement.tenancyUnitsAdmin` Storage Transfer Service `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Vertex AI Workbench 用户管理的笔记本 `roles/notebooks.admin` `roles/notebooks.legacyAdmin` 工作流程 `roles/workflows.admin` `roles/workflows.editor`

修改角色：包含权限的 IAM 角色更改 Google Cloud 资源

示例：

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

角色名称通常以“管理员”“所有者”等标题结尾 Editor 或 Writer。

展开表最后一行中的节点，以查看所有中敏感度角色

数据存储角色：包含以下角色的 IAM 角色：拥有查看和执行数据存储服务的权限

示例：

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

展开表格最后一行中的节点即可查看所有中敏感度角色

所有中等敏感度角色

访问权限审批

roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager

roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

操作

roles/actions.Admin

AI Platform

roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway

roles/apigateway.admin

App Engine

roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML

roles/automl.admin
roles/automl.editor

BigQuery

roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Binary Authorization

roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable

roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build

roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager

roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints

roles/endpoints.portalAdmin^{Beta 版}

Cloud Run 函数

roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT

roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences

roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring

roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run

roles/run.admin
roles/run.developer

Cloud Scheduler

roles/cloudscheduler.admin

Cloud Source Repositories

roles/source.admin
roles/source.writer

Spanner

roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage

roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL

roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks

roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU

tpu.admin

Cloud Trace

roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine

roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Artifact Analysis

roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog

roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow

roles/dataflow.admin
roles/dataflow.developer

Dataproc

roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore

roles/metastore.admin
roles/metastore.editor

Datastore

roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc

roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore

roles/file.editor

Firebase

roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers

roles/gameservices.admin

Google Cloud VMware Engine

vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub

roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace

roles/gsuiteaddons.developer

Identity-Aware Proxy

roles/iap.admin
roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis

roles/redis.admin
roles/redis.editor

On-Demand Scanning API

roles/ondemandscanning.admin

Ops Config 监控

roles/opsconfigmonitoring.resourceMetadata.writer

组织政策服务

roles/axt.admin
roles/orgpolicy.policyAdmin

其他角色

roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

临近信标

roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub

roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite

roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA

roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

建议

roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recommender

roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager

roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

资源设置

roles/resourcesettings.admin

无服务器 VPC 访问通道

roles/vpcaccess.admin

服务使用者管理

roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI

roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Vertex AI Workbench 用户管理的笔记本

roles/notebooks.admin
roles/notebooks.legacyAdmin

工作流程

roles/workflows.admin
roles/workflows.editor

日志类型和激活要求

本部分列出了事件威胁检测使用的日志，以及 Event Threat Detection 会在每个日志中查找的，以及您需要什么（如果有）才能打开每条记录。

只有在满足以下所有条件时，您才需要为事件威胁检测开启日志为 true：

您正在使用可写入日志的产品或服务。
您需要保护产品或服务免受 Event Threat Detection 在日志中检测到。
该日志是数据访问审核日志或默认处于关闭状态的其他日志。

有一些威胁可能会在多个日志中检测到。如果 Event Threat Detection 可以在已启用的日志中检测到某一威胁，则没有必要为了检测同一威胁而启用其他日志。

如果某个日志未在本部分列出，则事件威胁检测不会扫描该日志，即使（若已开启）。如需了解详情，请参阅潜在的冗余日志扫描。

如下表所述，某些日志类型可在组织级别使用如果您在以下位置激活了 Security Command Center：项目级别，Event Threat Detection 不会扫描这些日志，也不会生成任何发现结果。

潜在的冗余日志扫描

事件威胁检测可以通过扫描任意一个事件，以下日志之一：

Cloud DNS 日志记录
Cloud NAT 日志记录
防火墙规则日志记录
VPC 流日志

如果您已在使用 Cloud DNS 日志记录，Event Threat Detection 可以检测使用域解析。对于大多数用户而言，Cloud DNS 日志足以帮助其对恶意软件进行网络检测。

如果除了网域解析之外，您还需要其他级别的可见性， VPC 流日志，但 VPC 流日志可能会产生费用。管理这些建议将汇总时间间隔增加到 15 分钟，将采样率降低到 5% 到 10% 之间，但在两者之间需要权衡召回率（样本量较高）和费用管理（样本率较低）。

如果您已在使用防火墙规则日志记录或 Cloud NAT 日志记录，则可以使用这些日志来替代 VPC 流日志。

您只需在 Cloud NAT 日志记录、防火墙规则日志记录和 VPC 流日志中启用一项即可。

需要启用的日志

本部分列出了你使用 Cloud Logging 和 Google Workspace 来增加事件威胁检测可以检测到。

某些威胁（例如由服务账号的异常模拟或委托构成的威胁）可以在大多数审核日志中找到。对于这些类型的威胁，您需要根据自己使用的 Google 产品和服务来确定需要启用哪些日志。

下表显示了您需要为哪些特定日志类型启用日志，才能检测到相应威胁。

日志类型	检测到的威胁	需要配置
Cloud DNS 日志记录	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	启用 Cloud DNS 日志记录
Cloud NAT 日志记录	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	启用 Cloud NAT 日志记录
防火墙规则日志记录	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	开启防火墙规则日志记录。
Google Kubernetes Engine (GKE) 数据访问审核日志	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	为以下账号启用 Logging 数据访问审核日志 GKE
Google Workspace 管理员审核日志	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	将 Google Workspace 管理员审核日志共享给 Cloud Logging 在项目级激活中无法扫描此日志类型。
Google Workspace 登录审核日志	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	与 Cloud Logging 共享 Google Workspace 登录审核日志无法在项目级激活时扫描此日志类型。
外部应用负载平衡器后端服务日志	`Initial Access: Log4j Compromise Attempt`	启用外部应用负载均衡器日志记录
Cloud SQL MySQL 数据访问审核日志	`Exfiltration: Cloud SQL Data Exfiltration`	为以下账号启用 Logging 数据访问审核日志 Cloud SQL for MySQL
Cloud SQL PostgreSQL 数据访问审核日志	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	为以下账号启用 Logging 数据访问审核日志 Cloud SQL for PostgreSQL。要检测 `Exfiltration: Cloud SQL Over-Privileged Grant` 个威胁，您还必须启用 pgAudit 扩展程序
AlloyDB for PostgreSQL 数据访问审核日志	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant`	激活适用于 AlloyDB for PostgreSQL 的 Logging 数据访问审核日志要检测 `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` 和`Privilege Escalation: AlloyDB Over-Privileged Grant` 您还必须启用 pgAudit 扩展程序
IAM 数据访问审核日志	`Discovery: Service Account Self-Investigation`	为以下账号启用 Logging 数据访问审核日志 Resource Manager
SQL Server 数据访问审核日志	`Exfiltration: Cloud SQL Data Exfiltration`	激活适用于 Cloud SQL for SQL Server 的 Logging 数据访问审核日志
通用数据访问审核日志	`Initial Access: Leaked Service Account Key Used` `Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	激活 Logging 数据访问审核日志。
虚拟机上的 authlogs/authlog	`Brute force SSH`	安装 Ops Agent 或旧版 Logging 代理已开启您的虚拟机主机
VPC 流日志	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP` `Outgoing DoS`	启用 VPC 流日志
备份和灾难恢复审核日志记录	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	启用备份和灾难恢复审核日志记录

始终启用的日志

下表列出了无需您开启或配置的 Cloud Logging 日志。这些日志始终处于启用状态，并且 Event Threat Detection 会自动扫描这些日志。

日志类型	检测到的威胁	需要配置
BigQueryAuditMetadata 数据访问日志	数据渗漏：BigQuery 数据渗漏渗漏：BigQuery 数据提取渗漏：BigQuery 数据进入 Google 云端硬盘	无
Google Kubernetes Engine (GKE) 管理员活动审核日志	提升权限：对敏感 Kubernetes RBAC 对象的更改提升权限：创建敏感的 Kubernetes 绑定提升权限：启动特权 Kubernetes 容器提升权限：为主证书创建 Kubernetes CSR 防护规避：匿名会话授予集群管理员访问权限初始访问：从互联网创建匿名 GKE 资源（预览版）初始访问：从互联网匿名修改 GKE 资源（预览版）提升权限：以有效匿名用户授予 GKE 集群的权限访问权限（预览版）执行：可疑执行或附加到系统 Pod（预览版）提升权限：使用敏感主机路径装载创建的工作负载（预览版）提升权限：已启用 shareProcessNamespace 的工作负载（预览版）提升权限：具有特权动词的 ClusterRole （预览版）提升权限：ClusterRoleBinding 到特权角色（预览版）防护规避：手动删除的证书签名请求 (CSR) (Preview) 凭据访问：尝试批准 Kubernetes 证书失败签名请求 (CSR)（预览版）凭据访问：手动批准的 Kubernetes 证书签名请求 (CSR)（预览版）执行：使用潜在的反向 Shell 参数创建的 Kubernetes Pod（预览版）防护规避：潜在的 Kubernetes Pod 伪装（预览版）提升权限：可疑的 Kubernetes 容器名称 - 利用和转义（预览版）影响：可疑的 Kubernetes 容器名称 - 代币挖掘（预览版）	无
IAM 管理员活动审核日志	凭据访问：授予混合群组的敏感角色提升权限：休眠服务账号被授予敏感角色持久性：已授予休眠服务账号的模拟角色持久性：IAM 异常授权（预览版）持久性：非托管账号被授予敏感角色	无
MySQL 管理员活动日志	渗漏：Cloud SQL 将备份恢复到外部组织	无
PostgreSQL 管理员活动日志	渗漏：Cloud SQL 将备份恢复到外部组织	无
SQL Server 管理员活动日志	渗漏：Cloud SQL 将备份恢复到外部组织	无
常规管理员活动审核日志	初始访问：休眠服务账号操作> 初始访问：已创建休眠服务账号密钥初始访问：过多的权限遭拒操作初始访问权限：使用的服务账号密钥已泄露持久性：Compute Engine 管理员添加了 SSH 密钥持久性：Compute Engine 管理员添加了启动脚本持久性：新 API 方法持久性：新地理位置持久性：新用户代理提升权限：针对以下服务的服务账号异常模拟：管理员活动提升权限：异常的多步服务账号委托针对管理员活动提升权限：针对管理员活动的异常服务账号模拟者横向移动：修改后的启动磁盘挂接到实例（预览版）	无
VPC Service Controls 审核日志	防护规避：修改 VPC Service Control（预览版）	无

后续步骤

了解使用 Event Threat Detection。
了解如何调查和制定威胁响应方案。