Übersicht über Event Threat Detection

Was ist Event Threat Detection?

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe von Security Command Center, überwacht kontinuierlich Ihre Organisation oder Projekte und identifiziert Bedrohungen innerhalb Ihrer Systeme nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.

Funktionsweise von Event Threat Detection

Event Threat Detection überwacht den Cloud Logging-Stream für Ihre Organisation oder Projekte. Wenn Sie Security Command Center Premium-Stufe auf Organisationsebene nutzt Event Threat Detection Logs für Ihre Projekte, während sie erstellt werden. Event Threat Detection kann Google Workspace-Logs überwachen Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.

Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.

Erkennt Event Threat Detection eine Bedrohung, wird ein Ergebnis in Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center aktivieren, Organisationsebene kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Aus Cloud Logging und Google Workspace-Logging können Sie Ergebnisse exportieren in anderen Systeme mit Pub/Sub und verarbeiten sie mit Cloud Functions.

Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können zusätzlich Google Security Operations nutzen, um einige Ergebnisse zu untersuchen. Google SecOps ist ein einen Dienst, mit dem Sie Bedrohungen untersuchen und verwandte Entitäten in einheitliche Zeitachse zu erstellen. Eine Anleitung zum Senden von Ergebnissen an Google SecOps – Ergebnisse in Google SecOps untersuchen

Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Event Threat Detection-Regeln

Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.

Derzeit umfasst Event Threat Detection folgende Standardregeln:

Anzeigename API-Name Logquelltypen Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE Nicht verfügbar Cloud DNS-Logs Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden.
Systemwiederherstellung verhindern: Google Cloud Backup- und DR-Host gelöscht BACKUP_HOSTS_DELETE_HOST Cloud-Audit-Logs:
Datenzugriffslogs für Sicherungs- und Notfallwiederherstellungsdienst 		Ein Host wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt.
Image: Vernichtung von Daten: Google Cloud-Sicherung und -Notfallwiederherstellung BACKUP_EXPIRE_IMAGE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Nutzer hat das Löschen eines Back-up-Images aus der Sicherung und Notfallwiederherstellung angefordert. Das Löschen eines Back-up-Images verhindert nicht, dass zukünftige Sicherungen durchgeführt werden.
Systemwiederherstellung verhindern: Plan für Google Cloud-Sicherung und -Notfallwiederherstellung entfernen BACKUP_REMOVE_PLAN Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Das Löschen eines Sicherungsplans kann zukünftige Sicherungen verhindern.
Datenvernichtung: Alle Images in Google Cloud Backup und DR laufen ab BACKUP_EXPIRE_IMAGES_ALL Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Nutzer hat das Löschen aller Sicherungs-Images für eine geschützte Anwendung aus der Sicherung und Notfallwiederherstellung angefordert. Das Löschen von Back-up-Images verhindert zukünftige Sicherungen nicht.
Systemwiederherstellung verhindern: Vorlage zum Löschen von Google Cloud-Sicherungen und Notfallwiederherstellungen BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde gelöscht. Die Möglichkeit, in Zukunft Sicherungen einzurichten, kann beeinträchtigt sein.
Systemwiederherstellung verhindern: Löschrichtlinie für Google Cloud-Sicherung und -DR BACKUP_TEMPLATES_DELETE_POLICY Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Eine Sicherungs- und Notfallwiederherstellungsrichtlinie, die definiert, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde gelöscht. Zukünftige Sicherungen, die die Richtlinie verwenden, schlagen möglicherweise fehl.
Systemwiederherstellung verhindern: Profil löschen in Google Cloud Backup und DR BACKUP_PROFILES_DELETE_PROFILE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Sicherungs- und Notfallwiederherstellungsprofil, das definiert, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde gelöscht. Zukünftige Sicherungen, die das Profil verwenden, schlagen möglicherweise fehl.
Vernichtung von Daten: Google Cloud-Back-up und Notfallwiederherstellung entfernen Appliance BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Eine Backup-Appliance wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Anwendungen, die mit der gelöschten Backup-Appliance verknüpft sind, sind möglicherweise nicht geschützt.
Systemwiederherstellung verhindern: Speicherpool wird durch Google Cloud-Sicherung und -DR gelöscht BACKUP_STORAGE_POOLS_DELETE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Speicherpool, der einen Cloud Storage-Bucket mit Sicherung und Notfallwiederherstellung verknüpft, wurde aus Sicherung und Notfallwiederherstellung entfernt. Zukünftige Sicherungen auf diesem Speicherziel schlagen fehl.
Auswirkungen: Reduzierter Ablauf der Sicherung und Notfallwiederherstellung in Google Cloud BACKUP_REDUCE_BACKUP_EXPIRATION Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Das Ablaufdatum für eine durch Sicherung und Notfallwiederherstellung geschützte Sicherung wurde verkürzt.
Auswirkungen: Reduzierte Sicherungshäufigkeit für Sicherungen und Notfallwiederherstellungen in Google Cloud BACKUP_REDUCE_BACKUP_FREQUENCY Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Der Zeitplan für die Sicherung und Notfallwiederherstellung wurde geändert, um die Sicherungshäufigkeit zu verringern.
Brute-Force-SSH BRUTE_FORCE_SSH <ph type="x-smartling-placeholder"></ph> Authentifizierungslog Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Cloud IDS: THREAT_IDENTIFIER Vorschau CLOUD_IDS_THREAT_ACTIVITY Cloud IDS-Logs Ereignisse, die von Cloud IDS: Cloud IDS erkennt Layer-7-Angriffe durch Analyse gespiegelter Pakete Wenn ein Ereignis erkannt wird, wird es an Security Command Center gesendet. Ergebnis Kategorienamen beginnen mit „Cloud IDS“ gefolgt von Cloud IDS, Bedrohungs-ID. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Cloud IDS-Logging-Informationen.
Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Erkennt Ereignisse, bei denen ein externes Mitglied zu einer privilegierten Google-Gruppe hinzugefügt wird (eine Gruppe, der vertrauliche Rollen oder Berechtigungen gewährt werden). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Admin-Audit
Berechtigungen:
DATA_READ

Erkennt Ereignisse, bei denen eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt Ereignisse, bei denen einer Google-Gruppe mit externen Personen vertrauliche Rollen gewährt werden Mitglieder. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Defense Evasion: Break-Glass-Arbeitslastbereitstellung erstelltVorschau BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennt Arbeitslastbereitstellungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben.
Verteidigungsausgang: Break-Glass-Arbeitslast-Deployment aktualisiertVorschau BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennt Arbeitslastaktualisierungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben.
Defense Evasion: VPC Service Control modifizieren DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud-Audit-Logs VPC Service Controls Audit-Logs

Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, der zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud-Audit-Logs:
GKE Data Access-Logs

Ein potentiell böswilliger Akteur hat mithilfe des Befehls kubectl auth can-i get ermittelt, welche vertraulichen Objekte in GKE abgefragt werden können. Die Regel erkennt, ob der Nutzer nach API-Zugriff auf die folgenden Objekte gesucht hat:
Erkennung: Dienstkonto-Prüfung SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud-Audit-Logs:
Audit-Logs zum IAM-Datenzugriff
Berechtigungen:
DATA_READ.

Erkennung von IAM-Dienstkonto-Anmeldedaten, die zum Untersuchen von Rollen und Berechtigungen verwendet werden, die diesem Dienstkonto zugeordnet sind.

Sensible Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.
Umgehung: Zugriff durch Anonymisierungsproxy ANOMALOUS_ACCESS Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennung von Änderungen am Google Cloud-Dienst, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Exfiltration: BigQuery-Daten-Exfiltration DATA_EXFILTRATION_BIG_QUERY Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ 		Erkennt folgende Szenarien:

  • Ressourcen, die der geschützten Organisation gehören die außerhalb der Organisation gespeichert werden, z. B. durch Kopieren oder Übertragen Geschäftsabläufe.

    Dieses Szenario wird durch eine untergeordnete Regel von exfil_to_external_table und einen Schweregrad von HIGH.

  • Versuche, auf BigQuery-Ressourcen zuzugreifen die durch VPC Service Controls geschützt sind.

    Dieses Szenario ist durch eine untergeordnete Regel von vpc_perimeter_violation und einen Schweregrad von LOW.
Exfiltration: BigQuery-Datenextraktion DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ 		Erkennt folgende Szenarien:

  • Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wird durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert.
  • Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wird durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Exfiltration: BigQuery-Daten in Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ 		Erkennt Folgendes:

  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert.
Exfiltration: Cloud SQL-Daten-Exfiltration
 CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS		 Cloud-Audit-Logs: MySQL-Datenzugriffslogs
PostgreSQL-Datenzugriffslogs
SQL Server-Datenzugriffslogs 		Erkennt folgende Szenarien:

  • Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden
  • Live-Instanzdaten, die in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich ist

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud-Audit-Logs: MySQL-Administratoraktivitätslogs
PostgreSQL-Administratoraktivitätslogs
SQL Server-Administratoraktivitätslogs

Erkennt Ereignisse, bei denen die Sicherung einer Cloud SQL-Instanz in einem außerhalb der Organisation.
Exfiltration: Cloud SQL Überprivilegierte Berechtigung CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden.

Erkennt Ereignisse, bei denen einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt wurden.

Anfänglicher Zugriff: Datenbank-Superuser schreibt in Nutzertabellen CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: Cloud SQL for PostgreSQL-Datenzugriffslogs
Cloud SQL for MySQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden.

Erkennt Ereignisse, bei denen ein Cloud SQL-Superuser (postgres für PostgreSQL-Server) oder root für MySQL-Nutzer) schreibt in Nicht-Systemtabellen.
Rechteausweitung: Zuweisung von überprivilegierten AlloyDB-Berechtigungen ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: <ph type="x-smartling-placeholder"></ph> Datenzugriffslogs in AlloyDB for PostgreSQL
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel verwenden zu können.

Erkennt Ereignisse, bei denen einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB-Rolle alle Berechtigungen für eine Datenbank gewährt wurden, oder auf alle Tabellen, Verfahren oder Funktionen in einem Schema anwenden.

Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: <ph type="x-smartling-placeholder"></ph> Datenzugriffslogs in AlloyDB for PostgreSQL
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel verwenden zu können.

Erkennt Ereignisse, bei denen ein AlloyDB for PostgreSQL-Superuser (postgres) schreibt in Nicht-Systemtabellen.
Anfänglicher Zugriff: Aktion für inaktives Dienstkonto DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud-Audit-Logs: Administratoraktivitätslogs

Erkennt Ereignisse, bei denen ein inaktiver vom Nutzer verwalteter Dienst Konto eine Aktion ausgelöst. In diesem Kontext ist ein Dienstkonto gilt als inaktiv, wenn sie länger als 180 Tage inaktiv ist.
Rechteausweitung: Dem inaktiven Dienstkonto wurde eine vertrauliche Rolle gewährt DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud-Audit-Logs: Audit-Logs zu IAM-Administratoraktivitäten

Erkennt Ereignisse, bei denen ein inaktiver vom Nutzer verwalteter Dienst Konto wurde mindestens eine vertrauliche IAM-Rolle gewährt. In diesem Kontext ist ein Dienstkonto gilt als inaktiv, wenn sie länger als 180 Tage inaktiv ist.

Sensible Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud-Audit-Logs: Audit-Logs zu IAM-Administratoraktivitäten

Erkennt Ereignisse, bei denen ein Hauptkonto gewährt wird Berechtigungen zur Identitätsübernahme eines inaktiven, vom Nutzer verwalteten Dienstkontos. In diesem Kontext ist ein Dienstkonto gilt als inaktiv, wenn sie länger als 180 Tage inaktiv ist.
Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud-Audit-Logs: Administratoraktivitätslogs

Erkennt Ereignisse, bei denen ein Schlüssel für einen inaktiven Schlüssel erstellt wird von Nutzern verwalteter Dienst Konto. In diesem Kontext ist ein Dienstkonto gilt als inaktiv, wenn sie länger als 180 Tage inaktiv ist.
Anfänglicher Zugriff: Gehackter Dienstkontoschlüssel verwendet LEAKED_SA_KEY_USED Cloud-Audit-Logs: Administratoraktivitätsprotokolle
Datenzugriffslogs

Erkennt Ereignisse, bei denen ein gehackter Dienstkontoschlüssel zur Authentifizierung verwendet wird die Aktion ausführen. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im öffentlichen Internet veröffentlicht wurde.
Anfänglicher Zugriff: Aktionen aufgrund übermäßiger verweigerter Berechtigungen EXCESSIVE_FAILED_ATTEMPT Cloud-Audit-Logs: Administratoraktivitätslogs

Erkennt Ereignisse, bei denen ein Hauptkonto wiederholt Berechtigung verweigert auslöst durch Änderungen über mehrere Methoden und Dienste hinweg.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit-Log zur Administratoraktivität 		Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert 2SV_DISABLE Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ 		Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erstzugriff: Konto deaktiviert – Gehackt ACCOUNT_DISABLED_HIJACKED Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ 		Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erstzugriff: Deaktiviert – Passwortleck ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ 		Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erstzugriff: Von staatlichen Stellen unterstützter Angriff GOV_ATTACK_WARNING Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ 		Von staatlichen Stellen unterstützte Angreifer haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Anfangszugriff: Log4j-Kompromittierungsversuch Nicht verfügbar Cloud Load Balancing-Logs:
Cloud-HTTP-Load-Balancer
Hinweis: Sie müssen das externe Logging für den Application Load Balancer aktivieren, um diese Funktion verwenden zu können. Regel. 		Erkennt JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung.
Diese Regel ist immer aktiviert.
Erstzugriff: Verdächtige Anmeldung blockiert SUSPICIOUS_LOGIN Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ 		Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Log4j-Malware: Ungültige Domain LOG4J_BAD_DOMAIN Cloud DNS-Logs Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain, die bei Log4j-Angriffen verwendet wird.
Log4j-Malware: Ungültige IP-Adresse LOG4J_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs		 Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain MALWARE_BAD_DOMAIN Cloud DNS-Logs Erkennung von Malware auf der Grundlage einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain.
Malware: Schädliche IP-Adresse MALWARE_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs		 Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse.
Malware: Ungültige Domain für Kryptomining CRYPTOMINING_POOL_DOMAIN Cloud DNS-Logs Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain.
Malware: Schädliche Kryptomining-IP-Adresse CRYPTOMINING_POOL_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs		 Kryptomining-Erkennung anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Ausgehender DoS OUTGOING_DOS VPC-Flusslogs Erkennung von ausgehendem Denial of Service-Traffic.
Persistenz: vom GCE-Administrator hinzugefügter SSH-Schlüssel GCE_ADMIN_ADD_SSH_KEY Cloud-Audit-Logs:
Compute Engine-Audit-Logs		 Erkennung einer Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: GCE-Administrator hat Startskript hinzugefügt GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud-Audit-Logs:
Compute Engine-Audit-Logs		 Erkennung einer Änderung am Startskriptwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Ungewöhnliche IAM-Gewährung IAM_ANOMALOUS_GRANT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Dieses Ergebnis enthält Unterregeln, die spezifische Informationen zu jedem Vorkommen dieses Ergebnisses.

Die folgende Liste zeigt alle möglichen Unterregeln:

  • external_service_account_added_to_policy, external_member_added_to_policy: Erkennung von IAM-Berechtigungen Nutzer und Dienstkonten, die keine Mitglieder Ihrer Organisation sind wenn Security Command Center nur auf Projektebene aktiviert ist, Projekt arbeiten. Hinweis:Wenn Security Command Center aktiviert ist, Organisationsebene auf einer beliebigen Stufe, verwendet dieser Detektor einen die bestehenden IAM-Richtlinien der Organisation als Kontext. Wenn Die Aktivierung von Security Command Center erfolgt nur auf Projektebene, Detektor verwendet nur die IAM-Richtlinien des Projekts als Kontext. Wenn eine vertrauliche IAM- Erteilung an ein externes Mitglied erfolgt, und es gibt weniger als drei IAM-Richtlinien, generiert dieser Detektor ein Ergebnis.

    Sensible Rollen

    Die Ergebnisse werden als Hoch oder Mittlerer Schweregrad, je nach Empfindlichkeit des Rollen gewährt. Weitere Informationen finden Sie unter Vertrauliche IAM-Einstellungen Rollen und Berechtigungen

  • external_member_invited_to_policy: Erkennt, wenn ein externes Mitglied eingeladen wird über die InsertProjectOwnershipInvite API als Inhaber des Projekts festlegen.
  • custom_role_given_sensitive_permissions: Erkennt, wenn der Die Berechtigung setIAMPolicy wird einer benutzerdefinierten Rolle hinzugefügt.
  • service_account_granted_sensitive_role_to_member: Erkennt, wenn Privilegierte Rollen werden Mitgliedern über ein Dienstkonto gewährt. Diese untergeordnete Regel wird durch eine Teilmenge sensibler Rollen ausgelöst, die folgende Kriterien erfüllen: einfache IAM-Rollen und bestimmte Datenspeicherrollen zu beschränken. Weitere Informationen finden Sie unter Vertrauliche IAM-Berechtigungen Rollen und Berechtigungen
  • policy_modified_by_default_compute_service_account: Erkennt Ein Compute Engine-Standarddienstkonto wird zum Ändern des Projekts verwendet. IAM-Einstellungen
VorschauPersistenz: Vertrauliche Rolle für nicht verwaltetes Konto gewährt
 UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennung einer sensiblen Rolle, die einem Nutzer gewährt wird nicht verwalteten Konto.
Persistenz: Neue API-Methode
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten.
Persistenz: Neue Region
 IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: Neuer User-Agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: Umschalter für SSO-Aktivierung TOGGLE_SSO_ENABLED Google Workspace:
Audit-Log zur Administratoraktivität 		Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: SSO-Einstellungen geändert CHANGE_SSO_SETTINGS Google Workspace:
Audit-Log zur Administratoraktivität 		Die SSO-Einstellungen für das Administratorkonto wurden geändert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.

Rechteausweitung: Anomale Identitätsübertragung des Dienstkontos für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennt, wenn ein potenziell anomales Dienstkonto, dessen Identität gestohlen wurde, für eine Administratoraktivität verwendet wird.
Rechteausweitung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennt, wenn eine ungewöhnliche mehrstufige delegierte Anfrage für eine Verwaltungsaktivität gefunden wird.
Rechteausweitung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs		 Erkennt, wenn für eine Datenzugriffsaktivität eine ungewöhnliche mehrstufige delegierte Anfrage gefunden wird.
Rechteausweitung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs		 Erkennt, wenn ein potenziell ungewöhnlicher Anrufer/Impersonator in einer Delegierungskette für eine Administratoraktivität verwendet wird.
Rechteausweitung: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs		 Erkennt, wenn ein potenziell ungewöhnlicher Anrufer/Impersonator in einer Delegierungskette für eine Datenzugriffsaktivität verwendet wird.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit-Logs:
GKE Admin Activity-Logs		 Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding-oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin zu ändern, indem er eine PUT- oder PATCH-Anfrage stellte.
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit-Logs:
GKE Admin Activity-Logs		 Ein potenziell böswilliger Nutzer hat eine Anfrage für die Signierung des Zertifikats des Kubernetes-Masters erstellt, wodurch der Zugriff auf cluster-admin gewährt wird.
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs		 Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit-Logs:
GKE Data Access-Logs 		Ein potentiell böswilliger Nutzer hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
Rechteausweitung: Start eines privilegierten Kubernetes-Containers GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit-Logs:
GKE Admin Activity-Logs

Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.

Bei einem privilegierten Container ist das Feld privileged auf true gesetzt. Bei einem Container mit Funktionen zur Rechteausweitung ist das Feld allowPrivilegeEscalation auf true gesetzt. Weitere Informationen finden Sie unter SecurityContext v1 Core in der API-Referenz der Kubernetes-Dokumentation.
Persistenz: Dienstkontoschlüssel erstellt SERVICE_ACCOUNT_KEY_CREATION Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennt das Erstellen eines Dienstkontoschlüssels. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko nicht autorisierter Zugriffe auf Google Cloud-Ressourcen erhöhen.
Rechteausweitung: Globales Shutdown-Skript hinzugefügt GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennt, wenn einem Projekt ein globales Shutdown-Skript hinzugefügt wird.
Persistenz: Globales Startup-Skript hinzugefügt GLOBAL_STARTUP_SCRIPT_ADDED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennt, wenn einem Projekt ein globales Startskript hinzugefügt wird.
Umgehung von Abwehrmaßnahmen: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennt, wenn die IAM-Rolle Ersteller von Dienstkonto-Tokens auf Organisationsebene gewährt wird.
Umgehung von Abwehrmaßnahmen: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennt, wenn die IAM-Rolle Ersteller von Dienstkonto-Tokens auf Projektebene gewährt wird.
Seitliche Bewegung: Ausführung von Betriebssystempatch über Dienstkonto OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten		 Erkennt, wenn ein Dienstkonto das Compute Engine-Patch-Feature verwendet, um das Betriebssystem einer aktuell ausgeführten Compute Engine-Instanz zu aktualisieren.
Seitliche Bewegung: geändertes Bootlaufwerk, das der Instanz hinzugefügt wurde Vorschau MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud-Audit-Logs:
Compute Engine-Audit-Logs		 Erkennt, wenn ein Bootlaufwerk von einer Compute Engine-Instanz getrennt und an eine andere angehängt wird. Dies könnte auf einen böswilligen Versuch hinweisen, das System mithilfe eines modifizierten Bootlaufwerks zu manipulieren.
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit-Logs:
GKE Data Access-Logs 		Erkennt, wenn ein Dienstkonto im aktuellen Kubernetes-Namespace auf Secrets oder Dienstkonto-Token zugreift.
Ressourcenentwicklung: Offensive Sicherheitsdistroaktivität OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt erfolgreiche Manipulationen von Google Cloud-Ressourcen aus bekannten Penetrationstests oder anstößigen Sicherheitsvertrieben.
Rechteausweitung: Neues Dienstkonto ist Inhaber oder Bearbeiter SERVICE_ACCOUNT_EDITOR_OWNER Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein neues Dienstkonto mit der Rolle „Bearbeiter“ oder „Inhaber“ für ein Projekt erstellt wird.
Discovery: Tool zur Informationserfassung verwendet INFORMATION_GATHERING_TOOL_USED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt den Einsatz von ScoutSuite, einem Audit-Tool für die Cloud-Sicherheit, das bekanntermaßen von Bedrohungsakteuren verwendet wird.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn die Berechtigung iam.serviceAccounts.implicitDelegation missbraucht wird, um Zugriffstokens aus einem privilegierten Dienstkonto zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein Dienstkonto die Methode serviceAccounts.signJwt verwendet, um ein Zugriffstoken für ein anderes Dienstkonto zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt die projektübergreifende Verwendung der IAM-Berechtigung iam.serviceAccounts.getOpenIdToken.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt die projektübergreifende Verwendung der IAM-Berechtigung iam.serviceAccounts.getAccessToken.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Rechteausweitung: Verdächtige projektübergreifende Verwendung von Berechtigungen SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt die projektübergreifende Verwendung der IAM-Berechtigung datafusion.instances.create.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Command and Control: DNS-Tunneling DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS-Logs Erkennt den Handshake des DNS-Tunneltools Iodine.
Umgehung von Abwehrmaßnahmen: Versuch der VPC-Routen-Maskierung VPC_ROUTE_MASQUERADE Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt das manuelle Erstellen von VPC-Routen, die sich als Google Cloud-Standardrouten tarnen und ausgehenden Traffic an externe IP-Adressen zulassen.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_SINGLE_PROJECT Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn die Abrechnung für ein Projekt deaktiviert wurde.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_MULTIPLE_PROJECTS Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn die Abrechnung für mehrere Projekte in einer Organisation innerhalb kurzer Zeit deaktiviert wurde.
Auswirkungen: Block mit hoher Priorität der VPC-Firewall VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn eine VPC-Firewallregel, die den gesamten Traffic blockiert, mit Priorität 0 hinzugefügt wird.
Auswirkungen: Massenlöschung von VPC-Firewalls VPC_FIREWALL_MASS_RULE_DELETION Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt das Massenlöschungen von VPC-Firewallregeln durch Nicht-Dienstkonten.
Auswirkungen: Service API deaktiviert SERVICE_API_DISABLED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn eine Google Cloud-Dienst-API in einer Produktionsumgebung deaktiviert ist.
Auswirkungen: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt MIG_AUTOSCALING_SET_TO_MAX Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn eine verwaltete Instanzgruppe für maximales Autoscaling konfiguriert ist.
Erkennung: nicht autorisierter API-Aufruf des Dienstkontos UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein Dienstkonto einen nicht autorisierten API-Aufruf für mehrere Projekte ausführt.
Umgehung von Abwehrmaßnahmen: Anonymen Sitzungen gewährter Clusteradministratorzugriff ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit-Logs:
GKE Admin Activity-Logs		 Erkennt das Erstellen eines ClusterRoleBinding-Objekts für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), wobei anonymen Nutzern das Verhalten root-cluster-admin-binding hinzugefügt wird.
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurdeVorschau GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs		 Erkennt Ereignisse der Ressourcenerstellung von praktisch anonymen Internetnutzern.
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde Vorschau GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs		 Erkennt Ereignisse zur Ressourcenmanipulation von effektiv anonymen Internetnutzern.

Benutzerdefinierte Module für Event Threat Detection

Zusätzlich zu den integrierten Erkennungsregeln bietet Event Threat Detection Modul Vorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen erhalten Sie unter Übersicht über Benutzerdefinierte Module für Event Threat Detection.

So erstellen Sie Erkennungsregeln, für die keine benutzerdefinierten Modulvorlagen verfügbar sind: können Sie Ihre Protokolldaten exportieren in BigQuery erstellen und dann eindeutige oder wiederkehrende SQL-Abfragen, die Ihre Bedrohungsmodelle erfassen

Unsichere Änderungen an Google-Gruppen

In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Das Erkennen von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.

Obwohl Google-Gruppen eine bequeme Möglichkeit sind, die Zugriffssteuerung in großem Umfang zu verwalten, kann das ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.

In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.

Wenn Sie Ihre Google Workspace-Logs für Google Cloud freigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Logs auf Organisationsebene befinden, kann Event Threat Detection nur dann Google Workspace-Logs scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese nicht scannen Logs, wenn Sie Security Command Center auf Projektebene aktivieren.

Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:

  • Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
  • Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
  • Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann

Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.

Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.

Vertrauliche IAM-Rollen und -Berechtigungen

In diesem Abschnitt wird erläutert, wie Event Threat Detection vertrauliche IAM-Rollen definiert. Erkennungen wie anomale IAM-Erteilungen und unsichere Google-Gruppen generieren nur dann Ergebnisse, wenn Änderungen Rollen mit hoher oder mittlerer Sensibilität umfassen. Die die Sensibilität von Rollen wirkt sich auf die Schweregradbewertung aus, die den Ergebnissen zugewiesen ist.

  • Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
  • Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud-Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
    • Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
    • Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.

Die Zuweisung dieser vertraulichen Rollen gilt als gefährlich, wenn der Empfänger ein externes Mitglied oder eine ungewöhnliche Identität, z. B. ein Hauptkonto, das zuvor längere Zeit inaktiv sind. Wenn externen Mitgliedern vertrauliche Rollen zugewiesen werden, stellt dies eine potenzielle Bedrohung dar, da können sie für Kontomissbrauch und Daten-Exfiltration missbraucht werden.

Zu den Ergebniskategorien, die diese sensiblen Rollen verwenden, gehören:

  • Persistenz: Anomale IAM-Berechtigung <ph type="x-smartling-placeholder">
      </ph>
    • Untergeordnete Regel: external_service_account_added_to_policy
    • Untergeordnete Regel: external_member_added_to_policy
  • Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt
  • Rechteausweitung: Dem inaktiven Dienstkonto wurde eine vertrauliche Rolle gewährt

Zu den Ergebniskategorien, die eine Teilmenge der sensiblen Rollen verwenden, gehören:

  • Persistenz: Anomale IAM-Berechtigung <ph type="x-smartling-placeholder">
      </ph>
    • Untergeordnete Regel: service_account_granted_sensitive_role_to_member

Die untergeordnete Regel "service_account_granted_sensitive_role_to_member" ist auf beide ausgerichtet externe und interne Mitglieder im Allgemeinen und verwendet daher nur einen Teil der sensible Rollen, wie unter Event Threat Detection-Regeln erläutert.

Tabelle 1. Rollen mit hoher Vertraulichkeit
Kategorie Rolle Beschreibung
Einfache Rollen: umfassen Tausende von Berechtigungen für alle Google Cloud-Dienste. roles/owner Einfache Rollen
roles/editor
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen roles/cloudkms.* Alle Cloud Key Management Service-Rollen
roles/cloudsecurityscanner.* Alle Web Security Scanner-Rollen
roles/dlp.* Alle Rollen für den Schutz sensibler Daten
roles/iam.* Alle IAM-Rollen
roles/secretmanager.* Alle Secret Manager-Rollen
roles/securitycenter.* Alle Security Command Center-Rollen
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation roles/errorreporting.* Alle Error Reporting-Rollen
roles/logging.* Alle Cloud Logging-Rollen
roles/stackdriver.* Alle Cloud Monitoring-Rollen
Rollen mit personenbezogenen Daten:steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen roles/billing.* Alle Cloud Billing-Rollen
roles/healthcare.* Alle Cloud Healthcare API-Rollen
roles/essentialcontacts.* Alle "Wichtige Kontakte"-Rollen
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation roles/dns.* Alle Cloud DNS-Rollen
roles/domains.* Alle Cloud Domains-Rollen
roles/networkconnectivity.* Alle Network Connectivity Center-Rollen
roles/networkmanagement.* Alle Network Connectivity Center-Rollen
roles/privateca.* Alle Certificate Authority Service-Rollen
Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud roles/cloudasset.* Alle Cloud Asset Inventory-Rollen
roles/servicedirectory.* Alle Service Directory-Rollen
roles/servicemanagement.* Alle Service Management-Rollen
roles/servicenetworking.* Alle Service Networking-Rollen
roles/serviceusage.* Alle Service Usage-Rollen
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Alle Compute Engine-Rollen: Administrator und Bearbeiter
Tabelle 2. Rollen mit mittlerer Vertraulichkeit
Kategorie Rolle Beschreibung
Rollen bearbeiten: IAM-Rollen, die Berechtigungen zum Ändern von Google Cloud-Ressourcen umfassen

Beispiele:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

 Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor.

Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.

Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten

Beispiele:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.
Alle Rollen mit mittlerer Vertraulichkeit

Zugriffsgenehmigung
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Aktionen
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Binärautorisierung
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user.

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Artefaktanalyse
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis
roles/redis.admin
roles/redis.editor

On-Demand Scanning API
roles/ondemandscanning.admin

Ops Config Monitoring
roles/opsconfigmonitoring.resourceMetadata.writer

Organization Policy Service
roles/axt.admin
roles/orgpolicy.policyAdmin

Weitere Rollen
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Empfehlungen
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recommender
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Ressourceneinstellungen
roles/resourcesettings.admin

Serverloser VPC-Zugriff
roles/vpcaccess.admin

Dienstnutzerverwaltung
roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Vertex AI Workbench: Nutzerverwaltete Notebooks
roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows
roles/workflows.admin
roles/workflows.editor

Logtypen und Aktivierungsanforderungen

In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.

Sie müssen nur in folgenden Fällen einen Log für Event Threat Detection aktivieren Alle folgenden Bedingungen sind erfüllt:

  • Sie verwenden das Produkt oder den Dienst, das bzw. der in das Log schreibt.
  • Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, Event Threat Detection erkennt dies im Log.
  • Das Log ist ein Audit-Log für den Datenzugriff oder ein anderes Log, das standardmäßig deaktiviert ist.

Bestimmte Bedrohungen können in mehreren Logs erkannt werden. Event Threat Detection Bedrohungen in einem Log erkennen, das bereits aktiviert ist, ein weiteres Log aktivieren müssen, um dieselbe Bedrohung zu erkennen.

Wenn ein Log in diesem Abschnitt nicht aufgeführt ist, auch wenn die Funktion eingeschaltet ist. Weitere Informationen finden Sie unter Potenziell redundante Logscans.

Wie in der folgenden Tabelle beschrieben, sind einige Logtypen: sind nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center aktivieren auf Projektebene überprüft Event Threat Detection diese Logs nicht zu keinen Erkenntnissen führt.

Potenziell redundante Logscans

Event Threat Detection kann Malware im Netzwerk durch Scannen eines der folgenden Logs:

  • Cloud DNS-Logging
  • Cloud NAT-Logging
  • Logging von Firewallregeln
  • VPC-Flusslogs

Wenn Sie Cloud DNS-Logging bereits verwenden, kann Event Threat Detection Malware über die Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Logs für das Netzwerk aus. Erkennung von Malware.

Wenn Sie neben der Domainauflösung noch mehr Transparenz benötigen, aktivieren VPC-Flusslogs, aber diese können Kosten verursachen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Abtastrate auf 5 % bis 10 % zu reduzieren, allerdings ist dies ein Kompromiss zwischen Recall (höhere Abtastrate) und Kostenmanagement (niedrigere Abtastrate).

Wenn Sie das Logging von Firewallregeln oder Cloud NAT-Loggings nutzen, sind diese Logs VPC-Flusslogs

Sie müssen nur Cloud NAT-Logging aktivieren, Logging von Firewallregeln oder VPC-Flusslogs.

Zu aktivierende Logs

In diesem Abschnitt werden Cloud Logging und Google Workspace Logs, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der von Event Threat Detection erkannten Bedrohungen.

Bestimmte Bedrohungen, z. B. Drohungen durch einen ungewöhnlichen Identitätsdiebstahl oder die Delegierung eines Dienstkontos, finden Sie in den Audit-Logs. Für diese Arten von Bedrohungen bestimmen Sie, welche Logs Sie je nachdem, welche Produkte und Dienste Sie nutzen.

Die folgende Tabelle zeigt bestimmte Logs, die Sie für Bedrohungen aktivieren müssen die nur in bestimmten Logtypen erkannt werden können.

Logtyp Erkannte Bedrohungen Konfiguration erforderlich
Cloud DNS-Logging Log4j Malware: Bad Domain
Malware: bad domain
Malware: Cryptomining Bad Domain		 Cloud DNS-Logging aktivieren
Cloud NAT-Logging Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Cloud NAT aktivieren Logging
Logging von Firewallregeln Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Aktivieren Logging von Firewallregeln.
Audit-Logs zum Datenzugriff von Google Kubernetes Engine (GKE) Discovery: Can get sensitive Kubernetes object check
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials		 Audit-Logs zum Logging-Datenzugriff für GKE aktivieren
Audit-Logs für Google Workspace-Administratoren Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed

Teilen Google Workspace-Administrator-Audit-Logs mit Cloud Logging

Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden.
Audit-Logs von Google Workspace Login Credential Access: External Member Added To Privileged Group
Impair Defenses: Two Step Verification Disabled
Initial Access: Account Disabled Hijacked
Initial Access: Disabled Password Leak
Initial Access: Government Based Attack
Initial Access: Suspicious Login Blocked

Teilen Audit-Logs zu Google Workspace-Anmeldungen mit Cloud Logging

Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden.
Back-End-Dienstlogs des externen Application Load Balancers Initial Access: Log4j Compromise Attempt Aktivieren Logging mit externem Application Load Balancer
Audit-Logs zum MySQL-Datenzugriff in Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Aktivieren Logging von Audit-Logs zum Datenzugriff für Cloud SQL für MySQL
Audit-Logs zum Cloud SQL-PostgreSQL-Datenzugriff Exfiltration: Cloud SQL Data Exfiltration
Exfiltration: Cloud SQL Over-Privileged Grant
Audit-Logs zu AlloyDB for PostgreSQL-Datenzugriffen Privilege Escalation: AlloyDB Database Superuser Writes to User Tables
Privilege Escalation: AlloyDB Over-Privileged Grant
Audit-Logs zum IAM-Datenzugriff Discovery: Service Account Self-Investigation Aktivieren Audit-Logs zum Datenzugriff für Resource Manager protokollieren
Zugriff auf SQL Server-Daten Audit-Logs Exfiltration: Cloud SQL Data Exfiltration Aktivieren Logging von Audit-Logs zum Datenzugriff für Cloud SQL für SQL Server
Allgemeine Audit-Logs zum Datenzugriff Initial Access: Leaked Service Account Key Used
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
 Aktivieren Audit-Logs zum Datenzugriff protokollieren.
authlogs/authlog auf virtuellen Maschinen Brute force SSH Installieren Sie die Ops-Agent oder die Legacy-Version Logging-Agent auf Ihren VM-Hosts
VPC-Flusslogs Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Outgoing DoS		 Aktivieren Sie VPC-Flusslogs.
Audit-Logging für Sicherungen und Notfallwiederherstellungen Data destruction: Google Cloud Backup and DR expire all images
Inhibit system recovery: Google Cloud Backup and DR delete policy
Inhibit system recovery: Google Cloud Backup and DR delete template
Inhibit system recovery: Google Cloud Backup and DR delete profile
Inhibit system recovery: Google Cloud Backup and DR delete storage pool
Inhibit system recovery: deleted Google Cloud Backup and DR host
Data destruction: Google Cloud Backup and DR expire image
Data destruction: Google Cloud Backup and DR remove appliance
Inhibit system recovery: Google Cloud Backup and DR remove plan
Impact: Google Cloud Backup and DR reduce backup expiration
Impact: Google Cloud Backup and DR reduce backup frequency
 Audit-Logging für Sicherung und Notfallwiederherstellung aktivieren

Immer aktive Logs

In der folgenden Tabelle sind die Cloud Logging-Logs aufgeführt, die Sie nicht benötigen aktivieren oder konfigurieren möchten. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.

Logtyp Erkannte Bedrohungen Konfiguration erforderlich
BigQueryAuditMetadata-Datenzugriffslogs Daten-Exfiltration: BigQuery-Daten-Exfiltration
Datenausschleusung: BigQuery-Datenextraktion
Datenausschleusung: BigQuery-Daten in Google Drive		 Keine
Audit-Logs zu Google Kubernetes Engine-Administratoraktivitäten (GKE) Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen
Rechteausweitung: Start des privilegierten Kubernetes-Containers
Rechteausweitung: Kubernetes-CSR für Masterzertifikat erstellen 		Keine
Audit-Logs zu IAM-Administratoraktivitäten Zugriff auf Anmeldedaten: Sensible Rolle für Hybridgruppe
Rechteausweitung: Dem inaktiven Dienstkonto wurde eine vertrauliche Rolle gewährt
Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt
Persistenz: Anomale IAM-Erteilung
VorschauPersistenz: Vertrauliche Rolle für nicht verwaltetes Konto gewährt
 Keine
MySQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation
PostgreSQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation
SQL Server-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
Allgemeine Audit-Logs zu Administratoraktivitäten Anfänglicher Zugriff: Aktion für inaktives Dienstkonto >
Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt
Anfänglicher Zugriff: Aktionen zu übermäßig abgelehnten Berechtigungen
Anfänglicher Zugriff: Gehackter Dienstkontoschlüssel verwendet
Persistenz: Vom Compute Engine-Administrator hinzugefügter SSH-Schlüssel
Persistenz: Vom Compute Engine-Administrator hinzugefügtes Startskript
Persistenz: Neue API-Methode
Persistenz: Neue Geografie
Persistenz: Neuer User-Agent
Rechteausweitung: Anomale Identitätsübertragung des Dienstkontos für Administratoraktivitäten
Rechteausweitung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten
Rechteausweitung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten
Seitliche Bewegung: geändertes Bootlaufwerk, das an die Instanz angehängt ist Vorschau 		Keine
VPC Service Controls-Audit-Logs Umgehung von Abwehrmaßnahmen: VPC Service Control ändern Vorschau Keine

Nächste Schritte