Panoramica di Event Threat Detection

Che cos'è Event Threat Detection?

Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora costantemente l'organizzazione o i progetti e identifica le minacce all'interno dei tuoi sistemi quasi in tempo reale. Event Threat Detection viene regolarmente aggiornato con nuovi rilevatori per identificare le minacce emergenti su scala cloud.

Come funziona Event Threat Detection

Event Threat Detection monitora il flusso di Cloud Logging per l'organizzazione o i progetti. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Event Threat Detection utilizza i log per i tuoi progetti man mano che vengono creati e Event Threat Detection può monitorare i log di Google Workspace. Cloud Logging contiene voci di log delle chiamate API e altre azioni che creano, leggono o modificano la configurazione o i metadati delle risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono un record delle azioni eseguite nella Console di amministrazione di Google Workspace.

Le voci di log contengono informazioni su stato ed eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica logica di rilevamento e intelligence proprietaria sulle minacce, tra cui la corrispondenza degli indicatori tripwire, la profilazione avanzata, il machine learning e il rilevamento di anomalie, per identificare le minacce quasi in tempo reale.

Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Security Command Center può scrivere risultati in un progetto Cloud Logging. Dal logging di Cloud Logging e Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub ed elaborarli con Cloud Functions.

Se attivi il livello Premium di Security Command Center a livello di organizzazione, puoi utilizzare anche Google Security Operations per esaminare alcuni risultati. Google SecOps è un servizio Google Cloud che consente di esaminare le minacce e di utilizzare le entità correlate in una sequenza temporale unificata. Per istruzioni sull'invio dei risultati a Google SecOps, consulta Esaminare i risultati in Google SecOps.

La possibilità di visualizzare e modificare risultati e log è determinata dai ruoli IAM (Identity and Access Management) concessi. Per ulteriori informazioni sui ruoli IAM di Security Command Center, vedi Controllo dell'accesso.

Regole di Event Threat Detection

Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere abilitati affinché i rilevatori funzionino. Gli audit log delle attività di amministrazione vengono sempre scritti; non è possibile configurarli o disabilitarli.

Event Threat Detection include le seguenti regole predefinite:

Nome visualizzato Nome API Tipi di sorgente log Descrizione
Scansione attiva: Log4j vulnerabile a RCE Non disponibile Log di Cloud DNS Rileva le vulnerabilità attive di Log4j identificando le query DNS per i domini non offuscati avviate dagli scanner di vulnerabilità di Log4j supportati.
Blocco ripristino sistema: host Google Cloud Backup & RE eliminato BACKUP_HOSTS_DELETE_HOST Audit log di Cloud:
Log degli accessi ai dati dei servizi di backup e RE 		Un host è stato eliminato da Backup & RE Le applicazioni associate all'host eliminato potrebbero non essere protette.
Distruzione dei dati: immagine della scadenza di Backup & RE di Google Cloud BACKUP_EXPIRE_IMAGE Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		Un utente ha richiesto l'eliminazione di un'immagine di backup da Backup & DR. L'eliminazione di un'immagine di backup non impedisce i backup futuri.
Inibizione ripristino sistema: piano di rimozione Backup & RE di Google Cloud BACKUP_REMOVE_PLAN Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		Un piano di backup con più criteri per un'applicazione è stato eliminato da Backup & DR. L'eliminazione di un piano di backup può impedire backup futuri.
Distruzione dei dati: il servizio Backup & RE di Google Cloud scadrà per tutte le immagini BACKUP_EXPIRE_IMAGES_ALL Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		Un utente ha richiesto l'eliminazione di tutte le immagini di backup di un'applicazione protetta da Backup & DR. L'eliminazione delle immagini di backup non impedisce i backup futuri.
Inhibit System Recovery: modello di eliminazione di Backup & RE di Google Cloud BACKUP_TEMPLATES_DELETE_TEMPLATE Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		È stato eliminato un modello di backup predefinito, utilizzato per configurare i backup per più applicazioni. La possibilità di configurare backup in futuro potrebbe essere compromessa.
Inibire il ripristino del sistema: criterio di eliminazione di Backup & RE di Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		Un criterio di Backup & RE, che definisce la modalità di acquisizione di un backup e la sua posizione di archiviazione, è stato eliminato. I backup futuri che utilizzano il criterio potrebbero non riuscire.
Inibizione ripristino sistema: eliminazione profilo Google Cloud Backup & RE BACKUP_PROFILES_DELETE_PROFILE Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		È stato eliminato un profilo di Backup & RE, che definisce i pool di archiviazione da utilizzare per archiviare i backup. I backup futuri che utilizzano il profilo potrebbero non riuscire.
Distruzione dei dati: rimozione dell'appliance di Backup & RE di Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		Un'appliance di backup è stata eliminata da Backup & RE Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette.
Inibizione ripristino sistema: eliminazione pool di archiviazione per Backup & RE di Google Cloud BACKUP_STORAGE_POOLS_DELETE Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		Un pool di archiviazione, che associa un bucket Cloud Storage a Backup & RE, è stato rimosso da Backup & RE I backup futuri in questa destinazione di archiviazione non riusciranno.
Impatto: la scadenza del backup ridotta da Backup & RE di Google Cloud BACKUP_REDUCE_BACKUP_EXPIRATION Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		La data di scadenza di un backup protetto da Backup &RE è stata ridotta.
Impatto: frequenza di backup ridotta per Backup & RE di Google Cloud BACKUP_REDUCE_BACKUP_FREQUENCY Audit log di Cloud:
Log degli accessi ai dati per backup e RE 		La pianificazione del backup di Backup & RE è stata modificata per ridurre la frequenza del backup.
Forza bruta SSH BRUTE_FORCE_SSH authlog Rilevamento della forza bruta di SSH su un host.
Cloud IDS: THREAT_IDENTIFIER Anteprima CLOUD_IDS_THREAT_ACTIVITY Log di Cloud IDS Eventi rilevati da Cloud IDS. Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando viene rilevato un evento, invia un risultato a Security Command Center. I nomi delle categorie di risultati iniziano con "Cloud IDS" seguito dall'identificatore di minaccia di Cloud IDS. Per saperne di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS.
Accesso alle credenziali: membro esterno aggiunto al gruppo con privilegi EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ

Rileva gli eventi in cui un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati assegnati ruoli o autorizzazioni sensibili). Viene generato un risultato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per scoprire di più, consulta Modifiche non sicure per i gruppi Google.

I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso con credenziali: gruppo con privilegi aperto al pubblico PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Controllo amministratore
Autorizzazioni:
DATA_READ

Rileva gli eventi in cui un gruppo Google con privilegi (un gruppo a cui sono stati assegnati ruoli o autorizzazioni sensibili) viene modificato per essere accessibile al pubblico. Per scoprire di più, consulta Modifiche non sicure per i gruppi Google.

I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso con credenziali: ruolo sensibile concesso al gruppo ibrido SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Rileva gli eventi in cui vengono concessi ruoli sensibili a un gruppo Google con membri esterni. Per scoprire di più, consulta Modifiche non sicure per i gruppi Google.

I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Evasione della difesa: deployment di emergenza del carico di lavoro creatoAnteprima BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Audit log di Cloud:
Log delle attività di amministrazione		 Rileva il deployment di carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.
Evasione della difesa: deployment di emergenza del carico di lavoro aggiornataAnteprima BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Audit log di Cloud:
Log delle attività di amministrazione		 Rileva l'aggiornamento dei carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.
Evasione della difesa: modifica dei controlli di servizio VPC DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Audit log di Cloud Audit log dei controlli di servizio VPC

Rileva la modifica a un perimetro dei Controlli di servizio VPC esistente che comporterebbe una riduzione della protezione offerta da questo perimetro.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Audit log di Cloud:
Log degli accessi ai dati di GKE

Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando kubectl auth can-i get. In particolare, la regola rileva se l'utente ha verificato l'accesso all'API per i seguenti oggetti:
Scoperta: auto-indagine sull'account di servizio SERVICE_ACCOUNT_SELF_INVESTIGATION Audit log di Cloud:
Audit log degli accessi ai dati IAM
Autorizzazioni:
DATA_READ

Rilevamento della credenziale di un account di servizio IAM utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.

Ruoli sensibili

I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.
Elusione: accesso da proxy con anonimizzazione ANOMALOUS_ACCESS Audit log di Cloud:
Log delle attività di amministrazione		 Rilevamento di modifiche ai servizi Google Cloud provenienti da indirizzi IP proxy anonimi, ad esempio indirizzi IP Tor.
Esfiltrazione: esfiltrazione di dati BigQuery DATA_EXFILTRATION_BIG_QUERY Audit log di Cloud: log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ 		Rileva i seguenti scenari:

  • Risorse di proprietà dell'organizzazione protetta che sono salvate all'esterno dell'organizzazione, incluse le operazioni di copia o trasferimento.

    Questo scenario è indicato da una regola secondaria di exfil_to_external_table e da una gravità di HIGH.

  • Tentativi di accedere alle risorse BigQuery protette dai Controlli di servizio VPC.

    Questo scenario è indicato da una regola secondaria di vpc_perimeter_violation e da una gravità pari a LOW.
Esfiltrazione: estrazione dei dati di BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Audit log di Cloud: log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ 		Rileva i seguenti scenari:

  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite le operazioni di estrazione, in un bucket Cloud Storage esterno all'organizzazione.
  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite le operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà di tale organizzazione.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.
Esfiltrazione: dati BigQuery su Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Audit log di Cloud: log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ 		Rileva quanto segue:

  • Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite le operazioni di estrazione, in una cartella di Google Drive.
Esfiltrazione: esfiltrazione dei dati di Cloud SQL
 CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS		 Audit log di Cloud: Log di accesso ai dati MySQL
Log di accesso ai dati PostgreSQL
Log degli accessi ai dati di SQL Server 		Rileva i seguenti scenari:

  • Dati dell'istanza in tempo reale esportati in un bucket Cloud Storage all'esterno dell'organizzazione.
  • Dati dell'istanza in tempo reale esportati in un bucket Cloud Storage di proprietà dell'organizzazione e accessibile pubblicamente.

Per le attivazioni a livello di progetto del livello Premium di Security Command Center, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.
Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Audit log di Cloud: Log delle attività di amministrazione di MySQL
Log delle attività di amministrazione PostgreSQL
Log delle attività di amministrazione di SQL Server

Rileva gli eventi in cui il backup di un'istanza Cloud SQL viene ripristinato in un'istanza esterna all'organizzazione.
Esfiltrazione: concessione di privilegi in eccesso per Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Audit log di Cloud: Log di accesso ai dati PostgreSQL
Nota: per utilizzare questa regola, devi abilitare l'estensione pgAudit.

Rileva gli eventi in cui sono stati concessi tutti i privilegi a un database o a tutte le tabelle, le procedure o le funzioni in uno schema a un utente o a un ruolo di Cloud SQL per PostgreSQL.

Accesso iniziale: il super user del database scrive nelle tabelle utente CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Audit log di Cloud: Log degli accessi ai dati di Cloud SQL per PostgreSQL
Log di accesso ai dati di Cloud SQL per MySQL
Nota: devi abilitare l'estensione pgAudit per PostgreSQL o controllo del database affinché MySQL utilizzi questa regola.

Rileva gli eventi in cui un super user Cloud SQL (postgres per server PostgreSQL o root per utenti MySQL) scrive in tabelle non di sistema.
Escalation dei privilegi: concessione di privilegi in eccesso per AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Audit log di Cloud: Log degli accessi ai dati di AlloyDB per PostgreSQL
Nota: per utilizzare questa regola devi abilitare l'estensione pgAudit.

Rileva gli eventi in cui a un utente o a un ruolo AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database o per tutte le tabelle, le procedure o le funzioni in uno schema.

Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle utente ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Audit log di Cloud: Log degli accessi ai dati di AlloyDB per PostgreSQL
Nota: per utilizzare questa regola devi abilitare l'estensione pgAudit.

Rileva gli eventi in cui un super user AlloyDB per PostgreSQL (postgres) scrive in tabelle non di sistema.
Accesso iniziale: azione sull'account di servizio inattivo DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Audit log di Cloud: log delle attività di amministrazione

Rileva gli eventi in cui un account di servizio gestito dall'utente inattivo ha attivato un'azione. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Escalation dei privilegi: all'account di servizio inattivo è stato concesso un ruolo sensibile DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Audit log Cloud: audit log delle attività di amministrazione IAM

Rileva gli eventi in cui sono stati concessi uno o più ruoli IAM sensibili a un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.

Ruoli sensibili

I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Persistenza: ruolo per furto d'identità concesso per account di servizio inattivo DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Audit log Cloud: audit log delle attività di amministrazione IAM

Rileva gli eventi in cui a un'entità vengono concesse le autorizzazioni per impersonare un account di servizio inattivo gestito dall'utente. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Accesso iniziale: è stata creata una chiave dell'account di servizio inattivo DORMANT_SERVICE_ACCOUNT_KEY_CREATED Audit log di Cloud: log delle attività di amministrazione

Rileva gli eventi in cui viene creata una chiave per un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni.
Accesso iniziale: chiave dell'account di servizio divulgata utilizzata LEAKED_SA_KEY_USED Audit log di Cloud: log delle attività di amministrazione
log degli accessi ai dati

Rileva gli eventi in cui una chiave dell'account di servizio divulgata viene utilizzata per autenticare l'azione. In questo contesto, una chiave dell'account di servizio divulgata è quella che è stata pubblicata sulla rete internet pubblica.
Accesso iniziale: azioni negate in caso di autorizzazione eccessiva EXCESSIVE_FAILED_ATTEMPT Audit log di Cloud: log delle attività di amministrazione

Rileva gli eventi in cui un'entità attiva ripetutamente gli errori di autorizzazione negata tentando di apportare modifiche su più metodi e servizi.
Indebolimento difese: autenticazione forte disattivata ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Controllo amministratore 		La verifica in due passaggi è stata disattivata per l'organizzazione.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Indebolimento difese: verifica in due passaggi disabilitata 2SV_DISABLE Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ 		Un utente ha disattivato la verifica in due passaggi.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Accesso iniziale: account disattivato compromesso ACCOUNT_DISABLED_HIJACKED Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ 		L'account di un utente è stato sospeso a causa di attività sospetta.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Accesso iniziale: divulgazione di password disabilitata ACCOUNT_DISABLED_PASSWORD_LEAK Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ 		L'account di un utente è stato disattivato perché è stata rilevata una fuga di password.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Accesso iniziale: attacco da parte di governi GOV_ATTACK_WARNING Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ 		Gli aggressori sostenuti da un governo potrebbero aver tentato di compromettere un account utente o un computer.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Accesso iniziale: tentativo di compromissione di Log4j Non disponibile Log di Cloud Load Balancing:
Bilanciatore del carico HTTP Cloud
Nota: per utilizzare questa regola devi abilitare il logging del bilanciatore del carico delle applicazioni esterno. 		Rileva le lookups JNDI (Java Naming and Directory Interface) all'interno delle intestazioni o dei parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. La gravità di questi risultati è bassa perché indicano solo un tentativo di rilevamento o di exploit, non una vulnerabilità o una compromissione.
Questa regola è sempre attiva.
Accesso iniziale: accesso sospetto bloccato SUSPICIOUS_LOGIN Log di Google Workspace:
Controllo dell'accesso
Autorizzazioni:
DATA_READ 		È stato rilevato e bloccato un accesso sospetto all'account di un utente.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Malware Log4j: dominio non valido LOG4J_BAD_DOMAIN Log di Cloud DNS Rilevamento del traffico di exploit di Log4j basato su una connessione a un dominio noto o una ricerca di un dominio noto utilizzato negli attacchi Log4j.
Malware Log4j: IP non valido LOG4J_BAD_IP Log di flusso VPC
Log delle regole firewall
Log di Cloud NAT		 Rilevamento del traffico di exploit Log4j basato su una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j.
Malware: dominio non valido MALWARE_BAD_DOMAIN Log di Cloud DNS Rilevamento del malware basato su una connessione o una ricerca di un dominio noto come non valido.
Malware: indirizzo IP non valido MALWARE_BAD_IP Log di flusso VPC
Log delle regole firewall
Log di Cloud NAT		 Rilevamento del malware basato su una connessione a un indirizzo IP non valido noto.
Malware: dominio non valido per il cryptomining CRYPTOMINING_POOL_DOMAIN Log di Cloud DNS Rilevamento del cryptomining basato su una connessione a un dominio di mining noto o su una ricerca di questo.
Malware: IP non valido per il cryptomining CRYPTOMINING_POOL_IP Log di flusso VPC
Log delle regole firewall
Log di Cloud NAT		 Rilevamento del cryptomining basato su una connessione a un indirizzo IP di mining noto.
DoS in uscita OUTGOING_DOS Log di flusso VPC Rilevamento del traffico denial of service in uscita.
Persistenza: chiave SSH aggiunta dall'amministratore GCE GCE_ADMIN_ADD_SSH_KEY Audit log di Cloud:
Audit log di Compute Engine		 Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (più di 1 settimana prima).
Persistenza: script di avvio aggiunto da un amministratore GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Audit log di Cloud:
Audit log di Compute Engine		 Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (più di 1 settimana prima).
Persistenza: concessione IAM anomala IAM_ANOMALOUS_GRANT Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Questo risultato include regole secondarie che forniscono informazioni più specifiche su ciascuna istanza di questo risultato.

L'elenco seguente mostra tutte le possibili sottoregole:

  • external_service_account_added_to_policy, external_member_added_to_policy: rilevamento dei privilegi concessi agli utenti e agli account di servizio IAM che non sono membri della tua organizzazione o se Security Command Center è attivato solo a livello di progetto, del tuo progetto. Nota: se Security Command Center viene attivato a livello di organizzazione a qualsiasi livello, questo rilevatore utilizza i criteri IAM esistenti di un'organizzazione come contesto. Se l'attivazione di Security Command Center avviene solo a livello di progetto, il rilevatore utilizza solo i criteri IAM del progetto come contesto. Se si verifica una concessione IAM sensibile a un membro esterno e esistono meno di tre criteri IAM simili, questo rilevatore genera un risultato.

    Ruoli sensibili

    I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

  • external_member_invited_to_policy: rileva quando un membro esterno viene invitato come proprietario del progetto tramite l'API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: rileva quando l'autorizzazione setIAMPolicy viene aggiunta a un ruolo personalizzato.
  • service_account_granted_sensitive_role_to_member: rileva quando i ruoli con privilegi vengono concessi ai membri tramite un account di servizio. Questa regola secondaria viene attivata da un sottoinsieme di ruoli sensibili che includono solo ruoli IAM di base e determinati ruoli di archiviazione dei dati. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili
  • policy_modified_by_default_compute_service_account: rileva quando viene utilizzato un account di servizio Compute Engine predefinito per modificare le impostazioni IAM del progetto
AnteprimaPersistenza: all'account non gestito è stato concesso un ruolo sensibile
 UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Audit log di Cloud:
Audit log delle attività di amministrazione IAM		 Rilevamento della concessione di un ruolo sensibile a un account non gestito.
Persistenza: nuovo metodo API
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Audit log di Cloud:
Log delle attività di amministrazione		 Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM.
Persistenza: nuova area geografica
 IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Audit log di Cloud:
Log delle attività di amministrazione		 Rilevamento di account utente e di servizio IAM che accedono a Google Cloud da posizioni anomale, in base alla geolocalizzazione degli indirizzi IP che effettuano la richiesta.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Persistenza: nuovo user agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Audit log di Cloud:
Log delle attività di amministrazione		 Rilevamento degli account di servizio IAM che accedono a Google Cloud da user agent anomali o sospetti.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Persistenza: pulsante di attivazione/disattivazione dell'abilitazione SSO TOGGLE_SSO_ENABLED Google Workspace:
Controllo amministratore 		L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Persistenza: impostazioni SSO modificate CHANGE_SSO_SETTINGS Google Workspace:
Controllo amministratore 		Le impostazioni SSO dell'account amministratore sono state modificate.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Escalation dei privilegi: impersonificazione anomala dell'account di servizio per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Audit log di Cloud:
Log delle attività di amministrazione		 Rileva l'utilizzo di un account di servizio con furto d'identità potenzialmente anomalo per un'attività amministrativa.
Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Audit log di Cloud:
Log delle attività di amministrazione		 Rileva il rilevamento di una richiesta delegata anomala in più passaggi per un'attività amministrativa.
Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'accesso ai dati ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Audit log di Cloud:
Log degli accessi ai dati		 Rileva il rilevamento di una richiesta delegata in più passaggi anomala per un'attività di accesso ai dati.
Escalation dei privilegi: furto d'identità anomalo dell'account di servizio per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Audit log di Cloud:
Log delle attività di amministrazione		 Rileva l'utilizzo di un chiamante/furto d'identità potenzialmente anomalo in una catena di delega per un'attività amministrativa.
Escalation dei privilegi: furto d'identità anomalo dell'account di servizio per l'accesso ai dati ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Audit log di Cloud:
Log degli accessi ai dati		 Rileva l'utilizzo di un chiamante/furto d'identità potenzialmente anomalo in una catena di delega per un'attività di accesso ai dati.
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Audit log di Cloud:
Log delle attività di amministrazione di GKE		 Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo degli accessi basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH.
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Audit log di Cloud:
Log delle attività di amministrazione di GKE 		Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) master di Kubernetes, che concede l'accesso cluster-admin .
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Audit log di Cloud:
Audit log delle attività di amministrazione IAM		 Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin.
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Audit log di Cloud:
Log degli accessi ai dati di GKE 		Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse.
Escalation dei privilegi: avvia un container Kubernetes con privilegi GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Audit log di Cloud:
Log delle attività di amministrazione di GKE

Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o con funzionalità di escalation dei privilegi.

Il campo privileged di un container con privilegi è impostato su true. Il campo allowPrivilegeEscalation di un container con funzionalità di escalation dei privilegi è impostato su true. Per ulteriori informazioni, consulta il riferimento API SecurityContext v1 core nella documentazione di Kubernetes.
Persistenza: chiave dell'account di servizio creata SERVICE_ACCOUNT_KEY_CREATION Audit log di Cloud:
audit log delle attività di amministrazione IAM		 Rileva la creazione di una chiave dell'account di servizio. Le chiavi degli account di servizio sono credenziali di lunga durata che aumentano il rischio di accessi non autorizzati alle risorse Google Cloud.
Escalation dei privilegi: script di chiusura globale aggiunto GLOBAL_SHUTDOWN_SCRIPT_ADDED Audit log di Cloud:
audit log delle attività di amministrazione IAM		 Rileva l'aggiunta di uno script di chiusura globale a un progetto.
Persistenza: aggiunto script di avvio globale GLOBAL_STARTUP_SCRIPT_ADDED Audit log di Cloud:
audit log delle attività di amministrazione IAM		 Rileva l'aggiunta di uno script di avvio globale a un progetto.
Evasione della difesa: ruolo Creatore token account di servizio a livello di organizzazione aggiunto ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Audit log di Cloud:
audit log delle attività di amministrazione IAM		 Rileva la concessione del ruolo IAM Creatore token account di servizio a livello di organizzazione.
Evasione della difesa: ruolo Creatore token account di servizio a livello di progetto aggiunto PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Audit log di Cloud:
audit log delle attività di amministrazione IAM		 Rileva la concessione del ruolo IAM Creatore token account di servizio a livello di progetto.
Movimento laterale: esecuzione patch del sistema operativo dall'account di servizio OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Audit log di Cloud:
audit log delle attività di amministrazione IAM		 Rileva quando un account di servizio utilizza la funzionalità Patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza di Compute Engine attualmente in esecuzione.
Spostamento laterale: disco di avvio modificato collegato all'istanza Anteprima MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Audit log di Cloud:
Audit log di Compute Engine		 Rileva quando un disco di avvio viene scollegato da un'istanza Compute Engine e collegato a un'altra, il che potrebbe indicare un tentativo dannoso di compromettere il sistema utilizzando un disco di avvio modificato.
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Audit log di Cloud:
Log degli accessi ai dati di GKE		 Rileva quando un account di servizio accede a secret o token di account di servizio nell'attuale spazio dei nomi Kubernetes.
Sviluppo risorse: attività distro di sicurezza offensiva OFFENSIVE_SECURITY_DISTRO_ACTIVITY Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva le manipolazioni riuscite delle risorse Google Cloud da test di penetrazione noti o distribuzioni di sicurezza offensive.
Escalation dei privilegi: il nuovo account di servizio è il proprietario o l'editor SERVICE_ACCOUNT_EDITOR_OWNER Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva la creazione di un nuovo account di servizio con i ruoli Editor o Proprietario per un progetto.
Scoperta: strumento di raccolta delle informazioni utilizzato INFORMATION_GATHERING_TOOL_USED Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva l'utilizzo di ScoutSuite, uno strumento di controllo della sicurezza cloud noto per essere utilizzato dagli attori delle minacce.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva un abuso dell'autorizzazione iam.serviceAccounts.implicitDelegation per generare token di accesso da un account di servizio con maggiori privilegi.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva quando un account di servizio utilizza il metodo serviceAccounts.signJwt per generare un token di accesso per un altro account di servizio.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva l'utilizzo tra progetti dell'autorizzazione IAM iam.serviceAccounts.getOpenIdToken.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: generazione di token sospetta SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva l'utilizzo tra progetti dell'autorizzazione IAM iam.serviceAccounts.getAccessToken.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: utilizzo sospetto delle autorizzazioni tra progetti SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva l'utilizzo tra progetti dell'autorizzazione IAM datafusion.instances.create.

Questo risultato non è disponibile per le attivazioni a livello di progetto.
Comando e controllo: tunneling DNS DNS_TUNNELING_IODINE_HANDSHAKE Log di Cloud DNS Rileva l'handshake dello strumento di tunneling DNS Iodine.
Evasione della difesa: tentativo di mascheramento della route VPC VPC_ROUTE_MASQUERADE Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva la creazione manuale di route VPC mascherate da route predefinite di Google Cloud, consentendo il traffico in uscita verso indirizzi IP esterni.
Impatto: fatturazione disattivata BILLING_DISABLED_SINGLE_PROJECT Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva quando la fatturazione è stata disabilitata per un progetto.
Impatto: fatturazione disattivata BILLING_DISABLED_MULTIPLE_PROJECTS Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva quando la fatturazione è stata disabilitata per più progetti in un'organizzazione in un breve periodo di tempo.
Impatto: blocco ad alta priorità per firewall VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva l'aggiunta di una regola firewall VPC che blocca tutto il traffico con priorità 0.
Impatto: eliminazione della regola di massa per firewall VPC VPC_FIREWALL_MASS_RULE_DELETION Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva l'eliminazione di massa delle regole firewall VPC da parte di account non di servizio.
Impatto: API di servizio disabilitata SERVICE_API_DISABLED Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva quando un'API del servizio Google Cloud viene disabilitata in un ambiente di produzione.
Impatto: scalabilità automatica del gruppo di istanze gestite impostata al massimo MIG_AUTOSCALING_SET_TO_MAX Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva quando un gruppo di istanze gestite è configurato per la scalabilità automatica massima.
Scoperta: chiamata all'API dell'account di servizio non autorizzata UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Audit log di Cloud:
audit log delle attività di amministrazione IAM 		Rileva quando un account di servizio effettua una chiamata API tra progetti non autorizzata.
Evasione della difesa: accesso amministrativo al cluster concesso da sessioni anonime ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Audit log di Cloud:
Log delle attività di amministrazione di GKE		 Rileva la creazione di un oggetto ClusterRoleBinding di controllo dell'accesso dell'accesso basato su ruoli (RBAC) che aggiunge il comportamento root-cluster-admin-binding agli utenti anonimi.
Accesso iniziale: risorsa GKE anonima creata da internet anteprima GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Audit log di Cloud:
Log delle attività di amministrazione di GKE		 Rileva gli eventi di creazione di risorse da utenti internet effettivamente anonimi.
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet Anteprima GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Audit log di Cloud:
Log delle attività di amministrazione di GKE		 Rileva gli eventi di manipolazione delle risorse da parte di utenti internet realmente anonimi.

Moduli personalizzati per Event Threat Detection

Oltre alle regole di rilevamento integrate, Event Threat Detection offre modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate. Per ulteriori informazioni, consulta Panoramica dei moduli personalizzati per Event Threat Detection.

Per creare regole di rilevamento per cui non sono disponibili modelli di moduli personalizzati, puoi esportare i dati di log in BigQuery, quindi eseguire query SQL univoche o ricorrenti che acquisiscono i modelli di minaccia.

Modifiche non sicure ai gruppi Google

Questa sezione spiega in che modo Event Threat Detection utilizza i log di Google Workspace, gli audit log di Cloud e i criteri IAM per rilevare modifiche non sicure relative a gruppi Google. Il rilevamento delle modifiche a Google Gruppi è supportato solo se attivi Security Command Center a livello di organizzazione.

I clienti Google Cloud possono utilizzare Google Gruppi per gestire i ruoli e le autorizzazioni per i membri delle loro organizzazioni o applicare criteri di accesso a raccolte di utenti. Anziché concedere i ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni a Google Gruppi per poi aggiungere membri a gruppi specifici. I membri ereditano tutti i ruoli e le autorizzazioni del gruppo, consentendo ai membri di accedere a risorse e servizi specifici.

Sebbene i gruppi Google rappresentino un modo conveniente per gestire il controllo dell'accesso dell'accesso su larga scala, possono rappresentare un rischio se utenti esterni esterni all'organizzazione o al dominio vengono aggiunti a gruppi con privilegio, ovvero a gruppi a cui vengono concessi autorizzazioni o ruoli sensibili. I ruoli sensibili controllano l'accesso alle impostazioni di sicurezza e di rete, ai log e alle informazioni che consentono l'identificazione personale (PII) e non sono consigliati per i membri di gruppi esterni.

Nelle grandi organizzazioni, gli amministratori potrebbero non sapere quando vengono aggiunti membri esterni ai gruppi con privilegi. Gli audit log di Cloud registrano le concessioni dei ruoli ai gruppi, ma questi eventi dei log non contengono informazioni sui membri dei gruppi, il che può occultare il potenziale impatto di alcune modifiche al gruppo.

Se condividi i tuoi log di Google Workspace con Google Cloud, Event Threat Detection monitora i flussi di log per i nuovi membri aggiunti ai gruppi Google della tua organizzazione. Poiché i log sono a livello di organizzazione, Event Threat Detection può eseguire la scansione dei log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può analizzare questi log quando attivi Security Command Center a livello di progetto.

Event Threat Detection identifica i membri esterni dei gruppi e, utilizzando gli audit log di Cloud, esamina i ruoli IAM di ciascun gruppo interessato per verificare se ai gruppi sono stati assegnati ruoli sensibili. Queste informazioni vengono utilizzate per rilevare le seguenti modifiche non sicure per i gruppi Google con privilegi:

  • Membri esterni del gruppo aggiunti ai gruppi con privilegi
  • Autorizzazioni o ruoli sensibili concessi ai gruppi con membri esterni
  • Gruppi con privilegi modificati per consentire a chiunque in generale di partecipare

Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri dei gruppi interni che avviano gli eventi, i nomi dei gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere i membri esterni dai gruppi o revocare i ruoli sensibili concessi ai gruppi.

Per ulteriori informazioni sui risultati di Event Threat Detection, consulta le regole di Event Threat Detection.

Ruoli e autorizzazioni IAM sensibili

Questa sezione spiega in che modo Event Threat Detection definisce i ruoli IAM sensibili. Rilevamenti come le modifiche alla concessione anomala IAM e ai gruppi Google non sicuri generano risultati solo se le modifiche coinvolgono ruoli a sensibilità alta o media. La sensibilità dei ruoli influisce sulla valutazione di gravità assegnata ai risultati.

  • I ruoli ad alta sensibilità controllano i servizi critici nelle organizzazioni, tra cui fatturazione, impostazioni del firewall e logging. I risultati che corrispondono a questi ruoli sono classificati come gravità Alta.
  • I ruoli a sensibilità media hanno autorizzazioni di modifica che consentono alle entità di apportare modifiche alle risorse Google Cloud e di visualizzare ed eseguire autorizzazioni su servizi di archiviazione dati che spesso contengono dati sensibili. La gravità assegnata ai risultati dipende dalla risorsa:
    • Se vengono concessi ruoli a sensibilità media a livello di organizzazione, i risultati sono classificati come gravità Alta.
    • Se vengono concessi ruoli a sensibilità media a livelli inferiori nella gerarchia delle risorse (cartelle, progetti e bucket), i risultati vengono classificati come gravità Media.

La concessione di questi ruoli sensibili è considerata pericolosa se il beneficiario è un membro esterno o un'identità anomala, ad esempio un'entità che è rimasta inattiva per molto tempo. La concessione di ruoli sensibili a membri esterni crea una potenziale minaccia, perché questi possono essere utilizzati in modo illecito per compromissione di account ed esfiltrazione di dati.

Le categorie di risultati che utilizzano questi ruoli sensibili includono:

  • Persistenza: concessione IAM anomala
    • Regola secondaria: external_service_account_added_to_policy
    • Regola secondaria: external_member_added_to_policy
  • Accesso con credenziali: ruolo sensibile concesso al gruppo ibrido
  • Escalation dei privilegi: all'account di servizio inattivo è stato concesso un ruolo sensibile

Le categorie di risultati che utilizzano un sottoinsieme di ruoli sensibili includono:

  • Persistenza: concessione IAM anomala
    • Regola secondaria: service_account_granted_sensitive_role_to_member

La regola secondaria service_account_granted_sensitive_role_to_member ha come target in genere sia i membri esterni che quelli interni e pertanto utilizza solo un sottoinsieme di ruoli sensibili, come spiegato nelle regole di Event Threat Detection.

Tabella 1. Ruoli ad alta sensibilità
Categoria Ruolo Descrizione
Ruoli di base:contengono migliaia di autorizzazioni per tutti i servizi Google Cloud. roles/owner Ruoli di base
roles/editor
Ruoli di sicurezza:controllano l'accesso alle impostazioni di sicurezza roles/cloudkms.* Tutti i ruoli di Cloud Key Management Service
roles/cloudsecurityscanner.* Tutti i ruoli di Web Security Scanner
roles/dlp.* Tutti i ruoli di Sensitive Data Protection
roles/iam.* Tutti i ruoli IAM
roles/secretmanager.* Tutti i ruoli di Secret Manager
roles/securitycenter.* Tutti i ruoli di Security Command Center
Ruoli di logging: controllano l'accesso ai log di un'organizzazione roles/errorreporting.* Tutti i ruoli di Error Reporting
roles/logging.* Tutti i ruoli di Cloud Logging
roles/stackdriver.* Tutti i ruoli di Cloud Monitoring
Ruoli relativi alle informazioni personali: controllano l'accesso alle risorse contenenti informazioni che consentono l'identificazione personale, inclusi dati bancari e dati di contatto roles/billing.* Tutti i ruoli della fatturazione Cloud
roles/healthcare.* Tutti i ruoli dell'API Cloud Healthcare
roles/essentialcontacts.* Tutti i ruoli dei contatti necessari
Ruoli di rete:controllano l'accesso alle impostazioni di rete di un'organizzazione roles/dns.* Tutti i ruoli Cloud DNS
roles/domains.* Tutti i ruoli di Cloud Domains
roles/networkconnectivity.* Tutti i ruoli di Network Connectivity Center
roles/networkmanagement.* Tutti i ruoli di Network Connectivity Center
roles/privateca.* Tutti i ruoli di Certificate Authority Service
Ruoli di servizio: controllano l'accesso alle risorse di servizio in Google Cloud roles/cloudasset.* Tutti i ruoli di Cloud Asset Inventory
roles/servicedirectory.* Tutti i ruoli di Service Directory
roles/servicemanagement.* Tutti i ruoli di Service Management
roles/servicenetworking.* Tutti i ruoli di Service Networking
roles/serviceusage.* Tutti i ruoli di Service Usage
Ruoli di Compute Engine: controllano l'accesso alle macchine virtuali di Compute Engine, che eseguono job a lunga esecuzione e sono associate a regole firewall.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Tutti i ruoli di Amministratore Compute Engine ed Editor
Tabella 2. Ruoli a sensibilità media
Categoria Ruolo Descrizione
Modifica dei ruoli: ruoli IAM che includono autorizzazioni per apportare modifiche alle risorse Google Cloud

Esempi:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

 In genere, i nomi dei ruoli terminano con titoli come Amministratore, Proprietario, Editor o Writer.

Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli a sensibilità media

Ruoli di archiviazione dati: ruoli IAM che includono le autorizzazioni per visualizzare ed eseguire i servizi di archiviazione dei dati

Esempi:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli a sensibilità media
Tutti i ruoli a sensibilità media

Access Approval
roles/accessapproval.approver
roles/accessapproval.configEditor

Gestore contesto accesso
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Azioni
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

Gateway API
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorizzazione binaria
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminbeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Analisi degli artefatti
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaserules.admin
roles/firebaserules.admin
roles/firebaserules.admin
roles/firebaserules.admin
roles/firebaserules.admin
roles/firebaseperformance.adminroles/firebasepredictions.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin

Server di gioco
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Hub Google Kubernetes Engine
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Servizio gestito per Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis
roles/redis.admin
roles/redis.editor

API On-Demand Scanning
roles/ondemandscanning.admin

Monitoraggio della configurazione delle operazioni
roles/opsconfigmonitoring.resourceMetadata.writer

Servizio Criteri dell'organizzazione
roles/axt.admin
roles/orgpolicy.policyAdmin

Altri ruoli
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Beacon di prossimità
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Consigli
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Motore per suggerimenti
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Impostazioni risorsa
roles/resourcesettings.admin

Accesso VPC serverless
roles/vpcaccess.admin

Gestione dei consumatori di servizi
roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Blocchi note gestiti dall'utente di Vertex AI Workbench
roles/notebooks.admin
roles/notebooks.legacyAdmin

Flussi di lavoro
roles/workflows.admin
roles/workflows.editor

Tipi di log e requisiti di attivazione

In questa sezione sono elencati i log utilizzati da Event Threat Detection, le minacce cercate da Event Threat Detection in ogni log e le eventuali azioni da eseguire per attivare ciascun log.

Devi attivare il log per Event Threat Detection solo se tutte le seguenti condizioni sono vere:

  • Stai utilizzando il prodotto o servizio che scrive nel log.
  • È necessario proteggere il prodotto o servizio dalle minacce che Event Threat Detection rileva nel log.
  • Il log è un audit log dell'accesso ai dati o un altro log disattivato per impostazione predefinita.

Alcune minacce possono essere rilevate in più log. Se Event Threat Detection può rilevare una minaccia in un log già attivato, non è necessario attivare un altro log per rilevare la stessa minaccia.

Se un log non è elencato in questa sezione, Event Threat Detection non lo analizza, anche se è attivo. Per maggiori informazioni, consulta Scansioni dei log potenzialmente ridondanti.

Come descritto nella tabella seguente, alcuni tipi di log sono disponibili solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non esegue la scansione di questi log e non produce alcun risultato.

Scansioni dei log potenzialmente ridondanti

Event Threat Detection consente di rilevare il malware nella rete mediante la scansione di uno dei seguenti log:

  • Logging di Cloud DNS
  • Log di Cloud NAT
  • Logging delle regole firewall
  • Log di flusso VPC

Se utilizzi già il logging di Cloud DNS, Event Threat Detection può rilevare il malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log di Cloud DNS sono sufficienti per il rilevamento del malware nella rete.

Se hai bisogno di un altro livello di visibilità oltre alla risoluzione del dominio, puoi attivare i log di flusso VPC, ma questi ultimi possono comportare costi. Per gestire questi costi, consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e di ridurre la frequenza di campionamento tra il 5% e il 10%, ma c'è un compromesso tra richiamo (campione superiore) e gestione dei costi (frequenza di campionamento inferiore).

Se utilizzi già il logging delle regole firewall o il logging di Cloud NAT, questi log sono utili al posto dei log di flusso VPC.

Non è necessario abilitare più di un logging di Cloud NAT, del logging delle regole firewall o dei log di flusso VPC.

Log che devi attivare

Questa sezione elenca i log di Cloud Logging e Google Workspace che puoi attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection può rilevare.

Nella maggior parte degli audit log, è possibile trovare determinate minacce, tra cui le minacce rappresentate dalla delega o dall'impersonificazione anomala di un account di servizio. Per questi tipi di minacce, stabilisci quali log devi attivare in base ai prodotti e ai servizi che utilizzi.

La tabella seguente mostra log specifici da attivare per le minacce che possono essere rilevate solo in determinati tipi di log.

Tipo di log Minacce rilevate Configurazione necessaria
Logging di Cloud DNS Log4j Malware: Bad Domain
Malware: bad domain
Malware: Cryptomining Bad Domain		 Attiva il logging di Cloud DNS
Logging di Cloud NAT Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Attiva il logging di Cloud NAT
Logging delle regole firewall Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Attiva il logging delle regole firewall.
Audit log dell'accesso ai dati di Google Kubernetes Engine (GKE) Discovery: Can get sensitive Kubernetes object check
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials		 Attiva gli audit log di accesso ai dati di Logging per GKE
Log di controllo della Console di amministrazione di Google Workspace Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed		 Condividi i log di controllo della Console di amministrazione di Google Workspace con Cloud Logging

Questo tipo di log non può essere analizzato nelle attivazioni a livello di progetto.

Log di controllo dell'accesso a Google Workspace Credential Access: External Member Added To Privileged Group
Impair Defenses: Two Step Verification Disabled
Initial Access: Account Disabled Hijacked
Initial Access: Disabled Password Leak
Initial Access: Government Based Attack
Initial Access: Suspicious Login Blocked		 Condividi i log di controllo degli accessi a Google Workspace con Cloud Logging

Questo tipo di log non può essere analizzato nelle attivazioni a livello di progetto.

Log del servizio di backend del bilanciatore del carico delle applicazioni esterno Initial Access: Log4j Compromise Attempt Attiva il logging del bilanciatore del carico delle applicazioni esterno
Audit log degli accessi ai dati di Cloud SQL per MySQL Exfiltration: Cloud SQL Data Exfiltration Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per MySQL
Audit log degli accessi ai dati PostgreSQL di Cloud SQL Exfiltration: Cloud SQL Data Exfiltration
Exfiltration: Cloud SQL Over-Privileged Grant
Audit log degli accessi ai dati di AlloyDB per PostgreSQL Privilege Escalation: AlloyDB Database Superuser Writes to User Tables
Privilege Escalation: AlloyDB Over-Privileged Grant
Audit log degli accessi ai dati IAM Discovery: Service Account Self-Investigation Attiva gli audit log di accesso ai dati di Logging per Resource Manager
Audit log degli accessi ai dati di SQL Server Exfiltration: Cloud SQL Data Exfiltration Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per SQL Server
Audit log generici per l'accesso ai dati Initial Access: Leaked Service Account Key Used
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
 Attiva gli audit log di accesso ai dati di Logging.
authlogs/authlog sulle macchine virtuali Brute force SSH Installa Ops Agent o l'agente Logging legacy sugli host della tua VM.
Log di flusso VPC Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Outgoing DoS		 Attiva Log di flusso VPC.
Log di controllo per RE; DR Data destruction: Google Cloud Backup and DR expire all images
Inhibit system recovery: Google Cloud Backup and DR delete policy
Inhibit system recovery: Google Cloud Backup and DR delete template
Inhibit system recovery: Google Cloud Backup and DR delete profile
Inhibit system recovery: Google Cloud Backup and DR delete storage pool
Inhibit system recovery: deleted Google Cloud Backup and DR host
Data destruction: Google Cloud Backup and DR expire image
Data destruction: Google Cloud Backup and DR remove appliance
Inhibit system recovery: Google Cloud Backup and DR remove plan
Impact: Google Cloud Backup and DR reduce backup expiration
Impact: Google Cloud Backup and DR reduce backup frequency
 Abilita gli audit log di Backup &RE; DR

Log sempre attivi

La tabella seguente elenca i log di Cloud Logging che non è necessario attivare o configurare. Questi log sono sempre attivi ed Event Threat Detection li analizza automaticamente.

Tipo di log Minacce rilevate Configurazione necessaria
Log di accesso ai dati di BigQueryAuditMetadata Esfiltrazione: esfiltrazione di dati BigQuery
Esfiltrazione: estrazione di dati BigQuery
Esfiltrazione: dati BigQuery su Google Drive		 Nessuna
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE) Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili
Escalation dei privilegi: avvia un container Kubernetes con privilegi
Escalation dei privilegi: crea CSR Kubernetes per il certificato principale 		Nessuna
Audit log delle attività di amministrazione IAM Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido
Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo
Persistenza: ruolo di furto d'identità concesso per l'account di servizio inattivo
Persistenza: concessione IAM anomala
AnteprimaPersistenza: ruolo sensibile concesso da account non gestito
 Nessuna
Log delle attività di amministrazione di MySQL Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna Nessuna
Log delle attività di amministrazione di PostgreSQL Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna Nessuna
Log delle attività di amministrazione di SQL Server Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna Nessuna
Audit log generici delle attività di amministrazione Accesso iniziale: azione dell'account di servizio inattivo:
Accesso iniziale: chiave dell'account di servizio inattivo creata
Accesso iniziale: azioni negate di autorizzazione eccessiva
Accesso iniziale: chiave dell'account di servizio divulgata
Persistenza: chiave SSH aggiunta dall'amministratore di Compute Engine
Persistenza: assegnazione dei privilegi dell'amministratore di Compute Engine aggiunta
Persistenza dell'account di servizio in caso di assegnazione del privilegio dell'amministratore di Compute Engine
Persistenza nuova assegnazione dei privilegi dell'amministratore di servizio API
Persistenza nuova area geografica dell'amministratore
Persistenza dell'amministratore in caso di assegnazione del privilegio dell'amministratore di Compute Engine
Persistenza dell'amministratore in caso di assegnazione del privilegio dell'account di servizio in stato inattivo
Persistenza dell'account di servizio in caso di assegnazione del privilegio dell'amministratore di Compute Engine
Persistenza dell'account di servizio modificato in seguito
Persistenza dell'amministratore di un account di servizio inattivo
 Nessuna
Log di controllo dei Controlli di servizio VPC Evasione della difesa: modifica dei Controlli di servizio VPC anteprima Nessuna

Passaggi successivi