O que é a deteção de ameaças de eventos?
A Deteção de ameaças de eventos é um serviço integrado para o nível Premium do Security Command Center que monitoriza continuamente a sua organização ou projetos e identifica ameaças nos seus sistemas quase em tempo real. A Deteção de ameaças de eventos é atualizada regularmente com novos detetores para identificar ameaças emergentes à escala da nuvem.
Como funciona a Deteção de ameaças de eventos
A Deteção de ameaças de eventos monitoriza o fluxo do Cloud Logging para a sua organização ou projetos. Se ativar o nível do Security Command Center Premium ao nível da organização, a Deteção de ameaças de eventos consome registos dos seus projetos à medida que são criados, e a Deteção de ameaças de eventos pode monitorizar os registos do Google Workspace. O Cloud Logging contém entradas de registo de chamadas API e outras ações que criam, leem ou modificam a configuração ou os metadados dos seus recursos. Os registos do Google Workspace monitorizam os inícios de sessão dos utilizadores no seu domínio e fornecem um registo das ações realizadas na Consola do administrador do Google Workspace.
As entradas de registo contêm informações de estado e de eventos que a Deteção de ameaças de eventos usa para detetar rapidamente ameaças. A Deteção de ameaças de eventos aplica lógica de deteção e inteligência de ameaças proprietária, incluindo a correspondência de indicadores de armadilhas, a criação de perfis com janelas, a criação de perfis avançada, a aprendizagem automática e a deteção de anomalias, para identificar ameaças quase em tempo real.
Quando a Deteção de ameaças de eventos deteta uma ameaça, escreve uma descoberta no Security Command Center. Se ativar o nível Premium do Security Command Center ao nível da organização, o Security Command Center pode escrever resultados num projeto do Cloud Logging. A partir do Cloud Logging e do registo do Google Workspace, pode exportar descobertas para outros sistemas com o Pub/Sub e processá-las com funções do Cloud Run.
Se ativar o nível Premium do Security Command Center ao nível da organização, também pode usar o Google Security Operations para investigar algumas conclusões. O Google SecOps é um Google Cloud serviço que lhe permite investigar ameaças e analisar entidades relacionadas numa cronologia unificada. Para ver instruções sobre como enviar resultados para o Google SecOps, consulte o artigo Investigue resultados no Google SecOps.
A sua capacidade de ver e editar conclusões e registos é determinada pelas funções de gestão de identidade e de acesso (IAM) que lhe são concedidas. Para mais informações sobre as funções de IAM do Security Command Center, consulte o artigo Controlo de acesso.
Regras de deteção de ameaças de eventos
As regras definem o tipo de ameaças que a Deteção de ameaças de eventos deteta e os tipos de registos que têm de ser ativados para que os detetores funcionem. Os registos de auditoria da Atividade do administrador são sempre escritos. Não é possível configurá-los nem desativá-los.
A Deteção de ameaças de eventos inclui as seguintes regras predefinidas:
| Nome a apresentar | Nome da API | Tipos de origens de registos | Descrição |
|---|---|---|---|
| Análise ativa: Log4j vulnerável a RCE | Indisponível | Registos do Cloud DNS | Os scanners de vulnerabilidades do Log4j iniciaram e identificaram consultas DNS para domínios não ocultados. Esta vulnerabilidade pode levar à execução de código remoto (RCE). Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Impacto: anfitrião do Google Cloud Backup and DR eliminado | BACKUP_HOSTS_DELETE_HOST |
Registos de auditoria do Cloud: Registos de auditoria de atividade do administrador do serviço de cópias de segurança e RD |
Um anfitrião foi eliminado da consola de gestão de cópias de segurança e da RD. As aplicações associadas ao anfitrião eliminado podem não estar protegidas. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: a imagem de expiração da cópia de segurança e da RD do Google Cloud | BACKUP_EXPIRE_IMAGE |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um utilizador pediu a eliminação de uma imagem de cópia de segurança a partir da consola de gestão de cópias de segurança e da RD. A eliminação de uma imagem de cópia de segurança não impede futuras cópias de segurança. As conclusões são classificadas como gravidade Média por predefinição. |
| Impacto: remoção do plano do Google Cloud Backup and DR | BACKUP_REMOVE_PLAN |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um plano de cópia de segurança com várias políticas para uma aplicação foi eliminado do Backup and DR. A eliminação de um plano de cópia de segurança pode impedir futuras cópias de segurança. As conclusões são classificadas como gravidade Média por predefinição. |
| Impacto: a cópia de segurança e a recuperação de desastres do Google Cloud expiram todas as imagens | BACKUP_EXPIRE_IMAGES_ALL |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um utilizador pediu a eliminação de todas as imagens de cópia de segurança de uma aplicação protegida a partir da consola de gestão de cópias de segurança e da RD. A eliminação de imagens da cópia de segurança não impede futuras cópias de segurança. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Impacto: eliminação do modelo de cópia de segurança e RD do Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um modelo de cópia de segurança predefinido, que é usado para configurar cópias de segurança para várias aplicações, foi eliminado da consola de gestão de cópias de segurança e da RD. A capacidade de configurar cópias de segurança no futuro pode ser afetada. As conclusões são classificadas como gravidade Média por predefinição. |
| Impacto: política de eliminação da cópia de segurança e RD do Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Uma política de cópia de segurança e RD, que define como é feita uma cópia de segurança e onde é armazenada, foi eliminada da consola de gestão de cópias de segurança e RD. As futuras cópias de segurança que usam a política podem falhar. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: eliminação do perfil do Google Cloud Backup and DR | BACKUP_PROFILES_DELETE_PROFILE |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um perfil de cópia de segurança e RD, que define os conjuntos de armazenamento que devem ser usados para armazenar cópias de segurança, foi eliminado da consola de gestão de cópias de segurança e RD. As futuras cópias de segurança que usam o perfil podem falhar. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: o Google Cloud Backup and DR remove o dispositivo | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Foi eliminada uma aplicação de cópia de segurança da consola de gestão de cópias de segurança e da RD. As aplicações que estão associadas ao dispositivo de cópia de segurança eliminado podem não estar protegidas. As conclusões são classificadas como gravidade Média por predefinição. |
| Impacto: o Google Cloud Backup and DR elimina o conjunto de armazenamento | BACKUP_STORAGE_POOLS_DELETE |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um conjunto de armazenamento, que associa um contentor do Cloud Storage ao Backup and DR, foi removido da consola de gestão do Backup and DR. As futuras cópias de segurança para este destino de armazenamento vão falhar. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: o Google Cloud Backup and DR reduziu a expiração das cópias de segurança | BACKUP_REDUCE_BACKUP_EXPIRATION |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
A data de validade de uma cópia de segurança protegida pelo Backup and DR foi reduzida através da consola de gestão do Backup and DR. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: o Google Cloud Backup and DR reduziu a frequência das cópias de segurança | BACKUP_REDUCE_BACKUP_FREQUENCY |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
A programação de cópias de segurança do Backup and DR foi modificada para reduzir a frequência das cópias de segurança através da consola de gestão do Backup and DR. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: eliminação do cofre do Google Cloud Backup and DR | BACKUP_DELETE_VAULT |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Um cofre de cópias de segurança foi eliminado. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Impacto: cópia de segurança do Google Cloud Backup and DR eliminada | BACKUP_DELETE_VAULT_BACKUP |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Uma cópia de segurança armazenada num cofre de cópias de segurança foi eliminada manualmente. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Impacto: associação do plano do Google Cloud Backup and DR eliminada | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Registos de auditoria na nuvem: Registos de auditoria da atividade do administrador da cópia de segurança e RD |
Foi removido um plano de cópia de segurança do Backup and DR de uma carga de trabalho. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Força bruta de SSH | BRUTE_FORCE_SSH |
authlog | Um ator obteve acesso SSH com êxito num anfitrião através de técnicas de força bruta. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Registos do Cloud IDS |
O Cloud IDS detetou eventos de ameaças. O Cloud IDS deteta ataques da camada 7 através da análise de pacotes espelhados e, quando é detetado um evento de ameaça, envia uma descoberta de classe de ameaça para o Security Command Center. Os nomes das categorias de deteção de ameaças do Cloud IDS começam por "Cloud IDS" seguido do identificador de ameaças do Cloud IDS. A integração do Cloud IDS com a Deteção de ameaças de eventos não inclui deteções de vulnerabilidades do Cloud IDS. Por predefinição, as conclusões são classificadas como gravidade Baixa. Para saber mais sobre as deteções do Cloud IDS, consulte as informações de registo do Cloud IDS. |
| Aumento de privilégios: membro externo adicionado a um grupo privilegiado | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Registos do Google Workspace: Auditoria de início de sessão Autorizações: DATA_READ
|
Um membro externo foi adicionado a um Grupo Google privilegiado (um grupo ao qual foram concedidas funções ou autorizações confidenciais). Uma descoberta só é gerada se o grupo não contiver já outros membros externos da mesma organização que o membro adicionado recentemente. Para saber mais, consulte o artigo Alterações não seguras aos Grupos Google. Esta descoberta não está disponível para ativações ao nível do projeto. As conclusões são classificadas como gravidade alta ou média, consoante a sensibilidade das funções associadas à alteração do grupo. Para mais informações, consulte o artigo Funções e autorizações de IAM confidenciais. |
| Escalamento de privilégios: grupo privilegiado aberto ao público | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Auditoria de administrador Autorizações: DATA_READ
|
Um grupo Google privilegiado (um grupo com funções ou autorizações confidenciais) foi alterado para ser acessível ao público em geral. Para saber mais, consulte o artigo Alterações não seguras aos Grupos Google. Esta descoberta não está disponível para ativações ao nível do projeto. As conclusões são classificadas como gravidade Alta ou Média, consoante a sensibilidade das funções associadas à alteração do grupo. Para mais informações, consulte o artigo Funções e autorizações de IAM confidenciais. |
| Aumento de privilégios: função sensível concedida a um grupo híbrido | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foram concedidas funções confidenciais a um grupo Google com membros externos. Para saber mais, consulte o artigo Alterações não seguras aos Grupos Google. As conclusões são classificadas como gravidade Alta ou Média, consoante a sensibilidade das funções associadas à alteração do grupo. Para mais informações, consulte o artigo Funções e autorizações de IAM confidenciais. |
| Defense Evasion: Breakglass Workload Deployment Created (Pré-visualização) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: Registos de atividade do administrador |
As cargas de trabalho foram implementadas através da flag break-glass para substituir os controlos da autorização binária. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: implementação da carga de trabalho de acesso de emergência atualizada (pré-visualização) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: Registos de atividade do administrador |
As cargas de trabalho foram atualizadas através da utilização da flag break-glass para substituir os controlos de autorização binária. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: filtragem de IP do contentor do GCS modificada | GCS_BUCKET_IP_FILTERING_MODIFIED |
Cloud Audit Logs: Registos de atividade do administrador |
Um utilizador ou uma conta de serviço alterou a configuração de filtragem de IP para um contentor do Cloud Storage. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: modifique o VPC Service Controls | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Registos de auditoria do Cloud Registos de auditoria dos VPC Service Controls |
Foi alterado um perímetro do VPC Service Controls existente que levaria a uma redução na proteção oferecida por esse perímetro. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: bloqueio da política HTTP do projeto desativado | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Cloud Audit Logs: Registos de atividade do administrador |
Um utilizador ou uma conta de serviço acionou com êxito uma ação para desativar storage.secureHttpTransport num projeto. Isto também se aplica quando a ação é realizada ao nível da organização ou da pasta, uma vez que as políticas aplicadas a este nível são herdadas pelos projetos secundários por predefinição. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Discovery: pode obter a verificação de objetos Kubernetes confidenciais | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registos de auditoria da nuvem: Registos de acesso aos dados do GKE |
Um interveniente potencialmente malicioso tentou determinar que objetos confidenciais no GKE pode consultar através do comando .
Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Deteção: auto investigação da conta de serviço | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud Audit Logs: Registos de auditoria de acesso aos dados do IAM Autorizações: DATA_READ
|
Foi usada uma credencial de conta de serviço do IAM para investigar as funções e as autorizações associadas a essa mesma conta de serviço. Funções sensíveis As conclusões são classificadas como gravidade Elevada ou Média, consoante a sensibilidade das funções concedidas. Para mais informações, consulte o artigo Funções e autorizações de IAM confidenciais. |
| Evasão: acesso a partir de um proxy de anonimização | ANOMALOUS_ACCESS |
Cloud Audit Logs: Registos de atividade do administrador |
Google Cloud modificações de serviço originadas num endereço IP associado à rede Tor. As conclusões são classificadas como gravidade Média por predefinição. |
| Exfiltração: exfiltração de dados do BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Cloud Audit Logs:
Registos de acesso aos dados BigQueryAuditMetadata Autorizações: DATA_READ
|
Deteta os seguintes cenários:
|
| Exfiltração: extração de dados do BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud Audit Logs:
Registos de acesso aos dados BigQueryAuditMetadata Autorizações: DATA_READ
|
Deteta os seguintes cenários:
Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Exfiltração: dados do BigQuery para o Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud Audit Logs:
Registos de acesso aos dados BigQueryAuditMetadata Autorizações: DATA_READ
|
Um recurso do BigQuery pertencente à organização protegida foi guardado, através de operações de extração, numa pasta do Google Drive. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Exfiltração: mover para recurso público do BigQuery | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Cloud Audit Logs:
Registos de acesso aos dados BigQueryAuditMetadata Autorizações: DATA_READ
|
Um recurso do BigQuery foi guardado num recurso público pertencente à sua organização. As conclusões são classificadas como gravidade Média por predefinição. |
| Exfiltração: exfiltração de dados do Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs:
Registos de acesso aos dados do MySQL Registos de acesso aos dados do PostgreSQL Registos de acesso aos dados do SQL Server |
Deteta os seguintes cenários:
Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Exfiltração: restauro da cópia de segurança do Cloud SQL para uma organização externa | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit Logs:
Registos de atividade de administrador do MySQL Registos de atividade de administrador do PostgreSQL Registos de atividade de administrador do SQL Server |
A cópia de segurança de uma instância do Cloud SQL foi restaurada para uma instância fora da organização. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Exfiltração: concessão com privilégios excessivos do Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Registos de auditoria do Google Cloud:
Registos de acesso a dados do PostgreSQL Nota: tem de ativar a extensão pgAudit para usar esta regra. |
A um utilizador ou uma função do Cloud SQL para PostgreSQL foram concedidos todos os privilégios a uma base de dados ou a todas as tabelas, procedimentos ou funções num esquema. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: o superutilizador da base de dados escreve nas tabelas de utilizadores | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:
Registos de acesso a dados do Cloud SQL para PostgreSQL Registos de acesso a dados do Cloud SQL para MySQL Nota: tem de ativar a extensão pgAudit para o PostgreSQL ou a auditoria de bases de dados para o MySQL para usar esta regra. |
Um superutilizador do Cloud SQL (postgres para servidores PostgreSQL ou root para utilizadores do MySQL) escreveu em tabelas não pertencentes ao sistema. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: concessão de privilégios excessivos do AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Registos de auditoria do Google Cloud:
Registos de acesso a dados do AlloyDB para PostgreSQL Nota: tem de ativar a extensão pgAudit para usar esta regra. |
Foi concedido a um utilizador ou uma função do AlloyDB para PostgreSQL todos os privilégios a uma base de dados ou a todas as tabelas, procedimentos ou funções num esquema. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Escalamento de privilégios: o superutilizador da base de dados do AlloyDB escreve em tabelas de utilizadores | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Registos de auditoria do Google Cloud:
Registos de acesso a dados do AlloyDB para PostgreSQL Nota: tem de ativar a extensão pgAudit para usar esta regra. |
Um superutilizador do AlloyDB for PostgreSQL (postgres) escreveu
em tabelas não pertencentes ao sistema. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Acesso inicial: ação de conta de serviço inativa | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs: Registos de atividade do administrador | Uma conta de serviço gerida pelo utilizador inativa acionou uma ação. Neste contexto, uma conta de serviço é considerada inativa se estiver inativa há mais de 180 dias. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Privilege Escalation: Dormant Service Account Granted Sensitive Role | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: Registos de auditoria de atividade do administrador do IAM |
Foi concedida uma ou mais funções de IAM confidenciais a uma conta de serviço gerida pelo utilizador inativa. Neste contexto, uma conta de serviço é considerada inativa se estiver inativa há mais de 180 dias. Funções sensíveis As conclusões são classificadas como gravidade Elevada ou Média, consoante a sensibilidade das funções concedidas. As conclusões são classificadas como gravidade Média por predefinição. Para mais informações, consulte o artigo Funções e autorizações de IAM confidenciais. |
| Aumento de privilégios: função de simulação concedida para conta de serviço inativa | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit Logs: Registos de auditoria de atividade do administrador do IAM | Um principal recebeu autorizações para se fazer passar por uma conta de serviço gerida pelo utilizador inativa. Neste contexto, uma conta de serviço é considerada inativa se não tiver atividade durante mais de 180 dias. As conclusões são classificadas como gravidade Média por predefinição. |
| Acesso inicial: chave de conta de serviço inativa criada | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud Audit Logs: Registos de atividade do administrador | Foi criada uma chave para uma conta de serviço gerida pelo utilizador inativa. Neste contexto, uma conta de serviço é considerada inativa se estiver inativa há mais de 180 dias. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Acesso inicial: chave de conta de serviço roubada usada | LEAKED_SA_KEY_USED |
Cloud Audit Logs:
Registos de atividade de administrador Registos de acesso aos dados |
Foi utilizada uma chave de conta de serviço roubada para autenticar a ação. Neste contexto, uma chave de conta de serviço divulgada é uma chave que foi publicada na Internet pública. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Acesso inicial: ações de autorização recusada excessivas | EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs: Registos de atividade do administrador | Um principal acionou repetidamente erros de autorização recusada ao tentar fazer alterações em vários métodos e serviços. As conclusões são classificadas como gravidade Média por predefinição. |
| Persistência: autenticação forte desativada |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Auditoria de administrador |
A validação em dois passos foi desativada para a organização. Esta descoberta não está disponível para ativações ao nível do projeto. As conclusões são classificadas como gravidade Média por predefinição. |
| Persistência: validação em dois passos desativada |
2SV_DISABLE
|
Registos do Google Workspace: Auditoria de início de sessão Autorizações: DATA_READ
|
Um utilizador desativou a validação em dois passos. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: conta desativada roubada |
ACCOUNT_DISABLED_HIJACKED
|
Registos do Google Workspace: Auditoria de início de sessão Autorizações: DATA_READ
|
A conta de um utilizador foi suspensa devido a atividade suspeita. Esta descoberta não está disponível para ativações ao nível do projeto. As conclusões são classificadas como gravidade Média por predefinição. |
| Acesso inicial: fuga de palavras-passe desativada |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Registos do Google Workspace: Auditoria de início de sessão Autorizações: DATA_READ
|
A conta de um utilizador foi desativada porque foi detetada uma fuga de palavra-passe. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: ataque baseado no governo |
GOV_ATTACK_WARNING
|
Registos do Google Workspace: Auditoria de início de sessão Autorizações: DATA_READ
|
Os atacantes apoiados por um governo podem ter tentado comprometer uma conta de utilizador ou um computador. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Acesso inicial: tentativa de comprometimento do Log4j | Indisponível |
Registos do Cloud Load Balancing: Balanceador de carga de HTTP na nuvem Nota: tem de ativar o registo do balanceador de carga de aplicações externo para usar esta regra. |
Foram detetadas consultas da Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Estas pesquisas podem indicar tentativas de exploração do Log4Shell. Estas conclusões têm uma gravidade baixa, porque indicam apenas uma deteção ou uma tentativa de exploração, e não uma vulnerabilidade nem uma violação. Esta regra está sempre ativada. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: início de sessão suspeito bloqueado |
SUSPICIOUS_LOGIN
|
Registos do Google Workspace: Auditoria de início de sessão Autorizações: DATA_READ
|
Foi detetado e bloqueado um início de sessão suspeito na conta de um utilizador. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Software malicioso Log4j: domínio incorreto | LOG4J_BAD_DOMAIN |
Registos do Cloud DNS | Foi detetado tráfego de exploração do Log4j com base numa ligação ou numa pesquisa de um domínio conhecido usado em ataques do Log4j. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Software malicioso Log4j: IP incorreto | LOG4J_BAD_IP |
Registos de fluxo de VPC Registos de regras de firewall Registos de NAT na nuvem |
Foi detetado tráfego de exploração do Log4j com base numa ligação a um endereço IP conhecido usado em ataques do Log4j. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Software malicioso: domínio inválido | MALWARE_BAD_DOMAIN |
Registos do Cloud DNS | Foi detetado software malicioso com base numa ligação ou numa pesquisa de um domínio conhecido como prejudicial. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Software malicioso: IP inválido | MALWARE_BAD_IP |
Registos de fluxo de VPC Registos de regras de firewall Registos de NAT na nuvem |
Foi detetado software malicioso com base numa ligação a um endereço IP conhecido como prejudicial. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Software malicioso: domínio incorreto de mineração de criptomoedas | CRYPTOMINING_POOL_DOMAIN |
Registos do Cloud DNS | Foi detetada mineração de criptomoedas com base numa ligação ou numa pesquisa de um domínio de mineração conhecido. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Software malicioso: IP incorreto de mineração de criptomoedas | CRYPTOMINING_POOL_IP |
Registos de fluxo de VPC Registos de regras de firewall Registos de NAT na nuvem |
Foi detetada mineração de criptomoedas com base numa ligação a um endereço IP de mineração conhecido. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Persistência: o administrador do GCE adicionou uma chave SSH | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do Compute Engine |
O valor da chave SSH dos metadados da instância do Compute Engine foi modificado numa instância estabelecida (com mais de 1 semana). Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Persistência: o administrador do GCE adicionou um script de arranque | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do Compute Engine |
O valor do script de arranque dos metadados da instância do Compute Engine foi modificado numa instância estabelecida (com mais de 1 semana). Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Persistência: concessão anómala de IAM | IAM_ANOMALOUS_GRANT |
Cloud Audit Logs: Registos de auditoria da atividade do administrador do IAM |
Esta descoberta inclui subregras que fornecem informações mais específicas sobre cada instância desta descoberta. A seguinte lista mostra todas as subregras possíveis:
|
| Persistência: conta não gerida com função sensível concedida (pré-visualização) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi concedida uma função sensível a uma conta não gerida. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Persistência: novo método da API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: Registos de atividade do administrador |
As contas de serviço da IAM usaram acesso anómalo aos serviços Google Cloud . Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Persistência: nova geografia | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: Registos de atividade do administrador |
Contas de serviço e utilizadores de IAM acedidos Google Cloud a partir de localizações anómalas, com base na geolocalização dos endereços IP que fazem o pedido. Esta descoberta não está disponível para ativações ao nível do projeto e é classificada como gravidade Baixa por predefinição. |
| Persistência: novo agente do utilizador | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud Audit Logs: Registos de atividade do administrador |
Contas de serviço do IAM acedidas Google Cloud a partir de agentes do utilizador anómalos ou suspeitos. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Persistência: ativar/desativar ativação de SSO |
TOGGLE_SSO_ENABLED
|
Google Workspace: Auditoria de administrador |
A definição Ativar SSO (Início de sessão único) na conta de administrador foi desativada. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Persistência: definições de SSO alteradas |
CHANGE_SSO_SETTINGS
|
Google Workspace: Auditoria de administrador |
As definições de SSO da conta de administrador foram alteradas. Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: Registos de atividade do administrador |
Foi usada uma conta de serviço roubada potencialmente anómala para uma atividade administrativa. As conclusões são classificadas como gravidade Média por predefinição. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: Registos de atividade do administrador |
Foi encontrado um pedido delegado de vários passos anómalo para uma atividade administrativa. As conclusões são classificadas como gravidade Média por predefinição. |
| Aumento de privilégios: delegação anómala de contas de serviço em vários passos para acesso a dados | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: Registos de acesso aos dados |
Foi encontrado um pedido delegado anómalo de vários passos para uma atividade de acesso a dados. As conclusões são classificadas como gravidade Média por predefinição. |
| Aumento de privilégios: imitador de conta de serviço anómalo para atividade de administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: Registos de atividade do administrador |
Foi usado um autor da chamada ou um autor de roubo de identidade potencialmente anómalo numa cadeia de delegação para uma atividade administrativa. As conclusões são classificadas como gravidade Média por predefinição. |
| Aumento de privilégios: simulador de conta de serviço anómalo para acesso a dados | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: Registos de acesso aos dados |
Um autor da chamada ou um autor de roubo de identidade potencialmente anómalo numa cadeia de delegação foi usado para uma atividade de acesso a dados. As conclusões são classificadas como gravidade Média por predefinição. |
| Privilege Escalation: alterações a objetos RBAC do Kubernetes confidenciais | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Para aumentar o privilégio, um interveniente potencialmente malicioso tentou modificar um objeto de controlo de acesso baseado em funções (CABF) ClusterRole, RoleBinding ou ClusterRoleBinding
sensível
cluster-admin
usando um pedido PUT ou PATCH. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: crie um CSR do Kubernetes para o certificado principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Um interveniente potencialmente malicioso criou um pedido de assinatura de certificado
(CSR) principal do Kubernetes, que lhe dá
cluster-admin
acesso. Por predefinição, as conclusões são classificadas como gravidade Alta.
|
| Escalamento de privilégios: criação de associações do Kubernetes confidenciais | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Para aumentar o privilégio, um interveniente potencialmente malicioso tentou criar um novo objeto RoleBinding ou ClusterRoleBinding para a função
cluster-admin. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registos de auditoria da nuvem: Registos de acesso aos dados do GKE |
Um interveniente potencialmente malicioso consultou um
pedido de assinatura de certificado
(CSR), com o comando kubectl, usando credenciais de arranque comprometidas. Por predefinição, as conclusões são classificadas como gravidade Alta.
|
| Escalamento de privilégios: lançamento de contentor privilegiado do Kubernetes | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Um interveniente potencialmente malicioso criou um pod que contém contentores privilegiados ou contentores com capacidades de escalamento de privilégios.
Um contentor privilegiado tem o campo |
| Persistência: chave da conta de serviço criada | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi criada uma chave de conta de serviço. As chaves de contas de serviço são credenciais de longa duração que aumentam o risco de acesso não autorizado a recursos Google Cloud. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Escalamento de privilégios: script de encerramento global adicionado | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi adicionado um script de encerramento global a um projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Persistência: script de arranque global adicionado | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi adicionado um script de arranque global a um projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: função de criador de tokens de conta de serviço ao nível da organização adicionada | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A função da IAM de criador de tokens de contas de serviço foi concedida ao nível da organização. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: função de criador de tokens de conta de serviço ao nível do projeto adicionada | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A função de IAM criador de tokens de conta de serviço foi concedida ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Movimento lateral: execução de patches do SO a partir da conta de serviço | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Registos de auditoria do Cloud. Registos de auditoria da atividade de administrador do IAM |
Uma conta de serviço usou a funcionalidade de patch do Compute Engine para atualizar o sistema operativo de qualquer instância do Compute Engine em execução. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Movimento lateral: disco de arranque modificado anexado à instância (pré-visualização) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud Audit Logs: Registos de auditoria do Compute Engine |
Um disco de arranque foi desanexado de uma instância do Compute Engine e anexado a outra, o que pode indicar uma tentativa maliciosa de comprometer o sistema através de um disco de arranque modificado. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso a credenciais: secrets acedidos no namespace do Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registos de auditoria da nuvem: Registos de acesso aos dados do GKE |
Os segredos ou os tokens da conta de serviço foram acedidos por uma conta de serviço no namespace do Kubernetes atual. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Resource Development: Offensive Security Distro Activity | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Um recurso foi manipulado com êxito através de testes de intrusão conhecidos ou distribuições de segurança ofensivas. Google Cloud Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Aumento de privilégios: a nova conta de serviço é proprietária ou editora | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi criada uma nova conta de serviço com funções de editor ou proprietário para um projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Descoberta: ferramenta de recolha de informações usada | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi detetada a utilização do ScoutSuite. O ScoutSuite é uma ferramenta de auditoria de segurança na nuvem que é conhecida por ser usada por autores de ameaças. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Escalamento de privilégios: geração de tokens suspeita | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A autorização iam.serviceAccounts.implicitDelegation foi usada indevidamente para gerar chaves de acesso a partir de uma conta de serviço com mais privilégios. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: geração de tokens suspeita | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Uma conta de serviço usou o método
serviceAccounts.signJwt
para gerar uma chave de acesso para outra conta de serviço. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: geração de tokens suspeita | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A autorização de IAM Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Escalamento de privilégios: geração de tokens suspeita | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A autorização de IAM Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Escalamento de privilégios: utilização suspeita de autorizações entre projetos | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A autorização de IAM Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Comando e controlo: tunelização de DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Registos do Cloud DNS | Foi detetado o handshake da ferramenta de tunneling DNS Iodine. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Defense Evasion: VPC Route Masquerade Attempt | VPC_ROUTE_MASQUERADE |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
As rotas da VPC que se fazem passar por rotas Google Cloud predefinidas foram criadas manualmente, o que permite o tráfego de saída para endereços IP externos. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Impacto: faturação desativada | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A faturação foi desativada para um projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: faturação desativada | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
A faturação foi desativada para vários projetos numa organização num curto período. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: bloqueio de prioridade elevada da firewall de VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Foi adicionada uma regra de firewall da VPC que bloqueia todo o tráfego de saída com a prioridade 0. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: eliminação em massa de regras de firewall da VPCTemporariamente indisponível | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
As regras de firewall da VPC foram eliminadas em massa por contas que não são de serviço. Esta regra está temporariamente indisponível. Para monitorizar as atualizações às regras de firewall, use os registos de auditoria do Google Cloud. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: API de serviço desativada | SERVICE_API_DISABLED |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Uma API de serviço foi desativada num ambiente de produção. Google Cloud Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Impacto: o ajuste automático do grupo de instâncias geridas está definido como máximo | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Um grupo de instâncias geridas foi configurado para a escalabilidade automática máxima. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Descoberta: chamada de API de conta de serviço não autorizada | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs: Registos de auditoria de atividade de administrador do IAM |
Uma conta de serviço fez uma chamada de API não autorizada entre projetos. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Evasão de defesa: sessões anónimas com acesso de administrador do cluster | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Foi criado um objeto de controlo de acesso baseado em funções (RBAC)
ClusterRoleBinding, adicionando o comportamento
root-cluster-admin-binding aos utilizadores anónimos. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Persistência: nova geografia para o serviço de IA | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: Registos de atividade do administrador |
Contas de serviço e utilizadores do IAM que acederam aos Google Cloud serviços de IA a partir de localizações anómalas, com base na geolocalização dos endereços IP de pedido. Esta descoberta não está disponível para ativações ao nível do projeto e é classificada como gravidade Baixa por predefinição. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: Registos de atividade do administrador |
Foi encontrado um pedido delegado anómalo de vários passos para uma atividade administrativa de um serviço de IA. As conclusões são classificadas como gravidade Média por predefinição. |
| Aumento de privilégios: delegação anómala de contas de serviço em vários passos para acesso a dados de IA | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: Registos de acesso aos dados |
Foi encontrada uma solicitação delegada de vários passos anómala para uma atividade de acesso a dados de um serviço de IA. As conclusões são classificadas como gravidade Média por predefinição. |
| Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: Registos de atividade do administrador |
Foi usado um autor da chamada ou um autor de roubo de identidade potencialmente anómalo numa cadeia de delegação para uma atividade administrativa de um serviço de IA. As conclusões são classificadas como gravidade Média por predefinição. |
| Aumento de privilégios: simulador de conta de serviço anómalo para acesso a dados de IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: Registos de acesso aos dados |
Um autor da chamada ou um autor de roubo de identidade potencialmente anómalo numa cadeia de delegação foi usado para uma atividade de acesso a dados de um serviço de IA. As conclusões são classificadas como gravidade Média por predefinição. |
| Aumento de privilégios: roubo de identidade anómalo da conta de serviço para atividade de administrador de IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: Registos de atividade do administrador |
Foi usada uma conta de serviço simulada potencialmente anómala para uma atividade administrativa de um serviço de IA. As conclusões são classificadas como gravidade Média por predefinição. |
| Persistência: novo método da API de IA |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: Registos de atividade do administrador |
As contas de serviço da IAM usaram o acesso anómalo aos serviços de Google Cloud IA. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: atividade da conta de serviço inativa no serviço de IA | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs: Registos de atividade do administrador | Uma conta de serviço gerida pelo utilizador inativa acionou uma ação nos serviços de IA. Neste contexto, uma conta de serviço é considerada inativa se estiver inativa há mais de 180 dias. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Acesso inicial: recurso do GKE anónimo criado a partir da Internet (pré-visualização) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Registos de atividade de administrador do GKE. |
Um recurso foi criado por um utilizador da Internet efetivamente anónimo. Por predefinição, as conclusões são classificadas como de gravidade alta. |
| Acesso inicial: recurso do GKE modificado anonimamente a partir da Internet (pré-visualização) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Um recurso foi manipulado por um utilizador da Internet efetivamente anónimo. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Escalamento de privilégios: utilizadores efetivamente anónimos com acesso concedido ao cluster do GKE | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou uma associação RBAC que faz referência a um dos seguintes utilizadores ou grupos:
Estes utilizadores e grupos são efetivamente anónimos e devem ser evitados quando criar associações de funções ou associações de funções de cluster a quaisquer funções RBAC. Reveja a associação para garantir que é necessária. Se a associação não for necessária, remova-a. As conclusões são classificadas como gravidade Média por predefinição. |
| Execução: Execução ou anexo suspeito a um pod do sistema (pré-visualização) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém usou os comandos exec ou attach para obter um shell ou executar um comando num contentor em execução no espaço de nomes kube-system.
Estes métodos são, por vezes, usados para fins de depuração legítimos. No entanto, o espaço de nomes kube-system destina-se a objetos do sistema criados pelo Kubernetes e deve rever a execução inesperada de comandos ou a criação de shells. As conclusões são classificadas como gravidade Média por predefinição.
|
| Privilege Escalation: Workload Created with a Sensitive Host Path Mount (Preview) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou uma carga de trabalho que contém uma montagem de volume hostPath num caminho sensível no sistema de ficheiros do nó anfitrião. O acesso a estes caminhos no sistema de ficheiros do anfitrião pode ser usado para aceder a informações privilegiadas ou confidenciais no nó e para fugas de contentores. Se possível, não permita volumes hostPath no seu cluster. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: carga de trabalho com shareProcessNamespace ativado (pré-visualização) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém implementou uma carga de trabalho com a opção shareProcessNamespace definida como
true, o que permite que todos os contentores partilhem o mesmo espaço de nomes de processos do Linux.
Isto pode permitir que um contentor não fidedigno ou comprometido aumente os privilégios através do
acesso e do controlo de variáveis de ambiente, memória e outros dados confidenciais de
processos em execução noutros contentores. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: ClusterRole com verbos privilegiados (pré-visualização) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou um RBAC ClusterRole que contém os verbos bind,
escalate ou impersonate. Um assunto associado a uma função com estes verbos pode assumir a identidade de outros utilizadores com privilégios mais elevados, associar-se a Roles ou ClusterRoles adicionais que contenham autorizações adicionais ou modificar as suas próprias autorizações de ClusterRole. Isto pode levar a que esses
sujeitos obtenham privilégios de administrador do cluster. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Escalamento de privilégios: ClusterRoleBinding para função privilegiada | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou um RBAC ClusterRoleBinding que faz referência ao system:controller:clusterrole-aggregation-controller
ClusterRole predefinido. Esta ClusterRole predefinida tem o verbo escalate, que permite que os sujeitos modifiquem os privilégios das suas próprias funções, o que permite o escalamento de privilégios. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Defense Evasion: Manually Deleted Certificate Signing Request (CSR) | GKE_MANUALLY_DELETED_CSR |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém eliminou manualmente um pedido de assinatura de certificado (CSR). Os CSRs são removidos automaticamente por um controlador de recolha de lixo, mas os intervenientes maliciosos podem eliminá-los manualmente para evitar a deteção. Se o CSR eliminado for relativo a um certificado aprovado e emitido, o ator potencialmente malicioso tem agora um método de autenticação adicional para aceder ao cluster. As autorizações associadas ao certificado variam consoante o assunto que incluíram, mas podem ser altamente privilegiadas. O Kubernetes não suporta a revogação de certificados. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR) | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém tentou aprovar manualmente um pedido de assinatura de certificado (CSR), mas a ação falhou. A criação de um certificado para autenticação de clusters é um método comum para os atacantes criarem acesso persistente a um cluster comprometido. As autorizações associadas ao certificado variam consoante o assunto que incluíram, mas podem ser altamente privilegiadas. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso a credenciais: pedido de assinatura de certificado (CSR) do Kubernetes aprovado manualmente (Pré-visualização) | GKE_CSR_APPROVED |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém aprovou manualmente um pedido de assinatura de certificado (CSR). A criação de um certificado para a autenticação de clusters é um método comum para os atacantes criarem acesso persistente a um cluster comprometido. As autorizações associadas ao certificado variam consoante o assunto que incluíram, mas podem ser altamente privilegiadas. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Execução: pod do Kubernetes criado com potenciais argumentos de shell invertida | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou um pod que contém comandos ou argumentos que são normalmente associados a um shell inverso. Os atacantes usam shells invertidos para expandir ou manter o acesso inicial a um cluster e executar comandos arbitrários. As conclusões são classificadas como gravidade Média por predefinição. |
| Evasão de defesa: potencial máscara de pod do Kubernetes | GKE_POD_MASQUERADING |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém implementou um pod com uma convenção de nomenclatura semelhante às cargas de trabalho predefinidas que o GKE cria para o funcionamento normal do cluster. Esta técnica é denominada roubo de identidade. As conclusões são classificadas como gravidade Média por predefinição. |
| Privilege Escalation: Suspicious Kubernetes Container Names - Exploitation and Escape (Pré-visualização) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém implementou um pod com uma convenção de nomenclatura semelhante às ferramentas comuns usadas para escapes de contentores ou para executar outros ataques no cluster. As conclusões são classificadas como gravidade Média por predefinição. |
| Persistência: conta de serviço criada no espaço de nomes sensível | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou uma conta de serviço num espaço de nomes sensível. Os espaços de nomes kube-system e kube-public são essenciais para as operações do cluster do GKE, e as contas de serviço não autorizadas podem comprometer a estabilidade e a segurança do cluster. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Impacto: nomes de contentores do Kubernetes suspeitos – Mineração de criptomoedas | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém implementou um pod com uma convenção de nomenclatura semelhante à dos mineradores de criptomoedas comuns. Isto pode ser uma tentativa de um atacante que obteve acesso inicial ao cluster de usar os recursos do cluster para mineração de criptomoedas. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Execução: carga de trabalho acionada no espaço de nomes sensível | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém implementou uma carga de trabalho (por exemplo, um pod ou uma implementação) nos espaços de nomes kube-system ou kube-public. Estes espaços de nomes são essenciais para as operações do cluster do GKE, e as cargas de trabalho não autorizadas podem comprometer a estabilidade ou a segurança do cluster. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Execução: lançamento do GKE de contentor excessivamente capaz (pré-visualização) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou um contentor com uma ou mais das seguintes capacidades num cluster com um contexto de segurança elevado:
|
| Persistência: configuração de webhook do GKE detetada | GKE_WEBHOOK_CONFIG_CREATED |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Foi detetada uma configuração de webhook no seu cluster do GKE. Os webhooks podem intercetar e modificar pedidos da API Kubernetes, o que pode permitir que os atacantes persistam no seu cluster ou manipulem recursos. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Defense Evasion: Static Pod Created | GKE_STATIC_POD_CREATED |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou um pod estático no seu cluster do GKE. Os pods estáticos são executados diretamente no nó e ignoram o servidor da API Kubernetes, o que torna a respetiva monitorização e controlo mais difíceis. Os atacantes podem usar pods estáticos para evitar a deteção ou manter a persistência. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: chamada de API bem-sucedida feita a partir de um IP de proxy do TOR | GKE_TOR_PROXY_IP_REQUEST |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Foi feita uma chamada API bem-sucedida para o seu cluster do GKE a partir de um endereço IP associado à rede Tor. O Tor oferece anonimato, que os atacantes exploram frequentemente para ocultar a respetiva identidade. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Acesso inicial: serviço GKE NodePort criado | GKE_NODEPORT_SERVICE_CREATED |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém criou um serviço NodePort. Os serviços NodePort expõem Pods diretamente no endereço IP e na porta estática de um nó, o que torna os Pods acessíveis a partir do exterior do cluster. Isto pode introduzir um risco de segurança significativo porque pode permitir que um atacante explore vulnerabilidades no serviço exposto para obter acesso ao cluster ou a dados confidenciais. As conclusões são classificadas como gravidade Média por predefinição. |
| Impacto: modificação do kube-dns do GKE detetada (pré-visualização) | GKE_KUBE_DNS_MODIFICATION |
Cloud Audit Logs: Registos de atividade de administrador do GKE |
Alguém modificou a configuração do kube-dns no seu cluster do GKE. O kube-dns do GKE é um componente crítico da rede do seu cluster e a respetiva configuração incorreta pode levar a uma violação de segurança. As conclusões são classificadas como gravidade Média por predefinição. |
| Impacto: comandos de mineração de criptomoedas | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: Registos de auditoria de eventos do sistema IAM |
Foram anexados comandos de mineração de criptomoedas específicos a uma tarefa do Cloud Run durante a execução. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Execução: imagem de Docker de mineração de criptomoedas | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: Registos de auditoria de eventos do sistema IAM |
Foram anexadas imagens do Docker específicas conhecidas como más a um serviço ou uma tarefa do Cloud Run novo ou existente. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Elevação de privilégios: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: Registos de atividade do administrador |
A conta de serviço do Compute Engine predefinida foi usada para definir a política IAM para um serviço do Cloud Run. Esta é uma potencial ação pós-exploração quando um token do Compute Engine é comprometido a partir de um serviço sem servidor. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: início de sessão com êxito do CloudDB a partir do IP do proxy de anonimização | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Cloud Audit Logs:
Registos de acesso a dados do AlloyDB para PostgreSQL Registos de acesso a dados do Cloud SQL para PostgreSQL Registos de acesso a dados do Cloud SQL para MySQL Nota: tem de ativar o registo de IPs no PostgreSQL para usar esta regra para o AlloyDB e o PostgreSQL. |
Foi detetado um início de sessão bem-sucedido na sua instância da base de dados a partir de um endereço IP de anonimização conhecido. Isto pode indicar que um atacante obteve acesso inicial à sua instância. Por predefinição, as conclusões são classificadas como gravidade alta. |
| Acesso a credenciais: falha no início de sessão na CloudDB a partir de um IP de proxy de anonimização | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Cloud Audit Logs:
Registos de acesso a dados do AlloyDB para PostgreSQL Registos de acesso a dados do Cloud SQL para PostgreSQL Registos de acesso a dados do Cloud SQL para MySQL Nota: tem de ativar o registo de IPs no PostgreSQL para usar esta regra para o AlloyDB e o PostgreSQL. |
Foi detetado um início de sessão falhado na sua instância da base de dados a partir de um endereço IP de anonimização conhecido. Isto pode indicar que um atacante está a tentar aceder sem autorização à sua instância. As conclusões são classificadas como gravidade Média por predefinição. |
Módulos personalizados para a Deteção de ameaças de eventos
Além das regras de deteção integradas, a Deteção de ameaças de eventos fornece modelos de módulos que pode usar para criar regras de deteção personalizadas. Para mais informações, consulte o artigo Vista geral dos módulos personalizados para a Deteção de ameaças de eventos.
Para criar regras de deteção para as quais não estão disponíveis modelos de módulos personalizados, pode exportar os dados de registo para o BigQuery, e, em seguida, executar consultas SQL únicas ou recorrentes que capturem os seus modelos de ameaças.
Alterações não seguras ao Grupo Google
Esta secção explica como a Deteção de ameaças de eventos usa os registos do Google Workspace, os registos de auditoria do Cloud e as políticas de IAM para detetar alterações inseguras aos Grupos Google. A deteção de alterações do Google Groups só é suportada quando ativa o Security Command Center ao nível da organização.
Google Cloud Os clientes podem usar os Grupos Google para gerir funções e autorizações para membros nas respetivas organizações ou aplicar políticas de acesso a coleções de utilizadores. Em vez de conceder funções diretamente aos membros, os administradores podem conceder funções e autorizações aos Grupos Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todas as funções e autorizações de um grupo, o que permite aos membros aceder a recursos e serviços específicos.
Embora os Grupos Google sejam uma forma conveniente de gerir o controlo de acesso em grande escala, podem representar um risco se forem adicionados utilizadores externos de fora da sua organização ou domínio a grupos privilegiados, ou seja, grupos aos quais são concedidas funções ou autorizações confidenciais. As funções confidenciais controlam o acesso às definições de segurança e de rede, aos registos e às informações de identificação pessoal (IIP), e não são recomendadas para membros de grupos externos.
Em organizações grandes, os administradores podem não saber quando são adicionados membros externos a grupos privilegiados. Os registos de auditoria do Cloud registam concessões de funções a grupos, mas esses eventos de registo não contêm informações sobre os membros do grupo, o que pode ocultar o potencial impacto de algumas alterações de grupo.
Se partilhar os seus registos do Google Workspace com Google Cloud, a Deteção de ameaças de eventos monitoriza as suas streams de registo para novos membros adicionados aos Grupos Google da sua organização. Uma vez que os registos estão ao nível da organização, a Deteção de ameaças de eventos só pode analisar os registos do Google Workspace quando ativa o Centro de comandos de segurança ao nível da organização. A Deteção de ameaças de eventos não consegue analisar estes registos quando ativa o Security Command Center ao nível do projeto.
A Deteção de ameaças de eventos identifica membros de grupos externos e, através dos registos de auditoria da nuvem, revisa as funções do IAM de cada grupo afetado para verificar se os grupos têm funções confidenciais atribuídas. Essas informações são usadas para detetar as seguintes alterações não seguras para grupos do Google privilegiados:
- Membros externos do grupo adicionados a grupos privilegiados
- Funções ou autorizações confidenciais concedidas a grupos com membros externos
- Grupos privilegiados que são alterados para permitir que qualquer pessoa do público em geral adira
A Deteção de ameaças de eventos escreve conclusões no Security Command Center. Os resultados contêm os endereços de email dos membros externos adicionados recentemente, os membros internos do grupo que iniciam eventos, os nomes dos grupos e as funções confidenciais associadas aos grupos. Pode usar as informações para remover membros externos de grupos ou revogar funções confidenciais concedidas a grupos.
Para mais informações sobre as conclusões da Deteção de ameaças de eventos, consulte as Regras de Deteção de ameaças de eventos.
Funções e autorizações de IAM confidenciais
Esta secção explica como a Deteção de ameaças de eventos define funções de IAM sensíveis. As deteções, como a concessão anómala do IAM e as alterações inseguras do grupo Google, geram resultados apenas se as alterações envolverem funções de sensibilidade alta ou média. A sensibilidade das funções afeta a classificação de gravidade atribuída às conclusões.
- As funções de alta sensibilidade controlam serviços críticos nas organizações, incluindo a faturação, as definições de firewall e o registo. As conclusões que correspondem a estas funções são classificadas como gravidade Alta.
- As funções de sensibilidade média têm autorizações de edição
que permitem aos responsáveis fazer alterações aos Google Cloud recursos; e autorizações de visualização
e execução em serviços de armazenamento de dados que contêm frequentemente dados
confidenciais. A gravidade atribuída às descobertas depende do recurso:
- Se forem concedidas funções de sensibilidade média ao nível da organização, as descobertas são classificadas como gravidade Alta.
- Se as funções de sensibilidade média forem concedidas a níveis inferiores na hierarquia de recursos (pastas, projetos e contentores, entre outros), as conclusões são classificadas como gravidade média.
A concessão destas funções confidenciais é considerada perigosa se o beneficiário for um membro externo ou uma identidade anómala, como um principal que esteja inativo há muito tempo.
A atribuição de funções confidenciais a membros externos cria uma potencial ameaça, uma vez que podem ser usadas indevidamente para comprometer a conta e exfiltrar dados.
Alguns exemplos de categorias que usam estas funções sensíveis:
- Persistência: IAM Anomalous Grant
- Subregra:
external_service_account_added_to_policy - Subregra:
external_member_added_to_policy
- Subregra:
- Aumento de privilégios: função sensível concedida a um grupo híbrido
- Privilege Escalation: Dormant Service Account Granted Sensitive Role
As categorias que usam um subconjunto das funções sensíveis incluem:
- Persistência: IAM Anomalous Grant
- Subregra:
service_account_granted_sensitive_role_to_member
- Subregra:
A subregra service_account_granted_sensitive_role_to_member segmenta geralmente membros externos e internos e, por isso, usa apenas um subconjunto de funções confidenciais, conforme explicado nas regras de deteção de ameaças de eventos.
| Categoria | Função | Descrição |
|---|---|---|
| Funções básicas: contêm milhares de autorizações em todos os Google Cloud serviços. | roles/owner |
Funções básicas |
roles/editor |
||
| Funções de segurança: controlam o acesso às definições de segurança | roles/cloudkms.* |
Todas Funções do Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Todas Funções do Web Security Scanner | |
roles/dlp.* |
Todas as funções de proteção de dados confidenciais | |
roles/iam.* |
Todas Funções de IAM | |
roles/secretmanager.* |
Todas Funções do Secret Manager | |
roles/securitycenter.* |
Todas as funções do Security Command Center | |
| Funções de registo: controlam o acesso aos registos de uma organização | roles/errorreporting.* |
Todas Funções de relatórios de erros |
roles/logging.* |
Todas as funções do Cloud Logging | |
roles/stackdriver.* |
Todas as funções do Cloud Monitoring | |
| Funções de informações pessoais: controlar o acesso a recursos que contêm informações de identificação pessoal, incluindo informações bancárias e de contacto | roles/billing.* |
Todas Funções do Cloud Billing |
roles/healthcare.* |
Tudo Funções da Cloud Healthcare API | |
roles/essentialcontacts.* |
Todas Funções de contactos essenciais | |
| Funções de rede: controlam o acesso às definições de rede de uma organização | roles/dns.* |
Todas as funções do Cloud DNS |
roles/domains.* |
Todas Funções do Cloud Domains | |
roles/networkconnectivity.* |
Tudo Funções do Network Connectivity Center | |
roles/networkmanagement.* |
Tudo Funções do Network Connectivity Center | |
roles/privateca.* |
Todas Funções do Certificate Authority Service | |
| Funções de serviço: controlam o acesso aos recursos de serviço no Google Cloud | roles/cloudasset.* |
Todas Funções do Cloud Asset Inventory |
roles/servicedirectory.* |
Todas Funções do diretório de serviços | |
roles/servicemanagement.* |
Todas Funções de gestão de serviços | |
roles/servicenetworking.* |
Todas Funções de rede de serviços | |
roles/serviceusage.* |
Todas Funções de utilização do serviço | |
| Funções do Compute Engine: controlam o acesso a máquinas virtuais do Compute Engine, que executam tarefas de longa duração e estão associadas a regras de firewall |
|
Todas as funções de administrador do Compute Engine e de editor |
| Categoria | Função | Descrição |
|---|---|---|
| Editar funções: funções de IAM que incluem autorizações para fazer alterações aos Google Cloud recursos |
Exemplos:
|
Normalmente, os nomes das funções terminam com títulos como Administrador, Proprietário, Editor ou Autor. Expanda o nó na última linha da tabela para ver Todas as funções de sensibilidade média |
| Funções de armazenamento de dados: funções de IAM que incluem autorizações para ver e executar serviços de armazenamento de dados |
Exemplos:
|
Expanda o nó na última linha da tabela para ver Todas as funções de sensibilidade média |
|
Todas as funções de sensibilidade média
Gestor de acesso sensível ao contexto
Serviço gerido para o Microsoft Active Directory
Monitorização da configuração de operações
Serviço de políticas da organização
Gestão de consumidores de serviços
Serviço de transferência de armazenamento
Vertex AI Workbench user-managed notebooks
|
||
Tipos de registos e requisitos de ativação
Esta secção apresenta os registos que a Deteção de ameaças de eventos usa, juntamente com as ameaças que a Deteção de ameaças de eventos procura em cada registo e o que, se necessário, tem de fazer para ativar cada registo.
Só precisa de ativar um registo para a Deteção de ameaças de eventos se todas as seguintes condições forem verdadeiras:
- Está a usar o produto ou o serviço que escreve no registo.
- Tem de proteger o produto ou o serviço contra as ameaças que a Deteção de ameaças de eventos deteta no registo.
- O registo é um registo de auditoria de acesso a dados ou outro registo que está desativado por predefinição.
É possível detetar determinadas ameaças em vários registos. Se a Deteção de ameaças de eventos conseguir detetar uma ameaça num registo que já esteja ativado, não precisa de ativar outro registo para detetar essa mesma ameaça.
Se um registo não estiver listado nesta secção, a Deteção de ameaças de eventos não o analisa, mesmo que esteja ativada. Para mais informações, consulte o artigo Análises de registos potencialmente redundantes.
Conforme descrito na tabela seguinte, alguns tipos de registos só estão disponíveis ao nível da organização. Se ativar o Security Command Center ao nível do projeto, a Deteção de ameaças de eventos não analisa estes registos nem produz resultados.
Origens de registos fundamentais
A Deteção de ameaças de eventos usa origens de dados fundamentais para detetar atividades potencialmente maliciosas na sua rede.
Se ativar a Deteção de ameaças de eventos sem registos de fluxo da VPC, a Deteção de ameaças de eventos começa imediatamente a analisar uma stream interna, duplicada e independente de registos de fluxo da VPC. Para investigar mais detalhadamente uma descoberta de deteção de ameaças de eventos existente, tem de ativar os registos de fluxo da VPC e navegar manualmente para o Explorador de registos e o Analisador de fluxo. Se ativar os registos de fluxo da VPC numa data posterior, apenas as descobertas futuras vão conter os links relevantes para investigação adicional.
Se ativar a Deteção de ameaças de eventos com os registos de fluxo de VPC, a Deteção de ameaças de eventos começa imediatamente a analisar os registos de fluxo de VPC na sua implementação e fornece links para o Explorador de registos e o analisador de fluxo para ajudar a investigar mais a fundo.
Registos para deteção de software malicioso na rede
A Deteção de ameaças de eventos pode fornecer deteção de rede de software malicioso através da análise de qualquer um dos seguintes registos:
- Registo do Cloud DNS
- Registo do Cloud NAT
- Registo de regras de firewall
- VPC Flow Logs
Não tem de ativar mais do que um dos seguintes: registos de NAT na nuvem, registos de regras da firewall ou registos de fluxo de VPC.
Se já estiver a usar o registo do Cloud DNS, a Deteção de ameaças de eventos pode detetar software malicioso através da resolução de domínios. Para a maioria dos utilizadores, os registos do Cloud DNS são suficientes para a deteção de software malicioso na rede.
Se precisar de outro nível de visibilidade além da resolução de domínio, pode ativar os registos de fluxo da VPC, mas estes podem incorrer em custos. Para gerir estes custos, recomendamos que aumente o intervalo de agregação para 15 minutos e reduza a taxa de amostragem para entre 5% e 10%, mas existe uma compensação entre a capacidade de memorização (amostra mais elevada) e a gestão de custos (taxa de amostragem mais baixa). Para mais informações, consulte o artigo Amostragem e processamento de registos.
Se já estiver a usar o registo de regras de firewall ou o registo do Cloud NAT, estes registos são úteis em vez dos registos de fluxo de VPC.
Dados de registo suportados e ameaças detetadas
Esta secção apresenta os registos do Cloud Logging e do Google Workspace que pode ativar ou configurar de outra forma para aumentar o número de ameaças que a Deteção de ameaças de eventos pode detetar.
Determinadas ameaças, como as ameaças representadas pela representação ou delegação anómala de uma conta de serviço, podem ser encontradas na maioria dos registos de auditoria. Para estes tipos de ameaças, determina que registos tem de ativar com base nos produtos e serviços que está a usar.
A tabela seguinte mostra registos específicos que pode ativar e o tipo de ameaças que podem ser detetadas.
| Tipo de registo | Ameaças detetadas | Configuração necessária |
|---|---|---|
| Registo do Cloud DNS |
|
Ative o registo do Cloud DNS
Veja também Registos para a deteção de software malicioso na rede. |
| Registo do NAT na nuvem |
|
Ative o registo do Cloud NAT
Consulte também os registos de deteção de software malicioso na rede. |
| Registo de regras de firewall |
|
Ative o registo de regras de firewall
Consulte também os registos de deteção de software malicioso na rede. |
| Registos de auditoria de acesso aos dados do Google Kubernetes Engine (GKE) |
|
Ative os registos de auditoria de acesso a dados de registo para o GKE |
| Registos de auditoria do administrador do Google Workspace |
|
Partilhe registos de auditoria de administrador do Google Workspace com o Cloud Logging Não é possível analisar este tipo de registo em ativações ao nível do projeto. |
| Registos de auditoria de início de sessão do Google Workspace |
|
Partilhe registos de auditoria de início de sessão do Google Workspace com o Cloud Logging Não é possível analisar este tipo de registo em ativações ao nível do projeto. |
| Registos do serviço de back-end do balanceador de carga de aplicações externo | Initial Access: Log4j Compromise Attempt |
Ative o registo do equilibrador de carga da aplicação externo |
| Registos de auditoria de acesso a dados do Cloud SQL MySQL |
|
Ative os registos de auditoria de acesso a dados de registo para o Cloud SQL para MySQL |
| Registos de auditoria de acesso a dados do Cloud SQL PostgreSQL |
|
|
| Registos de auditoria de acesso a dados do AlloyDB para PostgreSQL |
|
|
| Registos de auditoria de acesso a dados do IAM |
Discovery: Service Account Self-Investigation
|
Ative os registos de auditoria de acesso a dados de registo para o Resource Manager |
| Registos de auditoria de acesso a dados do SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Ative os registos de auditoria de acesso a dados de registo para o Cloud SQL para SQL Server |
| Registos de auditoria de acesso a dados genéricos |
|
Ative os registos de auditoria de acesso a dados de registo. |
| authlogs/authlog em máquinas virtuais | Brute force SSH |
Instale o agente de operações ou o agente de registo antigo nos seus anfitriões de VMs |
| Registos de fluxo de VPC |
|
Ative os registos de fluxo da VPC
Consulte também os registos de deteção de software malicioso na rede. |
Registos sempre ativados
A tabela seguinte lista os registos do Cloud Logging que não precisa de ativar nem configurar. Estes registos estão sempre ativados e a Deteção de ameaças de eventos analisa-os automaticamente.
| Tipo de registo | Ameaças detetadas | Configuração necessária |
|---|---|---|
| Registos de acesso aos dados BigQueryAuditMetadata |
Exfiltração: exfiltração de dados do BigQuery Exfiltração: extração de dados do BigQuery Exfiltração: dados do BigQuery para o Google Drive Exfiltração: mover para recurso público do BigQuery (pré-visualização) |
Nenhum |
| Registos de auditoria da atividade de administrador do Google Kubernetes Engine (GKE) |
Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR) Credential Access: Manually Approved Kubernetes Certificate Signing Request (CSR) (Preview) Evasão de defesa: sessões anónimas com acesso de administrador do cluster Defense Evasion: Manually Deleted Certificate Signing Request (CSR) Evasão de defesa: potencial máscara de pod do Kubernetes Defense Evasion: Static Pod Created Execution: GKE launch excessively capable container (Preview) Execução: Kubernetes Pod Created with Potential Reverse Shell Arguments Execução: Execução ou anexo suspeito a um pod do sistema (pré-visualização) Execução: carga de trabalho acionada no espaço de nomes sensível Impacto: modificação do kube-dns do GKE detetada (Pré-visualização) Impacto: nomes de contentores do Kubernetes suspeitos – Mineração de criptomoedas Acesso inicial: recurso do GKE anónimo criado a partir da Internet (Pré-visualização) Acesso inicial: serviço GKE NodePort criado Acesso inicial: recurso do GKE modificado anonimamente a partir da Internet (pré-visualização) Acesso inicial: chamada de API bem-sucedida feita a partir de um IP de proxy do TOR Persistência: configuração de webhook do GKE detetada Persistência: conta de serviço criada no espaço de nomes sensível Privilege Escalation: alterações a objetos RBAC do Kubernetes confidenciais Escalamento de privilégios: ClusterRole com verbos privilegiados (Pré-visualização) Escalamento de privilégios: ClusterRoleBinding para função privilegiada Escalamento de privilégios: crie um CSR do Kubernetes para o certificado principal Escalamento de privilégios: criação de associações do Kubernetes confidenciais Escalamento de privilégios: utilizadores efetivamente anónimos com acesso concedido ao cluster do GKE Escalamento de privilégios: lançamento de contentor privilegiado do Kubernetes Aumento de privilégios: nomes de contentores do Kubernetes suspeitos – Exploração e fuga (pré-visualização) Privilege Escalation: Workload Created with a Sensitive Host Path Mount (Preview) Escalamento de privilégios: carga de trabalho com shareProcessNamespace ativado (Pré-visualização) |
Nenhum |
| Registos de auditoria da atividade de administrador do IAM |
Persistência: concessão anómala de IAM (pré-visualização) Persistência: conta não gerida com função sensível concedida Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy Privilege Escalation: Dormant Service Account Granted Sensitive Role Aumento de privilégios: função de simulação concedida para conta de serviço inativa Aumento de privilégios: função sensível concedida a um grupo híbrido |
Nenhum |
| Registos de atividade de administrador do MySQL | Exfiltração: restauro da cópia de segurança do Cloud SQL para uma organização externa | Nenhum |
| Registos de atividade de administrador do PostgreSQL | Exfiltração: restauro da cópia de segurança do Cloud SQL para uma organização externa | Nenhum |
| Registos de atividade do administrador do SQL Server | Exfiltração: restauro da cópia de segurança do Cloud SQL para uma organização externa | Nenhum |
| Registos de auditoria de atividade de administrador genéricos |
Evasão de defesa: filtragem de IP do contentor do GCS modificada Evasão de defesa: bloqueio da política HTTP do projeto desativado Acesso inicial: ação de conta de serviço inativa Acesso inicial: atividade da conta de serviço inativa no serviço de IA Acesso inicial: chave de conta de serviço inativa criada Acesso inicial: ações de autorização recusada excessivas Acesso inicial: chave de conta de serviço roubada usada Movimento lateral: disco de arranque modificado anexado à instância (Pré-visualização) Persistência: o administrador do GCE adicionou uma chave SSH Persistência: o administrador do GCE adicionou um script de arranque Persistência: novo método da API de IA Persistência: novo método da API Persistência: nova geografia Persistência: nova geografia para o serviço de IA Persistência: novo agente do utilizador Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
Nenhum |
| Registos de auditoria dos VPC Service Controls | Evasão de defesa: modificar o VPC Service Controls (pré-visualização) | Nenhum |
| Registos de auditoria da atividade de administrador de cópias de segurança e RD |
Impacto: a cópia de segurança e a recuperação de desastres do Google Cloud expiram todas as imagens Impacto: cópia de segurança do Google Cloud Backup and DR eliminada Impacto: anfitrião do Google Cloud Backup and DR eliminado Impacto: associação do plano do Google Cloud Backup and DR eliminada Impacto: eliminação do cofre do Google Cloud Backup and DR Impacto: política de eliminação da cópia de segurança e RD do Google Cloud Impacto: eliminação do perfil do Google Cloud Backup and DR Impacto: eliminação do modelo de cópia de segurança e RD do Google Cloud Impacto: a imagem de expiração da cópia de segurança e da RD do Google Cloud Impacto: a cópia de segurança e a RD do Google Cloud reduzem o prazo de validade da cópia de segurança Impacto: o Google Cloud Backup and DR reduz a frequência das cópias de segurança Impacto: o Google Cloud Backup and DR remove o dispositivo Impacto: remoção do plano do Google Cloud Backup and DR Inibir a recuperação do sistema: o Google Cloud Backup and DR elimina o conjunto de armazenamento |
Nenhum |
| Registos de auditoria de eventos do sistema de IAM |
Execução: imagem de Docker de mineração de criptomoedas Impacto: comandos de mineração de criptomoedas |
Nenhum |
O que se segue?
- Saiba como usar a Deteção de ameaças de eventos.
- Saiba como investigar e desenvolver planos de resposta para ameaças.