什么是 Event Threat Detection?
Event Threat Detection 是 Security Command Center 高级层级的内置服务,可持续监控您的组织或项目,并以近乎实时的方式识别系统内的威胁。Event Threat Detection 会定期更新检测程序,以识别新出现的云规模的威胁。
Event Threat Detection 的工作原理
Event Threat Detection 会监控您的组织或项目的 Cloud Logging 流。如果您在组织级层激活 Security Command Center 高级层级,则 Event Threat Detection 会在项目创建后使用日志,并且 Event Threat Detection 可以监控 Google Workspace 日志。Cloud Logging 包含会创建、读取或修改资源配置或元数据的 API 调用以及其他操作的日志条目。Google Workspace 日志会跟踪您网域中的用户登录情况,并提供在 Google Workspace 管理控制台中执行的操作的记录。
日志条目包含 Event Threat Detection 用于快速检测威胁的状态和事件信息。Event Threat Detection 会应用检测逻辑和专有威胁情报(包括 Tripwire 指示器匹配、时段分析、高级分析、机器学习和异常值检测),以近乎实时的方式识别威胁。
当 Event Threat Detection 检测到威胁时,它会将发现结果写入 Security Command Center。如果您在组织级层激活 Security Command Center 高级层级,Security Command Center 可将发现结果写入 Cloud Logging 项目。 从 Cloud Logging 和 Google Workspace 日志记录中,您可以使用 Pub/Sub 将发现结果导出到其他系统,并使用 Cloud Run functions 对其进行处理。
如果您在组织级层激活 Security Command Center 高级层级,还可以使用 Google Security Operations 来调查一些发现结果。Google SecOps 是一项 Google Cloud 服务,可让您以统一的时间调查威胁并透视相关实体。如需了解如何将发现结果发送到 Google SecOps,请参阅调查 Google SecOps 中的发现结果。
您查看和修改发现结果和日志的能力取决于您被授予的 Identity and Access Management (IAM) 角色。如需详细了解 Security Command Center IAM 角色,请参阅访问权限控制。
Event Threat Detection 规则
规则定义了 Event Threat Detection 检测到的威胁类型,以及让检测器工作所必须启用的日志类型。管理员活动审核日志始终会写入;您无法配置或停用它们。
Event Threat Detection 包含以下默认规则:
| 显示名称 | API 名称 | 日志源类型 | 说明 |
|---|---|---|---|
| 主动扫描:Log4j 易受 RCE 攻击 | 不可用 | Cloud DNS 日志 | Log4j 漏洞扫描工具启动并识别了经过去混淆处理的网域的 DNS 查询。 此漏洞可能会导致远程代码执行 (RCE)。默认情况下,发现结果会被归类为高严重程度。 |
| 影响:删除了 Google Cloud Backup and DR 主机 | BACKUP_HOSTS_DELETE_HOST |
Cloud Audit Logs: Backup and DR Service管理员活动审核日志 |
从Backup and DR管理控制台中删除了一个主机。与已删除的主机关联的应用可能无法受到保护。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:Google Cloud Backup and DR 使映像过期 | BACKUP_EXPIRE_IMAGE |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
用户请求从Backup and DR管理控制台中删除备份映像。删除备份映像不会阻止未来备份。默认情况下,发现结果会被归类为中严重程度。 |
| 影响:Google Cloud Backup and DR 移除方案 | BACKUP_REMOVE_PLAN |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
从备份和灾难恢复中删除了具有多个应用的备份方案。删除备份方案可能会阻止未来备份。默认情况下,发现结果会被归类为中严重程度。 |
| 影响:Google Cloud Backup and DR 会使所有映像过期 | BACKUP_EXPIRE_IMAGES_ALL |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
用户请求从Backup and DR管理控制台中删除受保护应用的所有备份映像。删除备份映像不会阻止未来备份。默认情况下,发现结果会被归类为高严重程度。 |
| 影响:Google Cloud Backup and DR 删除模板 | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
用于为多个应用设置备份的预定义备份模板已从 Backup and DR 管理控制台中删除。未来设置备份的能力可能会受到影响。 默认情况下,发现结果会被归类为中严重程度。 |
| 影响:Google Cloud Backup and DR 删除政策 | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
Backup and DR政策(定义了备份的存储方式和存储位置)已从Backup and DR管理控制台中删除。将来使用该政策的备份可能会失败。 默认情况下,发现结果会被归类为低严重程度。 |
| 影响:Google Cloud Backup and DR 删除配置文件 | BACKUP_PROFILES_DELETE_PROFILE |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
Backup and DR配置文件(用于定义应该使用哪些存储池来存储备份)已从Backup and DR管理控制台中删除。 将来使用该配置文件的备份可能会失败。 默认情况下,发现结果会被归类为低严重程度。 |
| 影响:Google Cloud Backup and DR 移除设备 | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
从Backup and DR管理控制台中删除了备份设备。与已删除的备份设备关联的应用可能无法受到保护。默认情况下,发现结果会被归类为中严重程度。 |
| 影响:Google Cloud Backup and DR 删除存储池 | BACKUP_STORAGE_POOLS_DELETE |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
已从Backup and DR管理控制台中移除存储池,该池将 Cloud Storage 存储桶与Backup and DR相关联。此存储目标的未来备份将失败。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:Google Cloud Backup and DR 缩短了备份失效日期 | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
通过Backup and DR管理控制台,缩短了受Backup and DR保护的备份的过期日期。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:Google Cloud Backup 和 DR 降低了备份频率 | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
通过 Backup and DR 管理控制台修改了 Backup and DR 备份时间表,以降低备份频率。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:删除了 Google Cloud Backup and DR 保险柜 | BACKUP_DELETE_VAULT |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
备份保险柜已被删除。默认情况下,发现结果会被归类为高严重程度。 |
| 影响:删除了 Google Cloud Backup and DR 备份 | BACKUP_DELETE_VAULT_BACKUP |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
存储在备份保险柜中的备份被手动删除。默认情况下,发现结果会被归类为高严重程度。 |
| 影响:删除了 Google Cloud Backup and DR 方案关联 | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Cloud Audit Logs: Backup and DR管理员活动审核日志 |
从工作负载中移除了 Backup and DR 中的备份方案。默认情况下,发现结果会被归类为高严重程度。 |
| SSH 暴力破解 | BRUTE_FORCE_SSH |
authlog | 攻击者通过暴力破解技术成功获得了主机上的 SSH 访问权限。默认情况下,发现结果会被归类为高严重程度。 |
| Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Cloud IDS 日志 |
Cloud IDS 检测到的威胁事件。 Cloud IDS 通过分析镜像数据包来检测第 7 层攻击,并在检测到威胁事件时将威胁类发现结果发送到 Security Command Center。发现结果类别名称以“Cloud IDS”开头,后跟 Cloud IDS 威胁标识符。 Cloud IDS 与 Event Threat Detection 的集成不包括 Cloud IDS 漏洞检测。默认情况下,发现结果会被归类为低严重程度。 如需详细了解 Cloud IDS 检测,请参阅 Cloud IDS Logging 信息。 |
| 提升权限:外部成员被添加到特权群组 | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Google Workspace 日志: 登录审核 权限: DATA_READ
|
外部成员被添加到特权 Google 群组(被授予敏感角色或权限的群组)。仅当组尚未包含与新成员相同的组织中的其他外部成员时,才会生成发现结果。如需了解详情,请参阅不安全的 Google 群组更改。 此发现结果不适用于项目级激活。 发现结果的分类为高或中,具体取决于与组更改相关的角色的敏感性。如需了解详情,请参阅敏感 IAM 角色和权限。 |
| 提升权限:特权群组已向公众开放 | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: 管理员审核 权限: DATA_READ |
特权 Google 群组(授予了敏感角色或权限的群组)已更改为可供公众访问。如需了解详情,请参阅不安全的 Google 群组更改。 此发现结果不适用于项目级激活。 发现结果的分类为高或中,具体取决于与组更改相关的角色的敏感性。如需了解详情,请参阅敏感 IAM 角色和权限。 |
| 提升权限:授予混合群组的敏感角色 | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit Logs: IAM 管理员活动审核日志 |
向包含外部成员的 Google 群组授予了敏感角色。如需了解详情,请参阅不安全的 Google 群组更改。 发现结果的分类为高或中,具体取决于与组更改相关的角色的敏感性。如需了解详情,请参阅敏感 IAM 角色和权限。 |
| 防护规避:创建 Breakglass 工作负载部署(预览版) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: 管理员活动日志 |
工作负载的部署使用了 break-glass 标志来替换 Binary Authorization 控制措施。默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:更新 Breakglass 工作负载部署(预览版) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: 管理员活动日志 |
工作负载已更新,但使用了 break-glass 标志来替换 Binary Authorization 控制措施。默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:GCS 存储分区 IP 过滤已修改 | GCS_BUCKET_IP_FILTERING_MODIFIED |
Cloud Audit Logs: 管理员活动日志 |
用户或服务账号更改了 Cloud Storage 存储桶的 IP 过滤配置。默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:修改 VPC Service Controls | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud Audit Logs VPC Service Controls 审核日志 |
现有 VPC Service Controls 边界发生了更改,导致该边界提供的保护减少。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:项目 HTTP 政策块已停用 | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Cloud Audit Logs: 管理员活动日志 |
用户或服务账号成功触发了在项目上停用 storage.secureHttpTransport 的操作。当操作在组织级层或文件夹级层执行时,此规则也适用,因为在此级层应用的政策默认会由子项目继承。 默认情况下,发现结果会被归类为低严重程度。 |
| 发现:可以获取敏感的 Kubernetes 对象检查 | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs: GKE 数据访问日志 |
潜在恶意方尝试使用
默认情况下,发现结果会被归类为低严重程度。 |
| 发现:服务账号自行调查 | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud Audit Logs: IAM 数据访问审核日志 权限: DATA_READ
|
使用 IAM 服务账号凭证来调查与同一服务账号关联的角色和权限。 敏感角色 发现结果的严重程度分为高或中,具体取决于授予的角色的敏感度。如需了解详情,请参阅敏感 IAM 角色和权限。 |
| 评估:从匿名代理访问 | ANOMALOUS_ACCESS |
Cloud Audit Logs: 管理员活动日志 |
Google Cloud 服务修改源自与 Tor 网络关联的 IP 地址。默认情况下,发现结果会被归类为中严重程度。 |
| 数据渗漏:BigQuery 数据渗漏 | DATA_EXFILTRATION_BIG_QUERY |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志 权限: DATA_READ |
检测以下场景:
|
| 渗漏:BigQuery 数据提取 | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志 权限: DATA_READ |
检测以下场景:
对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。默认情况下,发现结果会被归类为低严重程度。 |
| 渗漏:BigQuery 数据进入 Google 云端硬盘 | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志 权限: DATA_READ |
受保护的组织所拥有的 BigQuery 资源通过提取操作保存到 Google 云端硬盘文件夹中。默认情况下,发现结果会被归类为低严重程度。 |
| 渗漏:移至公共 BigQuery 资源 | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志 权限: DATA_READ |
BigQuery 资源已保存到您组织拥有的公共资源中。默认情况下,发现结果会被归类为中严重程度。 |
| 渗漏:Cloud SQL 数据渗漏 |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs:
MySQL 数据访问日志 PostgreSQL 数据访问日志 SQL Server 数据访问日志 |
检测以下场景:
对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。默认情况下,发现结果会被归类为高严重程度。 |
| 渗漏:Cloud SQL 将备份恢复到外部组织 | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit Logs:
MySQL 管理员活动日志 PostgreSQL 管理员活动日志 SQL Server 管理员活动日志 |
Cloud SQL 实例的备份已恢复到组织外部的实例。默认情况下,发现结果会被归类为高严重程度。 |
| 渗漏:Cloud SQL 过度授予特权 | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs:
PostgreSQL 数据访问日志 注意:您必须启用 pgAudit 扩展程序才能使用此规则。 |
Cloud SQL for PostgreSQL 用户或角色被授予了对数据库或对架构中的所有表、过程或函数的所有权限。默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问:数据库超级用户写入用户表 | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:Cloud SQL for PostgreSQL 数据访问日志 Cloud SQL for MySQL 数据访问日志 注意:您必须为 PostgreSQL 启用 pgAudit 扩展程序或为 MySQL 启用数据库审核才能使用此规则。 |
Cloud SQL 超级用户(对 PostgreSQL 服务器来说是 postgres,对 MySQL 用户来说是 root)写入了非系统表。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:AlloyDB 过度授予特权 | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs:
AlloyDB for PostgreSQL 数据访问日志 注意:您必须启用 pgAudit 扩展程序才能使用此规则。 |
AlloyDB for PostgreSQL 用户或角色被授予了对数据库或对架构中的所有表、过程或函数的所有权限。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:AlloyDB 数据库超级用户写入用户表 | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:
AlloyDB for PostgreSQL 数据访问日志 注意:您必须启用 pgAudit 扩展程序才能使用此规则。 |
AlloyDB for PostgreSQL 超级用户 (postgres) 写入了非系统表。默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问:休眠服务账号操作 | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs: 管理员活动日志 | 处于休眠状态用户管理的服务账号触发了操作。在此上下文中,如果服务账号处于非活跃状态超过 180 天,则会被视为休眠。默认情况下,发现结果会被归类为高严重程度。 |
| 提升权限:休眠服务账号被授予敏感角色 | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs:IAM 管理员活动审核日志 |
休眠的 用户托管式服务被授予一个或多个敏感 IAM 角色。在此上下文中,如果服务账号处于非活跃状态超过 180 天,则会被视为休眠。 敏感角色 发现结果的严重程度分为高或中,具体取决于授予的角色的敏感度。默认情况下,发现结果会被归类为中严重程度。如需了解详情,请参阅敏感 IAM 角色和权限。 |
| 提升权限:已授予休眠服务账号的模拟角色 | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit Logs:IAM 管理员活动审核日志 | 主账号被授予 模拟用户管理的休眠服务账号的权限。在此上下文中,如果服务账号处于非活跃状态超过 180 天,则会被视为休眠。默认情况下,发现结果会被归类为中严重程度。 |
| 初始访问:已创建休眠服务账号密钥 | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud Audit Logs:管理员活动日志 | 为处于休眠状态的用户代管式服务创建了密钥。 在此上下文中,如果服务账号处于非活跃状态超过 180 天,则会被视为休眠。默认情况下,发现结果会被归类为高严重程度。 |
| 初始访问权限:使用的服务账号密钥已泄露 | LEAKED_SA_KEY_USED |
Cloud Audit Logs:管理员活动日志 数据访问日志 |
泄露的服务账号密钥曾用于对操作进行身份验证。在此情况下,泄露的服务账号密钥是发布到公共互联网上的密钥。默认情况下,发现结果会被归类为高严重程度。 |
| 初始访问:过多的权限遭拒操作 | EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs:管理员活动日志 | 主账号尝试在多个方法和服务中进行更改时反复触发权限遭拒错误。默认情况下,发现结果会被归类为中严重程度。 |
| 持久性:强身份验证被停用 |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: 管理员审核 |
您的组织已停用两步验证。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为中严重程度。 |
| 持久性:两步验证被停用 |
2SV_DISABLE
|
Google Workspace 日志: 登录审核 权限: DATA_READ
|
用户停用了两步验证。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问权限:账号因遭到盗用而被停用 |
ACCOUNT_DISABLED_HIJACKED
|
Google Workspace 日志: 登录审核 权限: DATA_READ
|
用户的账号因可疑活动而被中止。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为中严重程度。 |
| 初始访问权限:因密码泄露而被停用 |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Google Workspace 日志: 登录审核 权限: DATA_READ
|
由于检测到密码泄露,用户的账号已被停用。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问权限:受政府支持的攻击 |
GOV_ATTACK_WARNING
|
Google Workspace 日志: 登录审核 权限: DATA_READ
|
政府支持的攻击者可能尝试破解了用户账号或计算机。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为高严重程度。 |
| 初始访问权限:Log4j 入侵尝试 | 不可用 | Cloud Load Balancing 日志: Cloud HTTP 负载均衡器 注意:您必须启用外部应用负载均衡器日志记录才能使用此规则。 |
检测到标头或网址参数中的 Java 命名和目录接口 (JNDI) 查找。这些查找可能表示有些攻击在尝试利用 Log4Shell 漏洞。这些发现结果的严重程度较低,因为它们仅表示检测或漏洞利用尝试,而非漏洞或危害。 此规则始终处于启用状态。默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问权限:可疑登录被阻止 |
SUSPICIOUS_LOGIN
|
Google Workspace 日志: 登录审核 权限: DATA_READ
|
检测到并阻止了用户账号的可疑登录。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| Log4j 恶意软件:网域错误 | LOG4J_BAD_DOMAIN |
Cloud DNS 日志 | 根据与 Log4j 攻击中使用的已知网域的连接或查询,检测到 Log4j 漏洞流量。默认情况下,发现结果会被归类为低严重程度。 |
| Log4j 恶意软件:IP 错误 | LOG4J_BAD_IP |
VPC 流日志 防火墙规则日志 Cloud NAT 日志 |
根据与 Log4j 攻击中使用的已知 IP 地址的连接检测到 Log4j 漏洞流量。默认情况下,发现结果会被归类为低严重程度。 |
| 恶意软件错误网域 | MALWARE_BAD_DOMAIN |
Cloud DNS 日志 | 根据与已知恶意网域的连接或查询内容检测到恶意软件。默认情况下,发现结果会被归类为低严重程度。 |
| 恶意软件错误 IP | MALWARE_BAD_IP |
VPC 流日志 防火墙规则日志 Cloud NAT 日志 |
根据与已知不良 IP 地址的连接检测到恶意软件。默认情况下,发现结果会被归类为低严重程度。 |
| 恶意软件:挖矿网域错误 | CRYPTOMINING_POOL_DOMAIN |
Cloud DNS 日志 | 根据与已知挖矿网域的连接或查询检测到加密货币挖矿活动。默认情况下,发现结果会被归类为低严重程度。 |
| 恶意软件:挖矿 IP 错误 | CRYPTOMINING_POOL_IP |
VPC 流日志 防火墙规则日志 Cloud NAT 日志 |
根据与已知挖矿 IP 地址的连接检测到加密货币挖矿活动。默认情况下,发现结果会被归类为低严重程度。 |
| 持久性:GCE 管理员添加了 SSH 密钥 | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit Logs: Compute Engine 管理员活动审核日志 |
已在已建立的实例(超过 1 周)上修改了 Compute Engine 实例元数据 SSH 密钥值。默认情况下,发现结果会被归类为低严重程度。 |
| 持久性:GCE 管理员添加了启动脚本 | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit Logs: Compute Engine 管理员活动审核日志 |
已在已建立的实例(早于 1 周)上修改了 Compute Engine 实例元数据启动脚本值。默认情况下,发现结果会被归类为低严重程度。 |
| 持久化:IAM 异常授权 | IAM_ANOMALOUS_GRANT |
Cloud Audit Logs :IAM 管理员活动审核日志 |
此发现结果包含子规则,用于提供有关此发现结果每个实例的更具体的信息。 以下列表显示了所有可能的子规则:
|
| 持久性:非托管账号被授予敏感角色(预览版) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: IAM 管理员活动审核日志 |
向非受管账号授予了敏感角色。默认情况下,发现结果会被归类为高严重程度。 |
| 持久性:新 API 方法 |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: 管理员活动日志 |
IAM 服务账号以异常方式访问了 Google Cloud 服务。默认情况下,发现结果会被归类为低严重程度。 |
| 持久性:新地理位置 | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: 管理员活动日志 |
根据发出请求的 IP 地址的地理位置,检测到 IAM 用户和服务账号从异常位置访问 Google Cloud 。 此发现结果不适用于项目级激活,默认情况下会被归类为低严重程度。 |
| 持久性:新用户代理 | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud Audit Logs: 管理员活动日志 |
IAM 服务账号从异常或可疑用户代理访问 Google Cloud 。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 持久性:单点登录启用切换 |
TOGGLE_SSO_ENABLED
|
Google Workspace: 管理员审核 |
管理员账号的“启用单点登录 (SSO)”设置已停用。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为高严重程度。 |
| 持久性:单点登录设置发生了更改 |
CHANGE_SSO_SETTINGS
|
Google Workspace: 管理员审核 |
管理员账号的 SSO 设置已更改。 此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为高严重程度。 |
| 提升权限:针对管理员活动的服务账号异常模拟 | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理员活动日志 |
潜在的异常模拟服务账号被用于管理活动。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对管理员活动的异常多步服务账号委托 | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理员活动日志 |
发现针对管理活动的异常多步 委托请求。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对数据访问的异常多步服务账号委托 | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: 数据访问日志 |
发现针对数据访问活动的异常多步 委托请求。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对管理员活动的异常服务账号模拟者 | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理员活动日志 |
委托链中潜在的异常调用者或模拟者被用于管理活动。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对数据访问的异常服务账号模拟者 | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: 数据访问日志 |
委托链中潜在的异常调用者或模拟者被用于数据访问活动。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:对敏感 Kubernetes RBAC 对象的更改 | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: GKE 管理员活动日志 |
为了提权,潜在恶意方尝试使用 PUT 或 PATCH 请求来修改敏感 cluster-admin 角色的 ClusterRole、RoleBinding 或 ClusterRoleBinding 基于角色的访问控制 (RBAC) 对象。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:为主证书创建 Kubernetes CSR | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: GKE 管理员活动日志 |
潜在恶意方创建了 Kubernetes 主实例证书签名请求 (CSR),用于向其授予 cluster-admin 访问权限。 默认情况下,发现结果会被归类为高严重程度。 |
| 提升权限:创建敏感的 Kubernetes 绑定 | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: IAM 管理员活动审核日志 |
为了提权,潜在恶意方尝试为 cluster-admin 角色创建新的 RoleBinding 或 ClusterRoleBinding 对象。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:使用被破解的引导凭据获取 Kubernetes CSR | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs: GKE 数据访问日志 |
潜在恶意方使用 kubectl 命令和被破解的引导凭据查询了证书签名请求 (CSR)。 默认情况下,发现结果会被归类为高严重程度。 |
| 提升权限:启动特权 Kubernetes 容器 | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: GKE 管理员活动日志 |
潜在恶意方创建了一个 Pod,该 Pod 包含特权容器或具有提权能力的容器。
特权容器的 |
| 持久性:已创建服务账号密钥 | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit Logs: IAM 管理员活动审核日志 |
已创建服务账号密钥。服务账号密钥是长期有效的凭证,会增加未经授权访问 Google Cloud资源的风险。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:已添加全局关停脚本 | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit Logs: IAM 管理员活动审核日志 |
已向项目添加全局关停脚本。默认情况下,发现结果会被归类为低严重程度。 |
| 持久性:已添加全局启动脚本 | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit Logs: IAM 管理员活动审核日志 |
已向项目添加全局启动脚本。默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:已添加组织级 Service Account Token Creator 角色 | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: IAM 管理员活动审核日志 |
在组织级层授予了 Service Account Token Creator IAM 角色。默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:已添加项目级 Service Account Token Creator 角色 | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: IAM 管理员活动审核日志 |
在项目级授予了 Service Account Token Creator IAM 角色。默认情况下,发现结果会被归类为低严重程度。 |
| 横向移动:从服务账号发起的操作系统补丁执行作业 | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud Audit Logs。 IAM 管理员活动审核日志 |
使用 Compute Engine Patch 服务账号更新任何当前正在运行的 Compute Engine 实例的操作系统。默认情况下,发现结果会被归类为低严重程度。 |
| 横向移动:修改了挂接到实例的启动磁盘(预览版) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud Audit Logs: Compute Engine 审核日志 |
启动磁盘已从一个 Compute Engine 实例分离并挂接到另一个实例,这可能表明有人试图使用修改过的启动磁盘来恶意入侵系统。默认情况下,发现结果会被归类为低严重程度。 |
| 凭据访问:在 Kubernetes 命名空间中访问 Secret | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs: GKE 数据访问日志 |
当前 Kubernetes 命名空间中的服务账号访问了 Secret 或服务账号令牌。默认情况下,发现结果会被归类为低严重程度。 |
| 资源开发:违规的安全发行版活动 | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit Logs: IAM 管理员活动审核日志 |
通过已知的渗透测试或攻击性安全发行版成功操纵了 Google Cloud 资源。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:新服务账号是 Owner 或 Editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit Logs: IAM 管理员活动审核日志 |
新创建的服务账号具有项目的 Editor 或 Owner 角色。默认情况下,发现结果会被归类为低严重程度。 |
| 发现:使用了信息收集工具 | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit Logs: IAM 管理员活动审核日志 |
检测到 ScoutSuite 使用情况。ScoutSuite 是一种云安全审核工具,已知威胁行为者会使用该工具。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:可疑的令牌生成活动 | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: IAM 管理员活动审核日志 |
iam.serviceAccounts.implicitDelegation 权限被滥用,用于从权限更高的服务账号生成访问令牌。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:可疑的令牌生成活动 | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs: IAM 管理员活动审核日志 |
某个服务账号使用
serviceAccounts.signJwt 方法为另一个服务账号生成了访问令牌。默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:可疑的令牌生成活动 | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: IAM 管理员活动审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:可疑的令牌生成活动 | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: IAM 管理员活动审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:可疑的跨项目权限使用 | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit Logs: IAM 管理员活动审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 命令和控制:DNS 隧道 | DNS_TUNNELING_IODINE_HANDSHAKE |
Cloud DNS 日志 | 检测到 DNS 隧道工具 Iodine 的握手。默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:VPC 路由伪装尝试 | VPC_ROUTE_MASQUERADE |
Cloud Audit Logs: IAM 管理员活动审核日志 |
伪装成 Google Cloud 默认路由的 VPC 路由是手动创建的,允许出站流量流向外部 IP 地址。默认情况下,发现结果会被归类为高严重程度。 |
| 影响:结算功能已停用 | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit Logs: IAM 管理员活动审核日志 |
为项目停用了结算功能。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:结算功能已停用 | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit Logs: IAM 管理员活动审核日志 |
组织中的多个项目在短时间内被停用了结算功能。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:VPC 防火墙高优先级阻止 | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit Logs: IAM 管理员活动审核日志 |
添加了一条优先级为 0 的 VPC 防火墙规则,用于阻止所有出站流量。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:VPC 防火墙大规模规则删除暂时不可用 | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit Logs: IAM 管理员活动审核日志 |
VPC 防火墙规则被非服务账号批量删除。 此规则暂时不可用。如需监控防火墙规则的更新,请使用 Cloud Audit Logs。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:服务 API 已停用 | SERVICE_API_DISABLED |
Cloud Audit Logs: IAM 管理员活动审核日志 |
生产环境中停用了某项 Google Cloud 服务 API。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:托管式实例组自动扩缩设为最大 | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit Logs: IAM 管理员活动审核日志 |
托管式实例组已配置为最大自动扩缩。默认情况下,发现结果会被归类为低严重程度。 |
| 发现:未经授权的服务账号 API 调用 | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs: IAM 管理员活动审核日志 |
某个服务账号进行了未经授权的跨项目 API 调用。默认情况下,发现结果会被归类为低严重程度。 |
| 防御规避:匿名会话授权的集群管理员访问权限 | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs: GKE 管理员活动日志 |
创建了基于角色的访问权限控制 (RBAC) ClusterRoleBinding 对象,为匿名用户添加了 root-cluster-admin-binding 行为。默认情况下,发现结果会被归类为低严重程度。 |
| 持久性:AI 服务的新地理位置 | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: 管理员活动日志 |
根据发出请求的 IP 地址的地理位置,IAM 用户和服务账号从异常位置访问了 Google Cloud AI 服务。 此发现结果不适用于项目级激活,默认情况下会被归类为低严重程度。 |
| 提升权限:针对AI管理员活动的异常多步服务账号委托 | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理员活动日志 |
发现针对 AI 服务管理活动的异常多步 委托请求。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对 AI 数据访问的异常多步服务账号委托 | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: 数据访问日志 |
发现针对 AI 服务的数据访问活动的异常多步 委托请求。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对AI管理员活动的异常服务账号模拟者 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理员活动日志 |
委托链中潜在的异常调用者或模拟者被用于 AI 服务的管理活动。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对AI数据访问的异常服务账号模拟者 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: 数据访问日志 |
委托链中潜在的异常调用者或模拟者被用于 AI 服务的数据访问活动。默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:针对AI管理员活动的服务账号异常模拟 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理员活动日志 |
潜在的异常模拟服务账号被用于 AI 服务的管理活动。默认情况下,发现结果会被归类为中严重程度。 |
| 持久性:新的 AI API 方法 |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: 管理员活动日志 |
IAM 服务账号以异常方式访问了 Google Cloud AI 服务。默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问:AI 服务中的休眠服务账号活动 | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs:管理员活动日志 | 处于休眠状态的用户托管式服务账号在 AI 服务中触发了操作。在此上下文中,如果服务账号处于非活跃状态超过 180 天,则会被视为休眠。默认情况下,发现结果会被归类为高严重程度。 |
| 初始访问:从互联网匿名创建 GKE 资源(预览版) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: GKE 管理员活动日志。 |
资源是由 有效匿名互联网用户创建的。默认情况下,发现结果会被归类为高严重程度。 |
| 初始访问:从互联网匿名修改 GKE 资源(预览版) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: GKE 管理员活动日志 |
资源被 有效匿名互联网用户操纵。默认情况下,发现结果会被归类为高严重程度。 |
| 提升权限:已向匿名用户授予 GKE 集群访问权限 | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs: GKE 管理员活动日志 |
有人创建了引用以下用户或群组之一的 RBAC 绑定:
这些用户和组实际上是匿名的,因此在为任何 RBAC 角色创建角色绑定或集群角色绑定时,应避免使用这些用户和群组。查看绑定,确保它是必要的。如果不需要该绑定,请将其移除。默认情况下,发现结果会被归类为中严重程度。 |
| 执行:可疑执行或系统 Pod 连接(预览版) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs: GKE 管理员活动日志 |
有人使用 exec 或 attach 命令获取 shell,或者对在 kube-system 命名空间中运行的容器执行命令。这些方法有时用于合法的调试目的。不过,kube-system 命名空间用于由 Kubernetes 创建的系统对象,并且应检查意外的命令执行或 shell 创建情况。 默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:使用敏感主机路径装载创建的工作负载(预览版) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit Logs: GKE 管理员活动日志 |
有人创建了包含 hostPath 卷的工作负载,该卷装载到主机节点文件系统上的敏感路径。主机文件系统上这些路径的访问权限可用于访问节点上的特权或敏感信息,以及用于容器逃逸。请尽可能不要在集群中允许任何 hostPath 卷。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:已启用 shareProcessNamespace 的工作负载(预览版) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs: GKE 管理员活动日志 |
有人部署了将 shareProcessNamespace 选项设置为 true 的工作负载,允许所有容器共享同一个 Linux 进程命名空间。这可能会让不受信任或遭入侵的容器通过访问和控制其他容器中运行的进程的环境变量、内存和其他敏感数据来提升权限。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:具有特权动词的 ClusterRole(预览版) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit Logs: GKE 管理员活动日志 |
有人创建了包含 bind、escalate 或 impersonate 动词的 RBAC ClusterRole。与包含这些动词的角色绑定的主体可以伪装成具有更高权限的其他用户,绑定到包含更多权限的其他 Roles 或 ClusterRoles,或者修改自己的 ClusterRole 权限。这可能会导致这些主体获得集群管理员权限。 默认情况下,发现结果会被归类为低严重程度。 |
| 提升权限:ClusterRoleBinding 到特权角色 | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs: GKE 管理员活动日志 |
有人创建了一个引用默认 system:controller:clusterrole-aggregation-controller ClusterRole 的 RBAC ClusterRoleBinding。此默认 ClusterRole 具有 escalate 动词,可让主体修改自己角色的权限,从而允许提升权限。 默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:手动删除的证书签名请求 (CSR) | GKE_MANUALLY_DELETED_CSR |
Cloud Audit Logs: GKE 管理员活动日志 |
有人手动删除了证书签名请求 (CSR)。CSR 会被垃圾回收控制器自动移除,但恶意方可能会手动删除 CSR 以规避检测。如果已删除的 CSR 是针对已批准并已颁发的证书,那么潜在恶意方现在就有了额外的身份验证方法来访问集群。与证书关联的权限因包含的主体而异,但可能具有很高的权限。Kubernetes 不支持吊销证书。 默认情况下,发现结果会被归类为低严重程度。 |
| 凭证访问:未能批准 Kubernetes 证书签名请求 (CSR) | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit Logs: GKE 管理员活动日志 |
有人尝试手动批准证书签名请求 (CSR),但操作失败。攻击者常常通过创建集群身份验证证书来创建对遭入侵集群的永久访问权限。与证书关联的权限因包含的主体而异,但可能具有很高的权限。 默认情况下,发现结果会被归类为低严重程度。 |
| 凭据访问:手动批准的 Kubernetes 证书签名请求 (CSR)(预览版) | GKE_CSR_APPROVED |
Cloud Audit Logs: GKE 管理员活动日志 |
有人手动批准了证书签名请求 (CSR)。攻击者常常通过创建集群身份验证证书来创建对遭入侵集群的永久访问权限。与证书关联的权限因包含的主体而异,但可能具有很高的权限。 默认情况下,发现结果会被归类为低严重程度。 |
| 执行:使用潜在的反向 Shell 参数创建的 Kubernetes Pod | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs: GKE 管理员活动日志 |
有人创建了一个 Pod,其中包含通常与反向 shell 关联的命令或参数。攻击者使用反向 shell 来扩展或维持对集群的初始访问权限,并执行任意命令。 默认情况下,发现结果会被归类为中严重程度。 |
| 防护规避:潜在的 Kubernetes Pod 伪装 | GKE_POD_MASQUERADING |
Cloud Audit Logs: GKE 管理员活动日志 |
有人部署了一个 Pod,其命名惯例与 GKE 为常规集群操作创建的默认工作负载类似。这种技术称为伪装。 默认情况下,发现结果会被归类为中严重程度。 |
| 提升权限:可疑的 Kubernetes 容器名称 - 利用和转义 (预览版) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit Logs: GKE 管理员活动日志 |
有人部署了一个 Pod,其命名惯例与用于容器逃逸或在集群中执行其他攻击的常用工具类似。默认情况下,发现结果会被归类为中严重程度。 |
| 持久性:已在敏感命名空间中创建服务账号 | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Cloud Audit Logs: GKE 管理员活动日志 |
有人在敏感命名空间中创建了服务账号。kube-system 和 kube-public 命名空间对于 GKE 集群操作至关重要,未经授权的服务账号可能会破坏集群的稳定性和安全性。默认情况下,发现结果会被归类为低严重程度。 |
| 影响:可疑的 Kubernetes 容器名称 - 加密货币挖矿 | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs: GKE 管理员活动日志 |
有人部署了一个 Pod,其命名惯例与常见加密货币挖矿者类似。这可能是已获得集群初始访问权限的攻击者试图利用集群的资源进行加密货币挖矿。 默认情况下,发现结果会被归类为高严重程度。 |
| 执行:在敏感命名空间中触发了工作负载 | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Cloud Audit Logs: GKE 管理员活动日志 |
有人在 kube-system 或 kube-public 命名空间中部署了工作负载(例如 Pod 或 Deployment)。这些命名空间对于 GKE 集群操作至关重要,未经授权的工作负载可能会破坏集群的稳定性或安全性。 默认情况下,发现结果会被归类为低严重程度。 |
| 执行:GKE 启动了功能过多的容器(预览版) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Cloud Audit Logs: GKE 管理员活动日志 |
有人在具有受提升安全上下文的集群中创建了具有以下一个或多个功能的容器:
|
| 持久性:检测到 GKE webhook 配置 | GKE_WEBHOOK_CONFIG_CREATED |
Cloud Audit Logs: GKE 管理员活动日志 |
在您的 GKE 集群中检测到 webhook 配置。 webhook 可以拦截和修改 Kubernetes API 请求,可能使攻击者能够在您的集群中持久化或操纵资源。 默认情况下,发现结果会被归类为低严重程度。 |
| 防护规避:创建了静态 Pod | GKE_STATIC_POD_CREATED |
Cloud Audit Logs: GKE 管理员活动日志 |
有人在您的 GKE 集群中创建了静态 Pod。静态 Pod 直接在节点上运行,并绕过 Kubernetes API 服务器,这使得它们更难以监控和控制。攻击者可以使用静态 Pod 来逃避检测或维护持久性。 默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问权限:从 TOR 代理 IP 发出了成功的 API 调用 | GKE_TOR_PROXY_IP_REQUEST |
Cloud Audit Logs: GKE 管理员活动日志 |
从与 Tor 网络关联的 IP 地址向您的 GKE 集群发出了成功的 API 调用。Tor 可提供匿名性,攻击者通常会利用这一点来隐藏自己的身份。 默认情况下,发现结果会被归类为高严重程度。 |
| 初始访问权限:创建了 GKE NodePort 服务 | GKE_NODEPORT_SERVICE_CREATED |
Cloud Audit Logs: GKE 管理员活动日志 |
有人创建了 NodePort 服务。NodePort 服务会直接在节点的 IP 地址和静态端口上公开 Pod,从而使 Pod 可从集群外部访问。这可能会引发严重的安全风险,因为攻击者可能会利用已公开服务中的漏洞来获取对集群或敏感数据的访问权限。 默认情况下,发现结果会被归类为中严重程度。 |
| 影响:检测到 GKE kube-dns 修改(预览版) | GKE_KUBE_DNS_MODIFICATION |
Cloud Audit Logs: GKE 管理员活动日志 |
有人修改了 GKE 集群中的 kube-dns 配置。GKE kube-dns 是集群网络的关键组成部分,如果配置错误,可能会导致安全事故。 默认情况下,发现结果会被归类为中严重程度。 |
| 影响:加密货币挖矿命令 | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: IAM 系统事件审核日志 |
在执行期间,特定的加密货币挖矿命令附加到了 Cloud Run 作业。 默认情况下,发现结果会被归类为高严重程度。 |
| 执行:加密货币挖矿 Docker 映像 | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: IAM 系统事件审核日志 |
特定已知不良 Docker 映像已附加到新的或现有的 Cloud Run 服务或作业。 默认情况下,发现结果会被归类为高严重程度。 |
| 提升权限:默认 Compute Engine 服务账号 SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: 管理员活动日志 |
默认 Compute Engine 服务账号用于为 Cloud Run 服务设置 IAM 政策。 当来自无服务器服务的 Compute Engine token 遭泄露时,这可能是攻击者获取权限后进行的攻击行为。 默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问权限:已通过匿名化代理 IP 地址成功登录 CloudDB | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Cloud Audit Logs:
AlloyDB for PostgreSQL 数据访问日志 Cloud SQL for PostgreSQL 数据访问日志 Cloud SQL for MySQL 数据访问日志 注意:您必须在 PostgreSQL 中启用 IP 日志记录,才能将此规则用于 AlloyDB 和 Postgres。 |
我们检测到您的数据库实例已通过已知的匿名化 IP 地址成功登录。这可能表明攻击者已获得对您实例的初始访问权限。默认情况下,发现结果会被归类为高严重程度。 |
| 凭证访问:未能通过匿名化代理 IP 地址登录 CloudDB | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Cloud Audit Logs:
AlloyDB for PostgreSQL 数据访问日志 Cloud SQL for PostgreSQL 数据访问日志 Cloud SQL for MySQL 数据访问日志 注意:您必须在 PostgreSQL 中启用 IP 日志记录,才能将此规则用于 AlloyDB 和 Postgres。 |
我们检测到您的数据库实例中存在来自已知匿名化 IP 地址的登录失败情况。这可能表明攻击者正试图未经授权地访问您的实例。默认情况下,发现结果会被归类为中严重程度。 |
Event Threat Detection 的自定义模块
除了内置检测规则之外,Event Threat Detection 还提供模块模板,可用于创建自定义检测规则。如需了解详情,请参阅 Event Threat Detection 的自定义模块概览。
如需创建没有可用自定义模块模板的检测规则,您可以将日志数据导出到 BigQuery,然后运行唯一或重复的 SQL 查询来捕获威胁模型。
不安全的 Google 群组更改
本部分介绍 Event Threat Detection 如何使用 Google Workspace 日志、Cloud Audit Logs 和 IAM 政策来检测不安全的 Google 群组更改。仅当您在组织级层激活 Security Command Center 时,才支持检测 Google 群组更改。
Google Cloud 客户可以使用 Google 群组管理其组织成员的角色和权限,或对一系列用户应用访问权限政策。管理员可以直接向成员授予角色和权限,然后将成员添加到特定群组,而不是直接向成员授予角色。群组成员会继承群组的所有角色和权限,使成员可以访问特定资源和服务。
虽然 Google 群组是大规模管理访问权限控制的便捷方式,但如果组织或网域外部的外部用户被添加到特权群组(被授予了敏感角色或权限的群组)中,则可能会带来风险。敏感角色用于控制对安全和网络设置、日志以及个人身份信息 (PII) 的访问权限,不建议外部群组成员使用。
在大型组织中,管理员可能不知道外部成员添加到特权群组的时间。Cloud Audit Logs 会记录向群组授予的角色,但这些日志事件不包含群组成员的相关信息,这可能会掩盖部分群组更改的潜在影响。
如果您与 Google Cloud共享 Google Workspace 日志,则 Event Threat Detection 会监控您的日志记录流,以查找添加到组织 Google 群组的新成员。由于日志处于组织级层,因此只有当您在组织级层激活 Security Command Center 时,Event Threat Detection 才能扫描 Google Workspace 日志。如果您在项目级层激活 Security Command Center,Event Threat Detection 则无法扫描这些日志。
Event Threat Detection 可识别外部群组成员,并通过 Cloud Audit Logs 审核每个受影响群组的 IAM 角色,检查这些群组是否被授予了敏感角色。这些信息用于检测特权 Google 群组的以下不安全更改:
- 已加入特权群组的外部群组成员
- 授予群组外部成员的敏感角色或权限
- 更改为允许公众加入的特权群组
Event Threat Detection 会将发现结果写入 Security Command Center。发现结果包含新添加的外部成员的电子邮件地址、内部群组(用于启动事件、群组名称)以及与群组关联的敏感角色。您可以使用这些信息从群组中移除外部成员或撤消授予群组的敏感角色。
如需详细了解 Event Threat Detection 的发现结果,请参阅 Event Threat Detection 规则。
敏感 IAM 角色和权限
本部分介绍了 Event Threat Detection 如何定义敏感的 IAM 角色。仅当更改涉及高或中敏感度角色时,IAM 异常授权和不安全的 Google 群组更改等检测结果才会生成发现结果。角色的敏感度会影响分配给发现结果的严重级别。
- 高敏感度角色控制组织中的关键服务,包括结算、防火墙设置和日志记录。与这些角色匹配的发现结果会被归类为高严重程度。
- 中敏感角色具有修改权限,可让主账号更改 Google Cloud 资源;以及查看通常对敏感数据拥有的数据存储服务的权限并执行这些权限。分配给发现结果的严重级别取决于资源:
- 如果在组织级层授予了中敏感度角色,则发现结果将归类为高严重性。
- 如果在资源层次结构中的较低级层授予了中敏感角色(文件夹、项目和存储分区等),则发现结果将归类为中严重性。
如果被授予者是外部成员或异常身份(例如长时间处于非活跃状态的主账号),则授予这些敏感角色可能会有危险。
向外部成员授予敏感角色会构成潜在的威胁,因为它们可能会被滥用,从而导致账号泄露和数据渗漏。
查找使用这些敏感角色的类别包括:
- 持久性:IAM 异常授权
- 子规则:
external_service_account_added_to_policy - 子规则:
external_member_added_to_policy
- 子规则:
- 提升权限:授予混合群组的敏感角色
- 提升权限:休眠服务账号被授予敏感角色
查找使用部分敏感角色的类别包括:
- 持久性:IAM 异常授权
- 子规则:
service_account_granted_sensitive_role_to_member
- 子规则:
service_account_granted_sensitive_role_to_member 子规则通常面向外部和内部成员,因此仅使用一部分敏感角色,如 Event Threat Detection 规则中所述。
| 类别 | 角色 | 说明 |
|---|---|---|
| 基本角色:具有针对所有 Google Cloud 服务的数千项权限。 | roles/owner |
基本角色 |
roles/editor |
||
| 安全角色:控制对安全设置的访问权限 | roles/cloudkms.* |
所有 Cloud Key Management Service 角色 |
roles/cloudsecurityscanner.* |
所有 Web Security Scanner 角色 | |
roles/dlp.* |
所有敏感数据保护角色 | |
roles/iam.* |
所有 IAM 角色 | |
roles/secretmanager.* |
所有 Secret Manager 角色 | |
roles/securitycenter.* |
所有 Security Command Center 角色 | |
| Logging 角色:控制对组织日志的访问权限 | roles/errorreporting.* |
所有 Error Reporting 角色 |
roles/logging.* |
所有 Cloud Logging 角色 | |
roles/stackdriver.* |
所有 Cloud Monitoring 角色 | |
| 个人信息角色:控制对个人身份信息(包括银行和联系信息)资源的访问权限 | roles/billing.* |
所有 Cloud Billing 角色 |
roles/healthcare.* |
所有 Cloud Healthcare API 角色 | |
roles/essentialcontacts.* |
所有重要联系人角色 | |
| 网络角色:控制对组织网络设置的访问权限 | roles/dns.* |
所有 Cloud DNS 角色 |
roles/domains.* |
所有 Cloud Domains 角色 | |
roles/networkconnectivity.* |
所有 Network Connectivity Center 角色 | |
roles/networkmanagement.* |
所有 Network Connectivity Center 角色 | |
roles/privateca.* |
所有 Certificate Authority Service 角色 | |
| 服务角色:控制对 Google Cloud中服务资源的访问权限 | roles/cloudasset.* |
所有 Cloud Asset Inventory 角色 |
roles/servicedirectory.* |
所有 Service Directory 角色 | |
roles/servicemanagement.* |
所有 Service Management 角色 | |
roles/servicenetworking.* |
所有 Service Networking 角色 | |
roles/serviceusage.* |
所有 Service Usage 角色 | |
| Compute Engine 角色:控制对 Compute Engine 虚拟机的访问,这些虚拟机承担长时间运行的作业并与防火墙规则相关联。 |
|
所有 Compute EngineAdmin 和 Editor 角色 |
| 类别 | 角色 | 说明 |
|---|---|---|
| 修改角色:包含更改 Google Cloud 资源权限的 IAM 角色 |
示例:
|
角色名称通常以标题为 Admin、Owner、Editor 或 Writer 结尾。 展开表最后一行中的节点,以查看所有中敏感度角色 |
| 数据存储角色 :IAM 角色,包含用于查看和执行数据存储服务的权限 |
示例:
|
展开表最后一行中的节点,以查看所有中敏感度角色 |
|
所有中等敏感度角色
Managed Service for Microsoft Active Directory
|
||
日志类型和激活要求
本部分列出 Event Threat Detection 使用的日志、Event Threat Detection 在每个日志中查找的威胁,以及要启用每个日志所需执行的操作(如有需要)。
只有在满足以下所有条件时,您才需要为 Event Threat Detection 启用日志:
- 您正在使用写入日志的产品或服务。
- 您需要保护产品或服务免受Event Threat Detection在日志中检测到的威胁。
- 相应日志是数据访问审核日志或其他默认处于关闭状态的日志。
有一些威胁可能会在多个日志中检测到。如果 Event Threat Detection 可以在已启用的日志中检测到某一威胁,则没有必要为了检测同一威胁而启用其他日志。
如果日志未在本部分中列出,则 Event Threat Detection 不会扫描该日志,即使该日志已启用也是如此。如需了解详情,请参阅潜在的冗余日志扫描。
如下表所述,某些日志类型仅在组织级层提供。如果您在项目级层激活 Security Command Center,则 Event Threat Detection 不会扫描这些日志,也不会生成任何发现结果。
基础日志源
Event Threat Detection 使用基础数据源来检测网络中潜在的恶意活动。
如果您未通过 VPC 流日志启用 Event Threat Detection,Event Threat Detection 会立即开始分析独立的重复内部 VPC 流日志流。如需进一步调查现有的 Event Threat Detection 发现结果,您需要启用 VPC 流日志,并手动前往Logs Explorer和Flow Analyzer。如果您稍后启用 VPC 流日志,则只有未来的发现结果会包含用于进一步调查的相关链接。
如果您通过 VPC 流日志启用 Event Threat Detection,Event Threat Detection 会立即开始分析部署中的 VPC 流日志,并提供指向Logs Explorer和 Flow Analyzer 的链接,以帮助您进一步调查。
用于检测网络中的恶意软件的日志
Event Threat Detection 可以通过扫描以下任一日志来对恶意软件进行网络检测:
- Cloud DNS 日志记录
- Cloud NAT 日志记录
- 防火墙规则日志记录
- VPC 流日志
您只需在 Cloud NAT 日志记录、防火墙规则日志记录和 VPC 流日志中启用一项即可。
如果您已在使用 Cloud DNS 日志记录,Event Threat Detection 可以通过网域解析来检测恶意软件。对于大多数用户而言,Cloud DNS 日志足以帮助其对恶意软件进行网络检测。
如果除了网域解析以外,您还需要了解其他更深层次的信息,则可以启用 VPC 流日志,但该日志可能会产生费用。为了对这些费用进行合理管理,我们建议将汇总间隔增加到 15 分钟,并将采样率降低到 5% 到 10% 之间,但您需要在召回率(较高采样率)和费用管理(较低采样率)之间有一定的权衡。如需了解详情,请参阅日志采样和处理。
如果您已在使用防火墙规则日志记录或 Cloud NAT 日志记录,则可以使用这些日志来替代 VPC 流日志。
支持的日志数据和检测到的威胁
本部分列出了您可以启用或配置的 Cloud Logging 和 Google Workspace 日志,以增加 Event Threat Detection 可以检测的威胁数量。
某些威胁(例如由服务账号的异常模拟或委托构成的威胁)可以在大多数审核日志中找到。对于这些类型的威胁,您可以根据所使用的产品和服务来确定需要开启哪些日志。
下表显示了您可以启用的特定日志以及可以检测到的威胁类型。
| 日志类型 | 检测到的威胁 | 需要配置 |
|---|---|---|
| Cloud DNS 日志记录 |
|
启用 Cloud DNS 日志记录 |
| Cloud NAT 日志记录 |
|
启用 Cloud NAT 日志记录 另请参阅用于检测网络中恶意软件的日志。 |
| 防火墙规则日志记录 |
|
启用防火墙规则日志记录 另请参阅用于检测网络中恶意软件的日志。 |
| Google Kubernetes Engine (GKE) 数据访问审核日志 |
|
激活适用于 GKE 的 Logging 数据访问审核日志 |
| Google Workspace 管理员审核日志 |
|
与 Cloud Logging 共享 Google Workspace 管理员审核日志 在项目级激活中无法扫描此日志类型。 |
| Google Workspace 登录审核日志 |
|
与 Cloud Logging 共享 Google Workspace 登录审核日志 在项目级激活中无法扫描此日志类型。 |
| 外部应用负载均衡器后端服务日志 | Initial Access: Log4j Compromise Attempt |
启用外部应用负载均衡器日志记录 |
| Cloud SQL for MySQL 数据访问审核日志 |
|
激活适用于 Cloud SQL for MySQL 的 Logging 数据访问审核日志 |
| Cloud SQL for PostgreSQL 数据访问审核日志 |
|
|
| AlloyDB for PostgreSQL 数据访问审核日志 |
|
|
| IAM 数据访问审核日志 |
Discovery: Service Account Self-Investigation
|
激活适用于 Resource Manager 的 Logging 数据访问审核日志 |
| SQL Server 数据访问审核日志 | Exfiltration: Cloud SQL Data Exfiltration |
激活适用于 Cloud SQL for SQL Server 的 Logging 数据访问审核日志 |
| 通用数据访问审核日志 |
|
激活 Logging 数据访问审核日志。 |
| 虚拟机上的 authlogs/authlog | Brute force SSH |
在虚拟机主机上安装 Ops Agent 或旧版 Logging 代理 |
| VPC 流日志 |
|
启用 VPC 流日志 另请参阅用于检测网络中恶意软件的日志。 |
始终启用的日志
下表列出了无需您开启或配置的 Cloud Logging 日志。这些日志始终处于启用状态,并且 Event Threat Detection 会自动扫描这些日志。
| 日志类型 | 检测到的威胁 | 需要配置 |
|---|---|---|
| BigQueryAuditMetadata 数据访问日志 |
数据渗漏:BigQuery 数据渗漏 渗漏:BigQuery 数据提取 渗漏:BigQuery 数据进入 Google 云端硬盘 渗漏:移至公共 BigQuery 资源(预览版) |
无 |
| Google Kubernetes Engine (GKE) 管理员活动审核日志 |
凭证访问:未能批准 Kubernetes 证书签名请求 (CSR) 凭证访问:手动批准的 Kubernetes 证书签名请求 (CSR)(预览版) 防御规避:匿名会话授权的集群管理员访问权限 防护规避:手动删除的证书签名请求 (CSR) 防护规避:潜在的 Kubernetes Pod 伪装 防护规避:创建了静态 Pod 执行:GKE 启动了功能过多的容器(预览版) 执行:使用潜在的反向 Shell 参数创建的 Kubernetes Pod 执行:可疑执行或系统 Pod 连接(预览版) 执行:在敏感命名空间中触发了工作负载 影响:检测到 GKE kube-dns 修改(预览版) 影响:可疑的 Kubernetes 容器名称 - 加密货币挖矿 初始访问:从互联网匿名创建 GKE 资源(预览版) 初始访问权限:创建了 GKE NodePort 服务 初始访问:从互联网匿名修改 GKE 资源(预览版) 初始访问权限:从 TOR 代理 IP 发出了成功的 API 调用 持久性:检测到 GKE webhook 配置 持久性:已在敏感命名空间中创建服务账号 提升权限:对敏感 Kubernetes RBAC 对象的更改 提升权限:具有特权动词的 ClusterRole(预览版) 提升权限:ClusterRoleBinding 到特权角色 提升权限:为主证书创建 Kubernetes CSR 提升权限:创建敏感的 Kubernetes 绑定 提升权限:已向匿名用户授予 GKE 集群访问权限 提升权限:启动特权 Kubernetes 容器 提升权限:可疑的 Kubernetes 容器名称 - 利用和转义 (预览版) 提升权限:使用敏感主机路径装载创建的工作负载(预览版) 提升权限:已启用 shareProcessNamespace 的工作负载(预览版) |
无 |
| IAM 管理员活动审核日志 |
持久性:IAM 异常授权(预览版) 持久性:非受管账号被授予敏感角色 提升权限:默认 Compute Engine 服务账号 SetIAMPolicy 提升权限:休眠服务账号被授予敏感角色 提升权限:已授予休眠服务账号的模拟角色 提升权限:授予混合群组的敏感角色 |
无 |
| MySQL 管理员活动日志 | 渗漏:Cloud SQL 将备份恢复到外部组织 | 无 |
| PostgreSQL 管理员活动日志 | 渗漏:Cloud SQL 将备份恢复到外部组织 | 无 |
| SQL Server 管理员活动日志 | 渗漏:Cloud SQL 将备份恢复到外部组织 | 无 |
| 常规管理员活动审核日志 |
防护规避:GCS 存储分区 IP 过滤已修改 防护规避:项目 HTTP 政策块已停用 初始访问:休眠服务账号操作 初始访问:AI 服务中的休眠服务账号活动 初始访问:已创建休眠服务账号密钥 初始访问:过多的权限遭拒操作 初始访问权限:使用的服务账号密钥已泄露 横向移动:修改了挂接到实例的启动磁盘(预览版) 持久性:GCE 管理员添加了 SSH 密钥 持久性:GCE 管理员添加了启动脚本 持久性:新的 AI API 方法 持久性:新 API 方法 持久性:新地理位置 持久性:AI 服务的新地理位置 持久性:新用户代理 提升权限:针对管理员活动的服务账号异常模拟 提升权限:针对 AI 管理员活动的服务账号异常模拟 提升权限:针对管理员活动的异常多步服务账号委托 提升权限:针对 AI 管理员活动的异常多步服务账号委托 提升权限:针对管理员活动的异常服务账号模拟者 提升权限:针对 AI 管理员活动的异常服务账号模拟者 |
无 |
| VPC Service Controls 审核日志 | 防护规避:修改 VPC Service Controls(预览版) | 无 |
| Backup and DR 管理员活动审核日志 |
影响:Google Cloud Backup and DR 会使所有映像过期 影响:删除了 Google Cloud Backup and DR 备份 影响:删除了 Google Cloud Backup and DR 主机 影响:删除了 Google Cloud Backup and DR 方案关联 影响:删除了 Google Cloud Backup and DR 保险柜 影响:Google Cloud Backup and DR 删除政策 影响:Google Cloud Backup and DR 删除配置文件 影响:Google Cloud Backup and DR 删除模板 影响:Google Cloud Backup and DR 使映像过期 影响:Google Cloud Backup and DR 缩短了备份失效日期 影响:Google Cloud Backup 和 DR 降低了备份频率 影响:Google Cloud Backup and DR 移除设备 影响:Google Cloud Backup and DR 移除方案 禁止系统恢复:Google Cloud Backup and DR 删除存储池 |
无 |
| IAM 系统事件审核日志 |
执行:加密货币挖矿 Docker 映像 影响:加密货币挖矿命令 |
无 |
后续步骤
- 了解如何 使用 Event Threat Detection。
- 了解如何调查和制定威胁响应方案。