Übersicht über Event Threat Detection

Was ist Event Threat Detection?

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation oder Projekte kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.

Funktionsweise von Event Threat Detection

Event Threat Detection überwacht Cloud Logging für Ihre Organisation oder Projekte. Wenn Sie Security Command Center Premium aktivieren auf Organisationsebene nutzt Event Threat Detection Logs für Ihre Projekte, während sie erstellt werden, und Event Threat Detection kann Google Workspace-Protokolle. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.

Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.

Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center aktivieren, Organisationsebene kann Security Command Center Ergebnisse in ein Cloud Logging Projekt arbeiten. Aus Cloud Logging und Google Workspace-Logging können Sie Folgendes exportieren: mit Pub/Sub an andere Systeme senden und diese mit anderen Cloud Run-Funktionen.

Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, haben Sie folgende Möglichkeiten: nutzen Sie zusätzlich Google Security Operations, um einige Ergebnisse. Google SecOps ist ein Google Cloud-Dienst, können Sie Bedrohungen untersuchen und verwandte Entitäten in einer einheitlichen Zeitleiste. Eine Anleitung zum Senden von Ergebnissen an Google SecOps finden Sie unter Ergebnisse in Google SecOps untersuchen.

Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Event Threat Detection-Regeln

Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.

Derzeit umfasst Event Threat Detection folgende Standardregeln:

Anzeigename API-Name Logquelltypen Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE Nicht verfügbar Cloud DNS-Logs Erkennt aktive Log4j-Sicherheitslücken, indem DNS-Abfragen für nicht verschleierte Domains identifiziert werden die von unterstützten Log4j-Scannern initiiert wurden.
Systemwiederherstellung verhindern: Google Cloud Backup- und DR-Host gelöscht BACKUP_HOSTS_DELETE_HOST Cloud-Audit-Logs:
Datenzugriffslogs für Sicherungs- und Notfallwiederherstellungsdienst 		Ein Host wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt.
Datenvernichtung: Image in Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen lassen BACKUP_EXPIRE_IMAGE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Nutzer hat das Löschen eines Sicherungs-Images aus „Sicherung und Notfallwiederherstellung“ angefordert. Das Löschen eines Sicherungs-Images verhindert nicht, dass zukünftige Sicherungen erstellt werden.
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Entfernen BACKUP_REMOVE_PLAN Cloud Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Das Löschen eines Sicherungsplans kann zukünftige Sicherungen verhindern.
Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen BACKUP_EXPIRE_IMAGES_ALL Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Nutzer hat das Löschen aller Sicherungs-Images für eine geschützte Anwendung aus „Sicherung und Notfallwiederherstellung“ angefordert. Das Löschen von Sicherungs-Images verhindert nicht, dass zukünftige Sicherungen erstellt werden.
Systemwiederherstellung verhindern: Google Cloud-Sicherungs- und Notfallwiederherstellungsvorlage löschen BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde gelöscht. Die Möglichkeit, in Zukunft Sicherungen einzurichten, kann beeinträchtigt sein.
Systemwiederherstellung verhindern: Löschrichtlinie für Google Cloud-Sicherung und -DR BACKUP_TEMPLATES_DELETE_POLICY Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Eine Sicherungs- und Notfallwiederherstellungsrichtlinie, die festlegt, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde gelöscht. Zukünftige Sicherungen, die die Richtlinie verwenden, schlagen möglicherweise fehl.
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen BACKUP_PROFILES_DELETE_PROFILE Cloud Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Sicherungs- und Notfallwiederherstellungsprofil, das definiert, welche Speicherpools für wurden gelöscht. Zukünftige Sicherungen, die das Profil verwenden, schlagen möglicherweise fehl.
Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Eine Backup-Appliance wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Anwendungen, die die mit der gelöschten Backup-Appliance verknüpft sind, möglicherweise nicht geschützt.
Systemwiederherstellung verhindern: Google Cloud-Sicherung und Notfallwiederherstellung löschen Speicherpool BACKUP_STORAGE_POOLS_DELETE Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Ein Speicherpool, der einen Cloud Storage-Bucket mit Sicherungen und Notfallwiederherstellungen verknüpft, wurde aus Sicherungen und Notfallwiederherstellungen entfernt. Künftige Sicherungen an dieses Speicherziel schlagen fehl.
Auswirkung: Verkürzter Ablauf von Sicherungen bei Google Cloud-Sicherung und -Notfallwiederherstellung BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Das Ablaufdatum für eine Sicherung, die durch die Sicherung und Notfallwiederherstellung geschützt ist, wurde verkürzt.
Auswirkung: Google Cloud-Sicherung und Notfallwiederherstellung haben die Sicherungshäufigkeit reduziert BACKUP_REDUCE_BACKUP_FREQUENCY Cloud-Audit-Logs:
Datenzugriffslogs für Sicherung und Notfallwiederherstellung 		Der Zeitplan für die Sicherung und Notfallwiederherstellung wurde geändert, um die Anzahl der Sicherungen zu reduzieren Häufigkeit.
Brute-Force-SSH BRUTE_FORCE_SSH authlog Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Cloud IDS-Logs

Erkennung von Bedrohungen durch Cloud IDS:

Cloud IDS erkennt Layer 7-Angriffe durch Analyse gespiegelter Pakete und sendet bei Erkennen eines Bedrohungsereignisses ein Ergebnis der Bedrohungsklasse an das Security Command Center. Suchen Sie nach Kategorienamen, die mit „Cloud IDS“ beginnen und gefolgt werden von der Cloud IDS-Bedrohungs-ID.

Die Cloud IDS-Integration in die Ereignisbedrohungserkennung umfasst keine Cloud IDS-Sicherheitslückenerkennungen.

Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Informationen zum Cloud IDS-Logging.

Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Erkennt Ereignisse, bei denen ein externes Mitglied einer privilegierten Google-Gruppe (Gruppe) hinzugefügt wird sensible Rollen oder Berechtigungen gewährt wurden. Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden mit dem Schweregrad Hoch oder Mittel klassifiziert. abhängig von der Sensibilität der mit der Gruppenänderung verbundenen Rollen. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen:

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Audit-Log zur Administratoraktivität
Berechtigungen:
DATA_READ

Erkennt Ereignisse, bei denen eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden mit dem Schweregrad Hoch oder Mittel klassifiziert. abhängig von der Sensibilität der mit der Gruppenänderung verbundenen Rollen. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten

Erkennt Ereignisse, bei denen einer Google-Gruppe mit externen Personen vertrauliche Rollen gewährt werden Mitglieder. Weitere Informationen finden Sie unter Änderungen an unsicheren Google-Gruppen

Die Ergebnisse werden mit dem Schweregrad Hoch oder Mittel klassifiziert. abhängig von der Sensibilität der mit der Gruppenänderung verbundenen Rollen. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen:

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Umgehung von Abwehrmaßnahmen: Break-Glass-Workload-Deployment wurde erstellt (Vorschau) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt die Bereitstellung von Arbeitslasten mithilfe des Break-Glass-Flags Binärautorisierung zu überschreiben.
Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslast-Deployment aktualisiert (Vorabversion) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit-Logs:
Administratoraktivitätslogs 		Erkennt, wenn Arbeitslasten mithilfe des Break-Glass-Flags zum Überschreiben aktualisiert werden Steuerelemente für die Binärautorisierung:
Defense Evasion: VPC Service Control modifizieren DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud-Audit-Logs Audit-Logs für VPC Service Controls

Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, die zu einem den durch diesen Perimeter gebotenen Schutz geringer ausfällt.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud-Audit-Logs:
GKE-Datenzugriffslogs

Ein potenziell böswilliger Akteur hat mithilfe des Befehls kubectl auth can-i get ermittelt, welche vertraulichen Objekte in GKE abgefragt werden können. Insbesondere erkennt die Regel, ob der Akteur den API-Zugriff auf folgende Objekte geprüft hat:

Erkennung: Dienstkonto-Prüfung SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit-Logs:
IAM-Datenzugriffs-Audit-Logs
Berechtigungen:
DATA_READ

Erkennung von verwendeten Anmeldedaten eines IAM-Dienstkontos die mit demselben Dienstkonto verknüpften Rollen und Berechtigungen untersuchen.

Sensible Rollen

Die Ergebnisse werden mit dem Schweregrad Hoch oder Mittel klassifiziert. abhängig von der Vertraulichkeit der zugewiesenen Rollen. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

E-Mail: Zugriff vom Anonymisierungs-Proxy ANOMALOUS_ACCESS Cloud Audit-Logs:
Administratoraktivitätslogs 		Erkennung von Änderungen am Google Cloud-Dienst, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Exfiltration: BigQuery-Daten-Exfiltration DATA_EXFILTRATION_BIG_QUERY Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Ressourcen, die der geschützten Organisation gehören und außerhalb des Organisation, einschließlich Kopier- und Übertragungsvorgänge.

    Dieses Szenario wird durch eine untergeordnete Regel von exfil_to_external_table und einem Schweregrad von HIGH gekennzeichnet.

  • Versuche, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls

    Dieses Szenario wird durch eine untergeordnete Regel von vpc_perimeter_violation und einem Schweregrad von LOW gekennzeichnet.

Exfiltration: BigQuery-Datenextraktion DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert.
  • Eine BigQuery-Ressource der geschützten Organisation wird gespeichert. über Extraktionsvorgänge in einen öffentlich zugänglichen Cloud Storage-Bucket. die dieser Organisation gehören.

Für Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene Dieses Ergebnis ist nur verfügbar, wenn die Standardstufe in der Dachorganisation.
Exfiltration: BigQuery-Daten in Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt Folgendes:

  • Eine BigQuery-Ressource der geschützten Organisation wird gespeichert. Extraktion in einen Google Drive-Ordner hochladen.
Exfiltration: Cloud SQL-Daten-Exfiltration CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		Cloud-Audit-Logs: MySQL-Datenzugriffslogs
PostgreSQL-Datenzugriffslogs
SQL Server-Datenzugriffslogs

Erkennt folgende Szenarien:

  • Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden
  • Daten der Live-Instanz, die in einen Cloud Storage-Bucket exportiert wurden, der dem Organisation und öffentlich zugänglich sind.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit-Logs: MySQL-Administratoraktivitätslogs
PostgreSQL-Administratoraktivitätslogs
SQL Server-Administratoraktivitätslogs

Erkennt Ereignisse, bei denen die Sicherung einer Cloud SQL-Instanz in einer Instanz wiederhergestellt wird außerhalb des Unternehmens.

Exfiltration: Cloud SQL Überprivilegierte Berechtigung CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen pgAudit aktivieren. Erweiterung, um diese Regel zu verwenden. 		Erkennt Ereignisse, bei denen einem Cloud SQL for PostgreSQL-Nutzer oder eine Cloud SQL for PostgreSQL-Rolle alle Berechtigungen gewährt wurden Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema.
Anfänglicher Zugriff: Datenbank-Superuser schreibt in Nutzertabellen CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: Cloud SQL for PostgreSQL-Datenzugriffslogs
Datenzugriffslogs in Cloud SQL for MySQL
Hinweis: Sie müssen pgAudit aktivieren. Erweiterung für PostgreSQL oder Datenbankprüfung damit MySQL diese Regel verwenden kann. 		Erkennt Ereignisse, bei denen ein Cloud SQL-Superuser (postgres für PostgreSQL) Server oder root für MySQL-Nutzer) schreibt in Nicht-Systemtabellen.
Rechteausweitung: Zuweisung von überprivilegierten AlloyDB-Berechtigungen ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. 		Erkennt Ereignisse, bei denen einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB for PostgreSQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt wurden.
Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen pgAudit-Erweiterung, um diese Regel zu verwenden. 		Erkennt Ereignisse, bei denen ein AlloyDB for PostgreSQL-Superuser (postgres) schreibt auf nicht systemeigene Tabellen.
Anfänglicher Zugriff: Aktion über inaktives Dienstkonto DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud-Audit-Logs: Administratoraktivitätslogs Erkennt Ereignisse, bei denen ein inaktiver vom Nutzer verwaltetes Dienstkonto hat eine Aktion ausgelöst. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, seit mehr als 180 Tagen inaktiv sind.
Rechteausweitung: Dem inaktiven Dienstkonto wurde eine vertrauliche Rolle gewährt DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud-Audit-Logs: Audit-Logs zu IAM-Administratoraktivitäten

Erkennt Ereignisse, bei denen ein inaktiver vom Nutzer verwaltetes Dienstkonto mindestens eine vertrauliche IAM-Rolle wurde gewährt. In diesem Zusammenhang Konto gilt als inaktiv, wenn es länger als 180 Tage inaktiv ist.

Sensible Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit-Logs: IAM Admin Activity-Audit-Logs Erkennt Ereignisse, bei denen einem Hauptkonto Berechtigungen zum Identitätswechsel für ein inaktives, von Nutzern verwaltetes Dienstkonto gewährt werden. In diesem Zusammenhang wird ein Dienstkonto inaktiv, wenn es länger als 180 Tage inaktiv ist.
Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud-Audit-Logs: Administratoraktivitätslogs Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt wird. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tage.
Anfänglicher Zugriff: Gehackter Dienstkontoschlüssel verwendet LEAKED_SA_KEY_USED Cloud Audit-Logs: Administratoraktivitätslogs
Datenzugriffslogs 		Erkennt Ereignisse, bei denen ein gehackter Dienstkontoschlüssel zur Authentifizierung der Aktion verwendet wird. In In diesem Kontext ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der öffentlich gepostet wurde. Internet.
Anfänglicher Zugriff: Aktionen aufgrund übermäßiger verweigerter Berechtigungen EXCESSIVE_FAILED_ATTEMPT Cloud Audit-Logs: Administratoraktivitätslogs Erkennt Ereignisse, bei denen ein Hauptkonto wiederholt Fehler des Typs Berechtigung verweigert auslöst, indem und versucht, Änderungen über mehrere Methoden und Dienste hinweg durchzuführen.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Administratorprüfung

Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert 2SV_DISABLE Google Workspace-Protokolle:
Audit der Anmeldung
Berechtigungen:
DATA_READ

Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Erstzugriff: Konto deaktiviert – Gehackt ACCOUNT_DISABLED_HIJACKED Google Workspace-Protokolle:
Audit der Anmeldung
Berechtigungen:
DATA_READ

Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.
Erstzugriff: Deaktiviert – Passwortleck ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace-Protokolle:
Audit der Anmeldung
Berechtigungen:
DATA_READ

Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.
Erstzugriff: Von staatlichen Stellen unterstützter Angriff GOV_ATTACK_WARNING Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Anfangszugriff: Log4j-Kompromittierungsversuch Nicht verfügbar Cloud Load Balancing-Logs:
Cloud-HTTP-Load-Balancer
Hinweis: Sie müssen das externe Logging für den Application Load Balancer aktivieren, um diese Regel verwenden zu können.

Erkennt Java Naming and Directory Interface (JNDI) lookups innerhalb -Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen geringen Schweregrad, da sie nur auf eine Erkennung hindeuten und keine Schwachstelle oder Kompromittierung.

Diese Regel ist immer aktiviert.
Erstzugriff: Verdächtige Anmeldung blockiert SUSPICIOUS_LOGIN Google Workspace-Protokolle:
Audit der Anmeldung
Berechtigungen:
DATA_READ

Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.
Log4j-Malware: Ungültige Domain LOG4J_BAD_DOMAIN Cloud DNS-Logs Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain, die bei Log4j-Angriffen verwendet wird.
Log4j-Malware: Ungültige IP-Adresse LOG4J_BAD_IP VPC-Flusslogs
Logs zu Firewallregeln
Cloud NAT-Logs		 Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain MALWARE_BAD_DOMAIN Cloud DNS-Logs Erkennung von Malware anhand einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain.
Malware: Schädliche IP-Adresse MALWARE_BAD_IP VPC-Flusslogs
Logs zu Firewallregeln
Cloud NAT-Logs 		Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse.
Malware: Ungültige Domain für Kryptomining CRYPTOMINING_POOL_DOMAIN Cloud DNS-Logs Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain.
Malware: Schädliche Kryptomining-IP-Adresse CRYPTOMINING_POOL_IP VPC-Flusslogs
Logs zu Firewallregeln
Cloud NAT-Logs 		Erkennung von Cryptomining anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Ausgehender DoS OUTGOING_DOS VPC-Flusslogs Erkennung von ausgehendem Denial of Service-Traffic.
Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt GCE_ADMIN_ADD_SSH_KEY Cloud-Audit-Logs:
Compute Engine-Audit-Logs 		Erkennung einer Änderung des Metadaten-SSH-Schlüsselwerts der Compute Engine-Instanz bei eine etablierte Instanz (älter als 1 Woche).
Persistenz: GCE-Administrator hat Startskript hinzugefügt GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud-Audit-Logs:
Compute Engine-Audit-Logs 		Erkennung einer Änderung am Metadaten-Startskript der Compute Engine-Instanz Wert für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Ungewöhnliche IAM-Gewährung IAM_ANOMALOUS_GRANT Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten

Dieses Ergebnis enthält Unterregeln, die spezifischere Informationen über jede einzelne Instanz dieses Ergebnisses.

Die folgende Liste zeigt alle möglichen Unterregeln:

  • external_service_account_added_to_policy, external_member_added_to_policy: Erkennen von Berechtigungen, die IAM-Nutzern und Dienstkonten gewährt wurden, die keine Mitglieder Ihrer Organisation sind oder, wenn Security Command Center nur auf Projektebene aktiviert ist, Ihres Projekts.

    Hinweis: Wenn das Security Command Center auf einer beliebigen Stufe auf Organisationsebene aktiviert ist, verwendet dieser Detektor die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn Security Command Center nur im Projekt aktiviert wird verwendet der Detektor nur die IAM-Richtlinien des Projekts Kontext.

    Wenn eine vertrauliche IAM-Berechtigung an ein externes Mitglied erfolgt und es weniger als drei ähnliche IAM-Richtlinien, generiert dieser Detektor ein Ergebnis.

    Sensible Rollen

    Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen Siehe Vertrauliche IAM-Rollen und -Berechtigungen:

  • external_member_invited_to_policy: Erkennt, wenn ein externes Mitglied als Inhaber des Projekts über das InsertProjectOwnershipInvite API verwenden.
  • custom_role_given_sensitive_permissions: Erkennt, wenn der Die Berechtigung setIAMPolicy wird einer benutzerdefinierten Rolle hinzugefügt.
  • service_account_granted_sensitive_role_to_member: Erkennt, wenn Mitgliedern über ein Dienstkonto Berechtigungen zugewiesen werden. Diese Unterregel wird durch eine Teilmenge sensibler Rollen ausgelöst, die nur einfache IAM-Rollen und bestimmte Datenspeicherrollen umfasst. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.
  • policy_modified_by_default_compute_service_account: Erkennt, wenn ein Compute Engine-Standarddienstkonto wird zum Ändern des Projekts verwendet IAM-Einstellungen.
Persistenz: Vertrauliche Rolle für nicht verwaltetes Konto gewährt (Vorschau) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennen, wenn einer nicht verwalteten Konten eine sensible Rolle gewährt wird
Persistenz: Neue API-Methode
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit-Logs:
Administratoraktivitätslogs 		Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten.
Persistenz: Neue Region IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit-Logs:
Administratoraktivitätslogs

Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: Neuer User-Agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud-Audit-Logs:
Administratoraktivitätslogs

Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Persistenz: Umschalter für SSO-Aktivierung TOGGLE_SSO_ENABLED Google Workspace:
Administratorprüfung

Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.
Persistenz: SSO-Einstellungen geändert CHANGE_SSO_SETTINGS Google Workspace:
Audit-Log zur Administratoraktivität

Die SSO-Einstellungen für das Administratorkonto wurden geändert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt, wenn eine potenziell anomale übernommenes Dienstkonto ist die für eine Verwaltungsaktivität verwendet werden.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs 		Erkennt, wenn eine ungewöhnliche mehrstufige delegierte Anfrage für eine administrative Aktivität gefunden wird.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs 		Erkennt, wenn eine ungewöhnliche mehrstufige delegierte Anfrage für eine Datenzugriffsaktivität gefunden wird.
Rechteausweitung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Erkennt, wenn eine potenziell anomale Anrufer/Impersonator in einem Delegationskette wird für eine Administratoraktivität verwendet.
Eskalierung von Berechtigungen: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit-Logs:
Datenzugriffslogs 		Erkennt, wenn eine potenziell anomale Anrufer/Impersonator in einem Delegationskette wird für eine Datenzugriffsaktivität verwendet.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten 		Zur Rechteausweitung hat ein potenziell böswilliger Akteur versucht, ClusterRole, RoleBinding oder ClusterRoleBinding RBAC-Objekt (Role-Based Access Control, rollenbasierte Zugriffssteuerung) des vertraulichen cluster-admin Rolle mithilfe einer PUT- oder PATCH-Anfrage.
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten 		Ein potenziell böswilliger Akteur hat einen Kubernetes-Master erstellt Anfrage zur Zertifikatssignierung (CSR) enthält, wodurch sie cluster-admin Zugriff haben.
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud-Audit-Logs:
GKE-Datenzugriffslogs 		Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
Rechteausweitung: Start eines privilegierten Kubernetes-Containers GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten

Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.

Bei einem privilegierten Container ist das Feld privileged auf true gesetzt. Ein Container mit der Fähigkeit zur Rechteausweitung hat Das Feld „allowPrivilegeEscalation“ wurde auf „true“ festgelegt. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter SecurityContext v1 Core in der API-Referenz.

Persistenz: Dienstkontoschlüssel erstellt SERVICE_ACCOUNT_KEY_CREATION Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt das Erstellen eines Dienstkontoschlüssels. Dienstkontoschlüssel sind langlebig Anmeldedaten, die das Risiko nicht autorisierter Zugriffe auf Google Cloud erhöhen Ressourcen.
Rechteausweitung: Globales Shutdown-Script hinzugefügt GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt, wenn einem Projekt ein globales Shutdown-Skript hinzugefügt wird.
Persistenz: Globales Startscript hinzugefügt GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt, wenn einem Projekt ein globales Startskript hinzugefügt wird.
Umgehung von Abwehrmaßnahmen: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Organisationsebene gewährt wird.
Defense Evasion: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Projektebene gewährt wird.
Seitliche Bewegung: Ausführung von Betriebssystempatch über Dienstkonto OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud-Audit-Logs.
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein Dienstkonto die Compute Engine-Patchfunktion verwendet, um das Betriebssystem einer derzeit laufenden Compute Engine-Instanz zu aktualisieren.
Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud-Audit-Logs:
Compute Engine-Audit-Logs 		Erkennt, wenn ein Bootlaufwerk von einer Compute Engine-Instanz getrennt und angehängt wird was auf einen bösartigen Versuch hindeuten könnte, das System mithilfe eines modifizierten Bootlaufwerk.
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit-Logs:
GKE Data Access-Logs 		Erkennt, wenn ein Dienstkonto im aktuellen Kubernetes-Namespace auf Secrets oder Dienstkonto-Token zugreift.
Ressourcenentwicklung: Angriffsaktivität in Sicherheitsdistribution OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt erfolgreiche Manipulationen von Google Cloud-Ressourcen aus bekannter Eindringung von Sicherheitstests oder von offensiven Sicherheitsverteilungen.
Rechteausweitung: Neues Dienstkonto ist Inhaber oder Bearbeiter SERVICE_ACCOUNT_EDITOR_OWNER Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein neues Dienstkonto mit der Rolle „Bearbeiter“ oder „Inhaber“ für ein Projekt erstellt wird.
Ermittlung: Tool zur Informationserfassung verwendet INFORMATION_GATHERING_TOOL_USED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt die Verwendung von ScoutSuite, einem Cloud-Sicherheits-Audittool, das von Angreifern verwendet wird.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt, wenn die Berechtigung iam.serviceAccounts.implicitDelegation missbraucht wird, um Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein Dienstkonto die Methode serviceAccounts.signJwt verwendet, um ein Zugriffstoken für ein anderes Dienstkonto zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die projektübergreifende Verwendung von iam.serviceAccounts.getOpenIdToken IAM-Berechtigung

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die projektübergreifende Verwendung von iam.serviceAccounts.getAccessToken IAM-Berechtigung

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar.
Rechteausweitung: Verdächtige Verwendung projektübergreifender Berechtigungen SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die projektübergreifende Verwendung von datafusion.instances.create IAM-Berechtigung

Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar.
Command-and-Control-Aktivitäten: DNS-Tunneling DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS-Logs Erkennt den Handshake des DNS-Tunneling-Tools Iodine.
Umgehung von Abwehrmaßnahmen: Versuch einer VPC-Routen-Masquerade VPC_ROUTE_MASQUERADE Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt das manuelle Erstellen von VPC-Routen, die sich als Google Cloud-Standardrouten ausgeben und ausgehenden Traffic zu externen IP-Adressen zulassen.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_SINGLE_PROJECT Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn die Abrechnung für ein Projekt deaktiviert wurde.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_MULTIPLE_PROJECTS Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn die Abrechnung für mehrere Projekte in einer Organisation innerhalb kurzer Zeit deaktiviert wurde.
Auswirkungen: Block mit hoher Priorität der VPC-Firewall VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt, wenn eine VPC-Firewallregel hinzugefügt wird, die den gesamten Traffic blockiert und die Priorität 0 hat.
Auswirkung: Die Funktion zum Löschen mehrerer VPC-Firewallregeln ist vorübergehend nicht verfügbar VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die Massenlöschung von VPC-Firewallregeln durch Konten, die keine Dienstkonten sind.

Diese Regel ist vorübergehend nicht verfügbar. Verwenden Sie zum Überwachen von Updates für Ihre Firewallregeln Cloud-Audit-Logs

Auswirkungen: Service API deaktiviert SERVICE_API_DISABLED Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn eine Google Cloud-Dienst-API in einer Produktionsumgebung deaktiviert ist.
Auswirkung: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt MIG_AUTOSCALING_SET_TO_MAX Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Erkennt, wenn eine verwaltete Instanzgruppe für das maximale Autoscaling konfiguriert ist.
Erkennung: Nicht autorisierter API-Aufruf des Dienstkontos UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud-Audit-Logs:
Audit-Logs zu IAM-Administratoraktivitäten 		Erkennt, wenn ein Dienstkonto einen nicht autorisierten projektübergreifenden API-Aufruf ausführt.
Umgehung von Abwehrmaßnahmen: Anonymen Sitzungen gewährter Clusteradministratorzugriff ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit-Logs:
GKE Admin Activity-Logs 		Erkennt das Erstellen eines ClusterRoleBinding-Objekts für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), durch das anonymen Nutzern das root-cluster-admin-binding-Verhalten hinzugefügt wird.
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs 		Erkennt Ressourcenerstellungsereignisse aus anonyme Internetnutzer.
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorschau) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs 		Erkennt Ressourcenmanipulationsereignisse aus anonyme Internetnutzer.
Rechteausweitung: effektiv anonymen Nutzern gewährten GKE-Clusterzugriff (Vorschau) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit-Logs:
GKE Admin Activity-Logs

Ein Nutzer hat eine RBAC-Bindung erstellt, die auf einen der folgenden Nutzer oder Gruppen verweist:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Diese Nutzer und Gruppen sind praktisch anonym und sollten bei der Erstellung Rollenbindungen oder Clusterrollenbindungen an RBAC-Rollen. Prüfen Sie, ob die Bindung erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie.

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion) GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat die Befehle exec oder attach verwendet, um eine Shell aufzurufen oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird. Diese Methoden werden manchmal für legitime Zwecke zur Fehlerbehebung verwendet. Die Der kube-system-Namespace ist für Systemobjekte vorgesehen, die von Kubernetes erstellt wurden. und eine unerwartete Befehlsausführung oder Shell-Erstellung.
Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion) GKE_SENSITIVE_HOSTPATH Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast erstellt, die eine hostPath-Volumebereitstellung auf einen sensiblen Pfad im Dateisystem des Hostknotens enthält. Zugriff auf diese Pfade auf dem Host kann für den Zugriff auf privilegierte oder vertrauliche Informationen auf dem Knoten Container-Escape-Zeichen. Lassen Sie wenn möglich keine hostPath-Bände in Ihrem Cluster.
Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorschau) GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast bereitgestellt, bei der die Option shareProcessNamespace auf true festgelegt war. Dadurch können alle Container denselben Linux-Prozess-Namespace verwenden. So kann ein nicht vertrauenswürdiger oder manipulierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, den Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift, die in anderen Containern ausgeführt werden.
Rechteausweitung: ClusterRole mit privilegierten Verben (Vorschau) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten 		Jemand hat eine RBAC-ClusterRole erstellt, die das bind enthält, escalate oder impersonate Verben. Ein Subjekt, das mit einer Rolle mit diesen Verben verknüpft ist, kann sich als andere Nutzer mit höheren Berechtigungen ausgeben, an zusätzliche Roles oder ClusterRoles mit zusätzlichen Berechtigungen gebunden werden oder seine eigenen ClusterRole-Berechtigungen ändern. Dies kann dazu führen, dass diese Subjekte Cluster-Administratorberechtigungen erhalten.
Rechteausweitung: ClusterRoleBinding für privilegierte Rolle (Vorabversion) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten 		Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf den Standard verweist system:controller:clusterrole-aggregation-controller ClusterRole Diese Standard-ClusterRole hat das Verb escalate, mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was eine Rechteausweitung ermöglicht.
Umgehung von Abwehrmaßnahmen: Zertifikatsignierungsanfrage manuell löschen (Vorschau) GKE_MANUALLY_DELETED_CSR Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten 		Jemand hat eine Anfrage für die Signierung des Zertifikats (Certificate Signing Request, CSR) manuell gelöscht. CSRs werden automatisch von einem Speicherbereinigungs-Controller entfernt. damit sie nicht erkannt werden. Wenn sich die gelöschte CSR auf ein genehmigtes und ausgestelltes Zertifikat bezog, Der potenziell böswillige Akteur hat nun eine zusätzliche Authentifizierungsmethode, des Clusters. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nachdem, aber privilegiert sein können. Der Widerruf von Zertifikaten wird von Kubernetes nicht unterstützt.
Zugriff auf Anmeldedaten: Fehler beim Genehmigen der Anfrage für die Kubernetes-Zertifikatsignierung (CSR) (Vorschau) GKE_APPROVE_CSR_FORBIDDEN Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode um dauerhaft Zugriff auf einen manipulierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein.
Zugriff auf Anmeldedaten: Manuell genehmigte Anfrage zur Signierung des Kubernetes-Zertifikats (Certificate Signing Request, CSR) (Vorschau) GKE_CSR_APPROVED Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Anfrage für die Signierung des Zertifikats (Certificate Signing Request, CSR) manuell genehmigt. Zertifikat erstellen für die Clusterauthentifizierung eine gängige Methode, auf einen manipulierten Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach in welchem Thema er sich befunden hat, kann aber privilegiert sein.
Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt (Vorabversion) GKE_REVERSE_SHELL_POD Cloud-Audit-Logs:
Logs zu GKE-Administratoraktivitäten 		Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die häufig mit einem Reverse Shell. Angreifer nutzen Reverse Shells, um ihren anfänglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und mit beliebigen Befehlen.
Defense Evasion: Mögliches Kubernetes-Pod-Masquerading (Vorabversion) GKE_POD_MASQUERADING Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der der Standardarbeitslasten ähnelt, die GKE für den regulären Clusterbetrieb erstellt. Diese Technik wird als Maskierung.
Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion) GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die denen gängiger Tools ähnelt, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden.
Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen (Vorabversion) GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der von gängigen Kryptowährungs-Coin-Minern ähnelt. Dies kann ein Versuch eines Angreifers sein, der den ersten Zugriff auf den Cluster erhalten hat, die Ressourcen des Clusters für das Mining von Kryptowährungen zu verwenden.

Benutzerdefinierte Module für Event Threat Detection

Zusätzlich zu den integrierten Erkennungsregeln bietet Event Threat Detection Modul Vorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.

So erstellen Sie Erkennungsregeln, für die keine benutzerdefinierten Modulvorlagen verfügbar sind: können Sie Ihre Logdaten nach BigQuery exportieren, und führen dann eindeutige oder wiederkehrende SQL-Abfragen aus, die Ihre Bedrohungsmodelle erfassen.

Unsichere Änderungen an Google-Gruppen

In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs verwendet. Cloud-Audit-Logs und IAM-Richtlinien zur Erkennung unsicherer Google Groups-Gruppen Änderungen. Die Erkennung von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.

Google Groups ist zwar eine bequeme Möglichkeit, die Zugriffssteuerung in großem Umfang zu verwalten, ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain wurden privilegierten Gruppen hinzugefügt, also Gruppen, die Vertrauliche Rollen oder Berechtigungen Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.

In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.

Wenn Sie Ihre Google Workspace-Protokolle freigeben überwacht Event Threat Detection mithilfe von Google Cloud Ihre Logging-Streams auf neue Mitglieder wurden den Google-Gruppen Ihrer Organisation hinzugefügt. Da sich die Logs auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Logs nur dann scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Protokolle nicht scannen, wenn Sie Security Command Center auf Projektebene aktivieren.

Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:

  • Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
  • Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
  • Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann

Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.

Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.

Vertrauliche IAM-Rollen und -Berechtigungen

In diesem Abschnitt wird erläutert, wie Event Threat Detection sensible Daten definiert IAM-Rollen Erkennungen wie anomale IAM-Erteilung und unsichere Google-Dienste Gruppenänderungen generieren nur dann Ergebnisse, wenn Änderungen hohe oder Rollen mit mittlerer Vertraulichkeit. Die Vertraulichkeit von Rollen wirkt sich auf die Bewertung der Ergebnisse aus.

  • Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
  • Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud-Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
    • Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
    • Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.

Die Gewährung dieser sensiblen Rollen gilt als gefährlich, wenn der Begünstigte ein externes Mitglied oder eine ungewöhnliche Identität ist, z. B. ein Prinzipal, der seit langem inaktiv ist.

Wenn Sie externen Mitgliedern sensible Rollen zuweisen, entsteht eine potenzielle Bedrohung, da diese Rollen für die Manipulation von Konten und die Datenexfiltration missbraucht werden können.

Zu den Ergebniskategorien, die diese sensiblen Rollen verwenden, gehören:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Untergeordnete Regel: external_service_account_added_to_policy
    • Untergeordnete Regel: external_member_added_to_policy
  • Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt
  • Rechteausweitung: Dem inaktiven Dienstkonto wurde eine vertrauliche Rolle gewährt

Zu den Ergebniskategorien, die eine Teilmenge der sensiblen Rollen verwenden, gehören:

  • Persistenz: Anomale IAM-Berechtigung
    • Unterregel: service_account_granted_sensitive_role_to_member

Die untergeordnete Regel "service_account_granted_sensitive_role_to_member" ist auf beide ausgerichtet externe und interne Mitglieder im Allgemeinen und verwendet daher nur einen Teil der sensible Rollen, wie unter Event Threat Detection-Regeln erläutert.

Kategorie Rolle Beschreibung
Einfache Rollen: enthalten Tausende von Berechtigungen für alle Google Cloud-Dienste. roles/owner Einfache Rollen
roles/editor
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen roles/cloudkms.* Alle Cloud Key Management Service-Rollen
roles/cloudsecurityscanner.* Alle Web Security Scanner-Rollen
roles/dlp.* Alle Rollen für den Schutz sensibler Daten
roles/iam.* Alle IAM-Rollen
roles/secretmanager.* Alle Secret Manager-Rollen
roles/securitycenter.* Alle Security Command Center-Rollen
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation roles/errorreporting.* Alle Error Reporting-Rollen
roles/logging.* Alle Cloud Logging-Rollen
roles/stackdriver.* Alle Cloud Monitoring-Rollen
Rollen für personenbezogene Daten: Steuern Sie den Zugriff auf Ressourcen. die personenidentifizierbare Informationen enthalten, z. B. Bank- und Bankdaten Kontaktdaten roles/billing.* Alle Cloud Billing-Rollen
roles/healthcare.* Alle Cloud Healthcare API-Rollen
roles/essentialcontacts.* Alle Wichtige Kontaktrollen
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation roles/dns.* Alle Cloud DNS-Rollen
roles/domains.* Alle Cloud Domains-Rollen
roles/networkconnectivity.* Alle Network Connectivity Center-Rollen
roles/networkmanagement.* Alle Network Connectivity Center-Rollen
roles/privateca.* Alle Certificate Authority Service-Rollen
Dienstrollen: Steuern Sie den Zugriff auf Dienstressourcen in Google Cloud roles/cloudasset.* Alle Cloud Asset Inventory-Rollen
roles/servicedirectory.* Alle Service Directory-Rollen
roles/servicemanagement.* Alle Service Management-Rollen
roles/servicenetworking.* Alle Service Networking-Rollen
roles/serviceusage.* Alle Service Usage-Rollen
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Alle Compute Engine-Administratoren und Bearbeiter
Kategorie Rolle Beschreibung
Rollen bearbeiten: IAM-Rollen, die Berechtigungen enthalten um Änderungen an Google Cloud-Ressourcen vorzunehmen

Beispiele:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Rollennamen enden normalerweise mit Titeln wie Admin, Owner, Bearbeiter oder Autor.

Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.

Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten

Beispiele:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit
Alle Rollen mit mittlerer Vertraulichkeit

Zugriffsgenehmigung

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Aktionen

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Binärautorisierung

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Cloud Run-Funktionen

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artefaktanalyse

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops Config Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

Organisationsrichtliniendienst

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Weitere Rollen

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Näherungs-Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Empfehlungen

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Recommender

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Ressourceneinstellungen

  • roles/resourcesettings.admin

Serverloser VPC-Zugriff

  • roles/vpcaccess.admin

Dienstnutzerverwaltung

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench: Nutzerverwaltete Notebooks

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Logtypen und Aktivierungsanforderungen

In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.

Sie müssen ein Protokoll für Event Threat Detection nur aktivieren, wenn Folgendes zutrifft:

  • Sie verwenden das Produkt oder den Dienst, das bzw. der in das Log schreibt.
  • Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, Event Threat Detection erkennt dies im Log.
  • Das Protokoll ist ein Audit-Log für den Datenzugriff oder ein anderes Protokoll, das standardmäßig deaktiviert ist.

Bestimmte Bedrohungen können in mehreren Protokollen erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem bereits aktivierten Log erkennen kann, müssen Sie kein weiteres Log aktivieren, um dieselbe Bedrohung zu erkennen.

Wenn ein Protokoll in diesem Abschnitt nicht aufgeführt ist, wird es von Event Threat Detection nicht gescannt, auch wenn es aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Log-Scans.

Wie in der folgenden Tabelle beschrieben, sind einige Logtypen nur für auf Organisationsebene zur Verfügung. Wenn Sie Security Command Center auf Projektebene, scannt Event Threat Detection diese Logs nicht alle Ergebnisse.

Potenziell redundante Logscans

Event Threat Detection kann Malware im Netzwerk erkennen, indem jede beliebige Malware gescannt wird. der folgenden Logs:

  • Cloud DNS-Logging
  • Cloud NAT-Logging
  • Logging von Firewallregeln
  • VPC-Flusslogs

Wenn Sie Cloud DNS-Logging bereits verwenden, kann Event Threat Detection die Domainauflösung verwendet. Für die meisten Nutzer sind die Cloud DNS-Logs um im Netzwerk Malware zu erkennen.

Wenn Sie neben der Domainauflösung noch mehr Transparenz benötigen, in VPC-Flusslogs, wobei für VPC-Flusslogs Kosten anfallen können. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Abtastrate auf 5 % bis 10 % zu reduzieren. Allerdings ist dies ein Kompromiss zwischen Recall (höhere Abtastrate) und Kostenmanagement (niedrigere Abtastrate).

Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT verwenden Logging sind diese Logs anstelle von VPC-Flusslogs nützlich.

Sie müssen nur Cloud NAT-Logging aktivieren, Logging von Firewallregeln oder VPC-Flusslogs.

Zu aktivierende Protokolle

In diesem Abschnitt sind die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der von Event Threat Detection erkannten Bedrohungen zu erhöhen.

Bestimmte Bedrohungen, z. B. Drohungen durch einen ungewöhnlichen Identitätsdiebstahl oder Delegation eines Dienstkontos finden Sie in den meisten Audit-Logs. Für diese Arten von Bedrohungen legen Sie anhand der von Ihnen verwendeten Produkte und Dienste fest, welche Protokolle aktiviert werden müssen.

Die folgende Tabelle zeigt bestimmte Logs, die Sie für Bedrohungen aktivieren müssen, nur in bestimmten Logtypen erkannt werden.

Logtyp Bedrohungen erkannt Konfiguration erforderlich
Cloud DNS-Protokollierung

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Cloud DNS-Logging aktivieren
Cloud NAT-Logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Cloud NAT-Logging aktivieren
Logging von Firewallregeln

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Aktivieren Sie das Logging von Firewallregeln.
Audit-Logs zum Datenzugriff von Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Logging-Audit-Logs zum Datenzugriff aktivieren für GKE
Audit-Logs für Google Workspace-Administratoren

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Google Workspace Admin-Audit-Logs für Cloud Logging freigeben

Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden.
Audit-Logs zur Anmeldung in Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Audit-Logs zu Google Workspace-Anmeldungen freigeben für Cloud Logging

Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden.
Logs für Backend-Dienst des externen Application Load Balancers Initial Access: Log4j Compromise Attempt Logging für externen Application Load Balancer aktivieren
Audit-Logs für den Cloud SQL MySQL-Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Audit-Logs zum Datenzugriff für Cloud SQL for MySQL aktivieren
Cloud SQL for PostgreSQL-Audit-Logs für den Datenzugriff

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant
AlloyDB for PostgreSQL-Auditprotokolle für den Datenzugriff

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant
Audit-Logs zum IAM-Datenzugriff Discovery: Service Account Self-Investigation Audit-Logs zum Datenzugriff für Resource Manager aktivieren
Audit-Logs zum SQL Server-Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Logging-Audit-Logs zum Datenzugriff aktivieren für Cloud SQL for SQL Server
Allgemeine Audit-Logs zum Datenzugriff

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Aktivieren Sie Audit-Logs zum Datenzugriff in Logging.
„authlogs/authlog“ auf virtuellen Maschinen Brute force SSH Installieren Sie die Ops-Agent oder das Legacy Logging-Agent aktiviert Ihre VM-Hosts
VPC-Flusslogs

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Outgoing DoS

 VPC-Flusslogs aktivieren
Sicherungs- und Notfallwiederherstellungs-Audit-Logs

Data destruction: Google Cloud Backup and DR expire all images

Inhibit system recovery: Google Cloud Backup and DR delete policy

Inhibit system recovery: Google Cloud Backup and DR delete template

Inhibit system recovery: Google Cloud Backup and DR delete profile

Inhibit system recovery: Google Cloud Backup and DR delete storage pool

Inhibit system recovery: deleted Google Cloud Backup and DR host

Data destruction: Google Cloud Backup and DR expire image

Data destruction: Google Cloud Backup and DR remove appliance

Inhibit system recovery: Google Cloud Backup and DR remove plan

Impact: Google Cloud Backup and DR reduce backup expiration

Impact: Google Cloud Backup and DR reduce backup frequency

Audit-Logging für Sicherung und Notfallwiederherstellung aktivieren

Immer aktive Logs

In der folgenden Tabelle sind die Cloud Logging-Protokolle aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.

Logtyp Bedrohungen erkannt Konfiguration erforderlich
BigQueryAuditMetadata-Datenzugriffslogs

Exfiltration: BigQuery-Daten-Exfiltration

Exfiltration: BigQuery-Datenextraktion

Exfiltration: BigQuery-Daten in Google Drive

 Keine
Audit-Logs zu Administratoraktivitäten der Google Kubernetes Engine (GKE)

Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten

Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen

Rechteausweitung: Start eines privilegierten Kubernetes-Containers

Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat

Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff

Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion)

Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorschau)

Rechteausweitung: GKE-Cluster wurde effektiv anonymen Nutzern gewährt Zugriff (Vorschau)

Ausführung: Verdächtige Ausführung oder Anbindung an einen System-Pod (Vorschau)

Rechteausweitung: Arbeitslast, die mit einem vertraulichen Hostpfad erstellt wurde Bereitstellen (Vorabversion)

Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorschau)

Rechteausweitung: ClusterRole mit privilegierten Verben (Vorschau)

Rechteausweitung: ClusterRoleBinding an privilegierte Rolle (Vorschau)

Umgehung von Abwehrmaßnahmen: Anfrage zur Zertifikatsignierung (Certificate Signing Request, CSR) manuell gelöscht (Vorschau)

Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden (Vorabversion)

Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion)

Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt (Vorabversion)

Umgehung von Abwehrmaßnahmen: Mögliche Kubernetes-Pod-Maskierung (Vorschau)

Rechteausweitung: Verdächtige Kubernetes-Containernamen – Exploitation und Escape (Vorschau)

Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen (Vorabversion)

Keine
IAM-Audit-Logs zu Administratoraktivitäten

Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt

Berechtigungseskalierung: Inaktivem Dienstkonto vertrauliche Rolle gewährt

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt

Persistenz: Anomale IAM-Erteilung (Vorschau)

Persistenz: Vertrauliche Rolle für nicht verwaltetes Konto gewährt

 Keine
MySQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
PostgreSQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
SQL Server-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
Generische Audit-Logs zur Administratoraktivität

Erstzugriff: Aktion über inaktives Dienstkonto>

Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt

Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen

Anfänglicher Zugriff: Gehackter Dienstkontoschlüssel verwendet

Persistenz: Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt

Persistenz: Compute Engine-Administrator hat Startskript hinzugefügt

Persistenz: Neue API-Methode

Persistenz: Neue Region

Persistenz: Neuer User-Agent

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten

Rechteausweitung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivität

Rechteausweitung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivität

Lateral Movement: Geändertes Bootlaufwerk, das an eine Instanz angehängt ist (Vorabversion)

Keine
Audit-Logs von VPC Service Controls Umgehung von Abwehrmaßnahmen: VPC Service Control ändern (Vorschau) Keine

Nächste Schritte