Übersicht über Event Threat Detection

Was ist Event Threat Detection?

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation oder Projekte kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.

Funktionsweise von Event Threat Detection

Event Threat Detection überwacht den Cloud Logging-Stream Ihrer Organisation oder Ihrer Projekte. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, nutzt Event Threat Detection Logs für Ihre Projekte, sobald sie erstellt werden. Außerdem kann Event Threat Detection Google Workspace-Logs überwachen. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.

Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.

Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Mit Cloud Logging und Google Workspace-Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Run-Funktionen verarbeiten.

Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können Sie einige Ergebnisse zusätzlich mit Google Security Operations untersuchen. Google SecOps ist ein Google Cloud-Dienst, mit dem Sie Bedrohungen untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können. Eine Anleitung zum Senden von Ergebnissen an Google SecOps finden Sie unter Ergebnisse in Google SecOps untersuchen.

Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Event Threat Detection-Regeln

Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.

Derzeit umfasst Event Threat Detection folgende Standardregeln:

Anzeigename API-Name Logquelltypen Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE Nicht verfügbar Cloud DNS-Logs Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden.
Systemwiederherstellung verhindern: Google Cloud-Sicherungs- und Notfallwiederherstellungshost gelöscht BACKUP_HOSTS_DELETE_HOST Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten des Sicherungs- und Notfallwiederherstellungsdiensts
Ein Host wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt.
Datenvernichtung: Image in Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen lassen BACKUP_EXPIRE_IMAGE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Ein Nutzer hat das Löschen eines Sicherungs-Images aus „Sicherung und Notfallwiederherstellung“ angefordert. Das Löschen eines Sicherungs-Images verhindert nicht, dass zukünftige Sicherungen erstellt werden.
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung – Plan entfernen BACKUP_REMOVE_PLAN Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Das Löschen eines Sicherungsplans kann zukünftige Sicherungen verhindern.
Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen BACKUP_EXPIRE_IMAGES_ALL Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Ein Nutzer hat das Löschen aller Sicherungs-Images für eine geschützte Anwendung aus dem Sicherungs- und Notfallwiederherstellungssystem angefordert. Das Löschen von Sicherungs-Images verhindert nicht, dass zukünftige Sicherungen erstellt werden.
Systemwiederherstellung verhindern: Google Cloud Backup und DR-Löschvorlage BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde gelöscht. Die Möglichkeit, in Zukunft Sicherungen einzurichten, kann beeinträchtigt sein.
Systemwiederherstellung verhindern: Richtlinie zum Löschen von Google Cloud-Sicherungen und Notfallwiederherstellungen BACKUP_TEMPLATES_DELETE_POLICY Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Eine Sicherungs- und Notfallwiederherstellungsrichtlinie, die festlegt, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde gelöscht. Künftige Sicherungen, bei denen die Richtlinie verwendet wird, können fehlschlagen.
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen BACKUP_PROFILES_DELETE_PROFILE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Ein Sicherungs- und Notfallwiederherstellungsprofil, das definiert, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde gelöscht. Künftige Sicherungen, die das Profil verwenden, können fehlschlagen.
Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Eine Sicherungs-Appliance wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Anwendungen, die mit der gelöschten Sicherungs-Appliance verknüpft sind, sind möglicherweise nicht geschützt.
Systemwiederherstellung verhindern: Google Cloud Backup und DR löschen Speicherpool BACKUP_STORAGE_POOLS_DELETE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Ein Speicherpool, der einen Cloud Storage-Bucket mit Sicherungen und Notfallwiederherstellungen verknüpft, wurde aus Sicherungen und Notfallwiederherstellungen entfernt. Künftige Sicherungen an dieses Speicherziel schlagen fehl.
Auswirkung: Verkürzter Ablauf von Sicherungen bei Google Cloud-Sicherung und -Notfallwiederherstellung BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Das Ablaufdatum für eine Sicherung, die durch die Sicherung und Notfallwiederherstellung geschützt ist, wurde verkürzt.
Auswirkung: Google Cloud Backup und DR haben die Sicherungshäufigkeit reduziert BACKUP_REDUCE_BACKUP_FREQUENCY Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung
Der Sicherungszeitplan für die Sicherung und Notfallwiederherstellung wurde geändert, um die Sicherungshäufigkeit zu verringern.
Brute-Force-SSH BRUTE_FORCE_SSH authlog Erkennung erfolgreicher SSH-Brute Force auf einem Host.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Cloud IDS-Logs

Bedrohungsereignisse, die von Cloud IDS erkannt werden.

Cloud IDS erkennt Layer 7-Angriffe durch Analyse gespiegelter Pakete und sendet bei Erkennen eines Bedrohungsereignisses ein Ergebnis der Bedrohungsklasse an das Security Command Center. Suchen Sie nach Kategorienamen, die mit „Cloud IDS“ beginnen und gefolgt werden von der Cloud IDS-Bedrohungs-ID.

Die Cloud IDS-Integration in die Ereignisbedrohungserkennung umfasst keine Cloud IDS-Sicherheitslückenerkennungen.

Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Informationen zum Cloud IDS-Logging.

Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Erkennt Ereignisse, bei denen ein externes Mitglied zu einer privilegierten Google-Gruppe hinzugefügt wird (einer Gruppe, der vertrauliche Rollen oder Berechtigungen gewährt werden). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Audit-Log zur Administratoraktivität
Berechtigungen:
DATA_READ

Erkennt Ereignisse, bei denen eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt Ereignisse, bei denen vertrauliche Rollen einer Google-Gruppe mit externen Mitgliedern zugewiesen werden. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslastbereitstellung erstellt (Vorabversion) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennt Arbeitslastbereitstellungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben.
Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslast-Deployment aktualisiert (Vorabversion) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennt Arbeitslastaktualisierungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben.
Defense Evasion: VPC Service Control modifizieren DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud-Audit-Logs VPC Service Controls-Audit-Logs

Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, der zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit-Logs:
GKE Data Access-Logs

Ein potenziell böswilliger Akteur hat mithilfe des Befehls kubectl auth can-i get ermittelt, welche vertraulichen Objekte in GKE abgefragt werden können. Insbesondere erkennt die Regel, ob der Akteur den API-Zugriff auf folgende Objekte geprüft hat:

Erkennung: Dienstkonto-Prüfung SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit-Logs:
IAM-Datenzugriffs-Audit-Logs
Berechtigungen:
DATA_READ

Erkennung von IAM-Dienstkonto-Anmeldedaten, die zum Untersuchen von Rollen und Berechtigungen verwendet werden, die diesem Dienstkonto zugeordnet sind.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

E-Mail: Zugriff vom Anonymisierungs-Proxy ANOMALOUS_ACCESS Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennung von Änderungen am Google Cloud-Dienst, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Exfiltration: BigQuery-Daten-Exfiltration DATA_EXFILTRATION_BIG_QUERY Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Ressourcen, die der geschützten Organisation gehören und außerhalb der Organisation gespeichert sind, einschließlich Kopier- oder Übertragungsvorgängen.

    Dieses Szenario wird durch eine untergeordnete Regel von exfil_to_external_table und einem Schweregrad von HIGH gekennzeichnet.

  • Versuche, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.

    Dieses Szenario wird durch eine untergeordnete Regel von vpc_perimeter_violation und einem Schweregrad von LOW gekennzeichnet.

Exfiltration: BigQuery-Datenextraktion DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert.
  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Exfiltration: BigQuery-Daten in Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt Folgendes:

  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wird durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert.
Exfiltration: Zu öffentlicher BigQuery-Ressource verschieben DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt Folgendes:

  • Eine BigQuery-Ressource wird in einer öffentlichen Ressource gespeichert, die Ihrer Organisation gehört.
Exfiltration: Cloud SQL-Daten-Exfiltration CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud-Audit-Logs: MySQL-Datenzugriffslogs
PostgreSQL-Datenzugriffslogs
SQL Server-Datenzugriffslogs

Erkennt folgende Szenarien:

  • Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden
  • Live-Instanzdaten, die in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich ist

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist.

Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit-Logs: MySQL-Administratoraktivitätslogs
PostgreSQL-Administratoraktivitätslogs
SQL Server-Administratoraktivitätslogs

Erkennt Ereignisse, bei denen die Sicherung einer Cloud SQL-Instanz auf einer Instanz außerhalb der Organisation wiederhergestellt wird.

Exfiltration: Cloud SQL Überprivilegierte Berechtigung CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden.
Erkennt Ereignisse, bei denen einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt wurden.
Erster Zugriff: Datenbank-Superuser schreibt in Nutzertabellen CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: Cloud SQL for PostgreSQL-Datenzugriffslogs
Cloud SQL for MySQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden.
Erkennt Ereignisse, bei denen ein Cloud SQL-Superuser (postgres für PostgreSQL-Server oder root für MySQL-Nutzer) in Nicht-Systemtabellen schreibt.
Rechteausweitung: Überprivilegierte Berechtigung für AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden.
Erkennt Ereignisse, bei denen einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB for PostgreSQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt wurden.
Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden.
Erkennt Ereignisse, bei denen ein AlloyDB for PostgreSQL-Superuser (postgres) in Nicht-Systemtabellen schreibt.
Anfänglicher Zugriff: Aktion über inaktives Dienstkonto DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit-Logs: Administratoraktivitätslogs Erkennt Ereignisse, bei denen ein inaktives vom Nutzer verwaltetes Dienstkonto eine Aktion ausgelöst hat. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit-Logs: IAM Admin Activity-Audit-Logs

Erkennt Ereignisse, bei denen einem inaktiven nutzerverwalteten Dienstkonto eine oder mehrere vertrauliche IAM-Rollen gewährt wurden. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen inaktiv ist.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit-Logs: IAM Admin Activity-Audit-Logs Erkennt Ereignisse, bei denen einem Hauptkonto Berechtigungen zum Identitätswechsel für ein inaktives, von Nutzern verwaltetes Dienstkonto gewährt werden. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit-Logs: Administratoraktivitätslogs Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt wird. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Erstzugriff: Gehackter Dienstkontoschlüssel verwendet LEAKED_SA_KEY_USED Cloud Audit-Logs: Administratoraktivitätslogs
Datenzugriffslogs
Erkennt Ereignisse, bei denen ein geleakter Dienstkontoschlüssel zur Authentifizierung der Aktion verwendet wird. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im Internet veröffentlicht wurde.
Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen EXCESSIVE_FAILED_ATTEMPT Cloud Audit-Logs: Administratoraktivitätslogs Erkennt Ereignisse, bei denen ein Prinzipal wiederholt Fehler vom Typ Berechtigung verweigert auslöst, indem er Änderungen an mehreren Methoden und Diensten versucht.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit-Log zur Administratoraktivität

Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert 2SV_DISABLE Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erstzugriff: Konto deaktiviert – Gehackt ACCOUNT_DISABLED_HIJACKED Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erstzugriff: Deaktiviert – Passwortleck ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Erstzugriff: Von staatlichen Stellen unterstützter Angriff GOV_ATTACK_WARNING Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Anfangszugriff: Log4j-Kompromittierungsversuch Nicht verfügbar Cloud Load Balancing-Logs:
Cloud-HTTP-Load-Balancer
Hinweis: Sie müssen das Logging für externe Application Load Balancer aktivieren, um diese Regel zu verwenden.

Erkennt JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung.

Diese Regel ist immer aktiviert.

Erstzugriff: Verdächtige Anmeldung blockiert SUSPICIOUS_LOGIN Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Log4j-Malware: Ungültige Domain LOG4J_BAD_DOMAIN Cloud DNS-Logs Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain, die bei Log4j-Angriffen verwendet wird.
Log4j-Malware: Ungültige IP-Adresse LOG4J_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs
Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain MALWARE_BAD_DOMAIN Cloud DNS-Logs Erkennung von Malware anhand einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain.
Malware: Schädliche IP-Adresse MALWARE_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs
Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse.
Malware: Ungültige Domain für Kryptomining CRYPTOMINING_POOL_DOMAIN Cloud DNS-Logs Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain.
Malware: Schädliche Kryptomining-IP-Adresse CRYPTOMINING_POOL_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs
Kryptomining-Erkennung anhand einer Verbindung zu einer bekannten Mining-IP-Adresse.
Ausgehender DoSHerunterfahren OUTGOING_DOS VPC-Flusslogs Erkennung von ausgehendem Denial of Service-Traffic.
Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt GCE_ADMIN_ADD_SSH_KEY Cloud Audit-Logs:
Compute Engine Admin Activity-Audit-Logs
Erkennung einer Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: GCE-Administrator hat Startskript hinzugefügt GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit-Logs:
Compute Engine Admin Activity-Audit-Logs
Erkennung einer Änderung am Startskriptwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche).
Persistenz: Ungewöhnliche IAM-Gewährung IAM_ANOMALOUS_GRANT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Dieser Hinweis enthält Unterregeln mit detaillierteren Informationen zu den einzelnen Fällen dieses Hinweises.

In der folgenden Liste sind alle möglichen Unterregeln aufgeführt:

  • external_service_account_added_to_policy, external_member_added_to_policy: Erkennung von Berechtigungen, die IAM-Nutzern und Dienstkonten gewährt wurden, die keine Mitglieder Ihrer Organisation sind oder, wenn Security Command Center nur auf Projektebene aktiviert ist, Ihres Projekts.

    Hinweis: Wenn das Security Command Center auf einer beliebigen Stufe auf Organisationsebene aktiviert ist, verwendet dieser Detektor die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn Security Command Center nur auf Projektebene aktiviert ist, verwendet der Detector nur die IAM-Richtlinien des Projekts als Kontext.

    Wenn ein externes Mitglied eine vertrauliche IAM-Gewährung erhält und weniger als drei vorhandene IAM-Richtlinien ihr ähneln, generiert dieser Detektor ein Ergebnis.

    Vertrauliche Rollen

    Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

  • external_member_invited_to_policy: Erkennt, wenn ein externes Mitglied über die InsertProjectOwnershipInvite API als Inhaber des Projekts eingeladen wird.
  • custom_role_given_sensitive_permissions: Erkennt, wenn der Berechtigung setIAMPolicy einer benutzerdefinierten Rolle hinzugefügt wird.
  • service_account_granted_sensitive_role_to_member: Erkennt, wenn Mitgliedern über ein Dienstkonto Berechtigungen zugewiesen werden. Diese Unterregel wird durch eine Teilmenge sensibler Rollen ausgelöst, die nur einfache IAM-Rollen und bestimmte Datenspeicherrollen umfasst. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.
  • policy_modified_by_default_compute_service_account: Erkennt, wenn ein Compute Engine-Standarddienstkonto zum Ändern der IAM-Einstellungen eines Projekts verwendet wird.
Persistenz: Einem nicht verwalteten Konto wurde eine sensible Rolle gewährt (Vorabversion) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennen, wenn einer nicht verwalteten Konten eine sensible Rolle gewährt wird
Persistenz: Neue API-Methode
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten.
Persistenz: Neue Region IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit-Logs:
Administratoraktivitätslogs

Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: Neuer User-Agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit-Logs:
Administratoraktivitätslogs

Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: Umschalter für SSO-Aktivierung TOGGLE_SSO_ENABLED Google Workspace:
Audit-Log zur Administratoraktivität

Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: SSO-Einstellungen geändert CHANGE_SSO_SETTINGS Google Workspace:
Audit-Log zur Administratoraktivität

Die SSO-Einstellungen für das Administratorkonto wurden geändert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennt, wenn ein potenziell anomaler Identitätsdiebstahl bei einem Dienstkonto für eine Administratoraktivität verwendet wird.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennt, wenn für eine administrative Aktivität eine anormale delegierte Anfrage mit mehreren Schritten gefunden wird.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit-Logs:
Datenzugriffslogs
Erkennt, wenn für eine Datenzugriffsaktivität eine anormale mehrstufige delegierte Anfrage gefunden wird.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs
Erkennt, wenn ein potenziell anomaler Anrufer/Identitätsdieb in einer Delegierungskette für eine administrative Aktivität verwendet wird.
Eskalierung von Berechtigungen: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit-Logs:
Datenzugriffslogs
Erkennt, wenn ein potenziell anomaler Caller/Imposter in einer Delegierungskette für eine Datenzugriffsaktivität verwendet wird.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit-Logs:
GKE Admin Activity-Logs
Zur Ausweitung der Berechtigungen hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding- oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin mithilfe einer PUT- oder PATCH-Anfrage zu ändern.
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit-Logs:
GKE Admin Activity-Logs
Ein potenziell böswilliger Akteur hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm Zugriff auf cluster-admin gewährt.
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit-Logs:
GKE Data Access-Logs
Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
Rechteausweitung: Start eines privilegierten Kubernetes-Containers GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit-Logs:
GKE Admin Activity-Logs

Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.

Bei einem privilegierten Container ist das Feld privileged auf true gesetzt. Bei einem Container mit Funktionen zur Rechteausweitung ist das Feld allowPrivilegeEscalation auf true gesetzt. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter SecurityContext v1 Core in der API-Referenz.

Persistenz: Dienstkontoschlüssel erstellt SERVICE_ACCOUNT_KEY_CREATION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt das Erstellen eines Dienstkontoschlüssels. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko eines unbefugten Zugriffs auf Google Cloud-Ressourcen erhöhen.
Rechteausweitung: Globales Shutdown-Script hinzugefügt GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn einem Projekt ein globales Shutdown-Script hinzugefügt wird.
Persistenz: Globales Startscript hinzugefügt GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn einem Projekt ein globales Startscript hinzugefügt wird.
Defense Evasion: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Organisationsebene gewährt wird.
Defense Evasion: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Projektebene gewährt wird.
Lateral Movement: Ausführung von Betriebssystem-Patches über Dienstkonto OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud-Audit-Logs.
Audit-Logs zur IAM-Administratoraktivität
Erkennt, wenn ein Dienstkonto die Compute Engine-Patchfunktion verwendet, um das Betriebssystem einer derzeit laufenden Compute Engine-Instanz zu aktualisieren.
Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud-Audit-Logs:
Compute Engine-Audit-Logs
Erkennt, wenn ein Bootlaufwerk von einer Compute Engine-Instanz getrennt und an eine andere angehängt wird. Dies kann auf einen schädlichen Versuch hindeuten, das System mit einem manipulierten Bootlaufwerk zu manipulieren.
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit-Logs:
GKE Data Access-Logs
Erkennt, wenn ein Dienstkonto im aktuellen Kubernetes-Namespace auf Secrets oder Dienstkonto-Token zugreift.
Ressourcenentwicklung: Angriffsaktivität in Sicherheitsdistribution OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt erfolgreiche Manipulationen von Google Cloud-Ressourcen durch bekannte Penetrationstests oder offensive Sicherheitsdistributionen.
Berechtigungseskalierung: Neues Dienstkonto ist „Owner“ oder „Editor“ SERVICE_ACCOUNT_EDITOR_OWNER Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn ein neues Dienstkonto mit den Rollen „Bearbeiter“ oder „Inhaber“ für ein Projekt erstellt wird.
Erkennung: Tool zur Informationserfassung verwendet INFORMATION_GATHERING_TOOL_USED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt die Verwendung von ScoutSuite, einem Cloud-Sicherheits-Audittool, das von Angreifern verwendet wird.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn die Berechtigung iam.serviceAccounts.implicitDelegation missbraucht wird, um Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn ein Dienstkonto die Methode serviceAccounts.signJwt verwendet, um ein Zugriffstoken für ein anderes Dienstkonto zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die projektübergreifende Verwendung der IAM-Berechtigung iam.serviceAccounts.getOpenIdToken.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die projektübergreifende Verwendung der IAM-Berechtigung iam.serviceAccounts.getAccessToken.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Rechteausweitung: Verdächtige Verwendung projektübergreifender Berechtigungen SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die projektübergreifende Verwendung der IAM-Berechtigung datafusion.instances.create.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Command-and-Control-Aktivitäten: DNS-Tunneling DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS-Logs Erkennt den Handshake des DNS-Tunneling-Tools Iodine.
Umgehung von Abwehrmaßnahmen: Versuch einer VPC-Routen-Masquerade VPC_ROUTE_MASQUERADE Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt das manuelle Erstellen von VPC-Routen, die sich als Google Cloud-Standardrouten ausgeben und ausgehenden Traffic zu externen IP-Adressen zulassen.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_SINGLE_PROJECT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn die Abrechnung für ein Projekt deaktiviert wurde.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_MULTIPLE_PROJECTS Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn die Abrechnung für mehrere Projekte in einer Organisation innerhalb kurzer Zeit deaktiviert wurde.
Auswirkung: Block mit hoher Priorität der VPC-Firewall VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn eine VPC-Firewallregel hinzugefügt wird, die den gesamten Traffic blockiert und die Priorität 0 hat.
Auswirkung: Die Massenlöschung von VPC-Firewallregeln ist vorübergehend nicht verfügbar VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Erkennt die Massenlöschung von VPC-Firewallregeln durch Konten, die keine Dienstkonten sind.

Diese Regel ist vorübergehend nicht verfügbar. Verwenden Sie die Cloud-Audit-Logs, um Aktualisierungen Ihrer Firewallregeln zu überwachen.

Auswirkungen: Service API deaktiviert SERVICE_API_DISABLED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn eine Google Cloud-Dienst-API in einer Produktionsumgebung deaktiviert ist.
Auswirkung: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt MIG_AUTOSCALING_SET_TO_MAX Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn eine verwaltete Instanzgruppe für maximales Autoscaling konfiguriert ist.
Erkennung: Nicht autorisierter API-Aufruf des Dienstkontos UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs
Erkennt, wenn ein Dienstkonto einen nicht autorisierten projektübergreifenden API-Aufruf ausführt.
Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit-Logs:
GKE Admin Activity-Logs
Erkennt das Erstellen eines ClusterRoleBinding-Objekts für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), durch das anonymen Nutzern das root-cluster-admin-binding-Verhalten hinzugefügt wird.
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs
Erkennt Ereignisse der Ressourcenerstellung von praktisch anonymen Internetnutzern.
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorabversion) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs
Erkennt Ereignisse zur Ressourcenmanipulation von praktisch anonymen Internetnutzern.
Berechtigungseskalierung: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt (Vorabversion) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit-Logs:
GKE Admin Activity-Logs

Jemand hat eine RBAC-Bindung erstellt, die auf einen der folgenden Nutzer oder Gruppen verweist:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Diese Nutzer und Gruppen sind praktisch anonym und sollten beim Erstellen von Rollenbindungen oder Clusterrollenbindungen an RBAC-Rollen vermieden werden. Prüfen Sie, ob die Bindung erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie.

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion) GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat die Befehle exec oder attach verwendet, um eine Shell aufzurufen oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird. Diese Methoden werden manchmal für legitime Zwecke zur Fehlerbehebung verwendet. Der Namespace kube-system ist jedoch für von Kubernetes erstellte Systemobjekte vorgesehen. Unerwartete Befehlsausführung oder Shell-Erstellung sollten überprüft werden.
Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion) GKE_SENSITIVE_HOSTPATH Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat eine Arbeitslast erstellt, die eine hostPath-Volumebereitstellung auf einen sensiblen Pfad im Dateisystem des Hostknotens enthält. Der Zugriff auf diese Pfade im Hostdateisystem kann für den Zugriff auf privilegierte oder vertrauliche Informationen auf dem Knoten und für Container-Escapes verwendet werden. Lassen Sie nach Möglichkeit keine hostPath-Volumes in Ihrem Cluster zu.
Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorabversion) GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat eine Arbeitslast bereitgestellt, bei der die Option shareProcessNamespace auf true festgelegt war. Dadurch können alle Container denselben Linux-Prozess-Namespace verwenden. So kann ein nicht vertrauenswürdiger oder manipulierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, den Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift, die in anderen Containern ausgeführt werden.
Rechteausweitung: ClusterRole mit privilegierten Verben (Vorabversion) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat eine RBAC-ClusterRole erstellt, die die Verben bind, escalate oder impersonate enthält. Ein Subjekt, das an eine Rolle mit diesen Verben gebunden ist, kann sich als andere Nutzer mit höheren Berechtigungen ausgeben, an zusätzliche Roles oder ClusterRoles mit zusätzlichen Berechtigungen gebunden werden oder seine eigenen ClusterRole-Berechtigungen ändern. Dies kann dazu führen, dass diese Subjekte Cluster-Administratorberechtigungen erhalten.
Rechteausweitung: ClusterRoleBinding für privilegierte Rolle (Vorabversion) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf die Standardsystem:controller:clusterrole-aggregation-controller ClusterRole verweist. Diese Standard-ClusterRole hat das Verb escalate, mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was eine Rechteausweitung ermöglicht.
Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) GKE_MANUALLY_DELETED_CSR Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell gelöscht. CSRs werden automatisch von einem Garbage-Collection-Controller entfernt. Böswillige Akteure können sie jedoch manuell löschen, um eine Erkennung zu vermeiden. Wenn die gelöschte CSR für ein genehmigtes und ausgestelltes Zertifikat war, hat der potenziell böswillige Akteur jetzt eine zusätzliche Authentifizierungsmethode für den Zugriff auf den Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Subjekt, können aber sehr weitreichend sein. Der Widerruf von Zertifikaten wird von Kubernetes nicht unterstützt.
Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden (Vorabversion) GKE_APPROVE_CSR_FORBIDDEN Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode, mit der Angreifer dauerhaften Zugriff auf einen manipulierten Cluster erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein.
Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) GKE_CSR_APPROVED Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell genehmigt. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode, mit der Angreifer dauerhaften Zugriff auf einen manipulierten Cluster erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein.
Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt (Vorabversion) GKE_REVERSE_SHELL_POD Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die üblicherweise mit einer Reverse-Shell in Verbindung gebracht werden. Angreifer verwenden Reverse-Shells, um ihren ursprünglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und beliebige Befehle auszuführen.
Defense Evasion: Mögliches Kubernetes-Pod-Masquerading (Vorabversion) GKE_POD_MASQUERADING Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der der Standardarbeitslasten ähnelt, die GKE für den regulären Clusterbetrieb erstellt. Diese Technik wird als Masquerading bezeichnet.
Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion) GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die denen gängiger Tools ähnelt, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden.
Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen (Vorabversion) GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit-Logs:
GKE Admin Activity-Logs
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der von gängigen Kryptowährungs-Coin-Minern ähnelt. Dies kann ein Versuch eines Angreifers sein, der den ersten Zugriff auf den Cluster erhalten hat, die Ressourcen des Clusters für das Mining von Kryptowährungen zu verwenden.

Benutzerdefinierte Module für Event Threat Detection

Neben den integrierten Erkennungsregeln bietet Event Threat Detection Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.

Wenn Sie Erkennungsregeln erstellen möchten, für die keine benutzerdefinierten Modulvorlagen verfügbar sind, können Sie Ihre Logdaten nach BigQuery exportieren und dann einmalige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.

Unsichere Änderungen an Google-Gruppen

In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Die Erkennung von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.

Google-Gruppen sind zwar eine praktische Möglichkeit, die Zugriffssteuerung in großem Umfang zu verwalten, können aber ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.

In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.

Wenn Sie Ihre Google Workspace-Logs für Google Cloud freigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Logs auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Logs nur dann scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Protokolle nicht scannen, wenn Sie Security Command Center auf Projektebene aktivieren.

Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:

  • Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
  • Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
  • Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann

Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.

Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.

Vertrauliche IAM-Rollen und -Berechtigungen

In diesem Abschnitt wird erläutert, wie in Event Threat Detection sensible IAM-Rollen definiert werden. Erkennungen wie „Anomaler IAM-Zugriff“ und „Unsichere Änderungen an Google-Gruppen“ generieren nur dann Ergebnisse, wenn Änderungen Rollen mit hoher oder mittlerer Vertraulichkeit betreffen. Die Vertraulichkeit von Rollen wirkt sich auf die Bewertung der Ergebnisse aus.

  • Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
  • Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud-Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
    • Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
    • Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.

Die Gewährung dieser sensiblen Rollen gilt als gefährlich, wenn der Begünstigte ein externes Mitglied oder eine ungewöhnliche Identität ist, z. B. ein Prinzipal, der seit langem inaktiv ist.

Wenn Sie externen Mitgliedern sensible Rollen zuweisen, entsteht eine potenzielle Bedrohung, da diese Rollen für die Manipulation von Konten und die Datenexfiltration missbraucht werden können.

Beispiele für Kategorien, in denen diese sensiblen Rollen verwendet werden:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Unterregel: external_service_account_added_to_policy
    • Unterregel: external_member_added_to_policy
  • Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt
  • Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt

Beispiele für Suchkategorien, in denen eine Teilmenge der sensiblen Rollen verwendet wird:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Unterregel: service_account_granted_sensitive_role_to_member

Die service_account_granted_sensitive_role_to_member-Unterregel richtet sich allgemein sowohl an externe als auch an interne Mitglieder und verwendet daher nur einen Teil der vertraulichen Rollen, wie in den Regeln für Event Threat Detection erläutert.

Kategorie Rolle Beschreibung
Einfache Rollen: umfassen Tausende von Berechtigungen für alle Google Cloud-Dienste. roles/owner Einfache Rollen
roles/editor
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen roles/cloudkms.* Alle Cloud Key Management Service-Rollen
roles/cloudsecurityscanner.* Alle Web Security Scanner-Rollen
roles/dlp.* Alle Rollen für den Schutz sensibler Daten
roles/iam.* Alle IAM-Rollen
roles/secretmanager.* Alle Secret Manager-Rollen
roles/securitycenter.* Alle Security Command Center-Rollen
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation roles/errorreporting.* Alle Error Reporting-Rollen
roles/logging.* Alle Cloud Logging-Rollen
roles/stackdriver.* Alle Cloud Monitoring-Rollen
Rollen mit personenbezogenen Daten: steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen roles/billing.* Alle Cloud Billing-Rollen
roles/healthcare.* Alle Cloud Healthcare API-Rollen
roles/essentialcontacts.* Alle „Wichtige Kontakte“-Rollen
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation roles/dns.* Alle Cloud DNS-Rollen
roles/domains.* Alle Cloud Domains-Rollen
roles/networkconnectivity.* Alle Network Connectivity Center-Rollen
roles/networkmanagement.* Alle Network Connectivity Center-Rollen
roles/privateca.* Alle Certificate Authority Service-Rollen
Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud roles/cloudasset.* Alle Cloud Asset Inventory-Rollen
roles/servicedirectory.* Alle Service Directory-Rollen
roles/servicemanagement.* Alle Service Management-Rollen
roles/servicenetworking.* Alle Service Networking-Rollen
roles/serviceusage.* Alle Service Usage-Rollen
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Alle Compute Engine-Rollen: Administrator und Bearbeiter
Kategorie Rolle Beschreibung
Rollen bearbeiten: IAM-Rollen, die Berechtigungen zum Ändern von Google Cloud-Ressourcen umfassen

Beispiele:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor.

Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.

Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten

Beispiele:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.
Alle Rollen mit mittlerer Vertraulichkeit

Access Approval

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Aktionen

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Binärautorisierung

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Cloud Run-Funktionen

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artefaktanalyse

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops-Config-Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

Organisationsrichtliniendienst

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Weitere Rollen

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Empfehlungen

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Recommender

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Ressourceneinstellungen

  • roles/resourcesettings.admin

Serverless VPC Access

  • roles/vpcaccess.admin

Dienstnutzerverwaltung

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench: Nutzerverwaltete Notebooks

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Protokolltypen und Aktivierungsanforderungen

In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.

Sie müssen ein Protokoll für Event Threat Detection nur aktivieren, wenn Folgendes zutrifft:

  • Sie verwenden das Produkt oder den Dienst, das bzw. der in das Protokoll schreibt.
  • Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, die die Ereignisbedrohungserkennung im Protokoll erkennt.
  • Das Protokoll ist ein Audit-Log für den Datenzugriff oder ein anderes Protokoll, das standardmäßig deaktiviert ist.

Bestimmte Bedrohungen können in mehreren Protokollen erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem bereits aktivierten Log erkennen kann, müssen Sie kein weiteres Log aktivieren, um dieselbe Bedrohung zu erkennen.

Wenn ein Protokoll in diesem Abschnitt nicht aufgeführt ist, wird es von Event Threat Detection nicht gescannt, auch wenn es aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Log-Scans.

Wie in der folgenden Tabelle beschrieben, sind einige Protokolltypen nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center auf Projektebene aktivieren, werden diese Logs von Event Threat Detection nicht gescannt und es werden keine Ergebnisse erstellt.

Grundlegende Protokollquellen

Event Threat Detection verwendet grundlegende Datenquellen, um potenziell schädliche Aktivitäten in Ihrem Netzwerk zu erkennen.

  • Wenn Sie Event Threat Detection ohne VPC-Flusslogs aktivieren, wird sofort ein unabhängiger, duplizierter und interner Stream von VPC-Flusslogs analysiert. Wenn Sie ein vorhandenes Ergebnis von Event Threat Detection genauer untersuchen möchten, müssen Sie VPC-Flusslogs aktivieren und den Log-Explorer und den Flussanalysator manuell aufrufen. Wenn Sie VPC-Flusslogs zu einem späteren Zeitpunkt aktivieren, enthalten nur zukünftige Ergebnisse die relevanten Links für weitere Untersuchungen.

  • Wenn Sie Event Threat Detection mit VPC-Flusslogs aktivieren, werden die VPC-Flusslogs in Ihrer Bereitstellung sofort analysiert. Außerdem werden Links zum Log-Explorer und zu Flow Analyzer angezeigt, damit Sie weitere Untersuchungen durchführen können.

Potenziell redundante Logscans

Event Threat Detection kann Malware im Netzwerk erkennen, indem eines der folgenden Logs gescannt wird:

  • Cloud DNS-Logging
  • Cloud NAT-Logging
  • Logging von Firewallregeln
  • VPC-Flusslogs

Wenn Sie bereits Cloud DNS-Protokolle verwenden, kann Event Threat Detection Malware anhand der Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Protokolle für die Netzwerkerkennung von Malware aus.

Wenn Sie eine zusätzliche Transparenz über die Domainauflösung hinaus benötigen, können Sie VPC-Flusslogs aktivieren. Diese können jedoch Kosten verursachen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Abtastrate auf 5% bis 10 % zu reduzieren. Allerdings ist dies ein Kompromiss zwischen Recall (höhere Abtastrate) und Kostenmanagement (niedrigere Abtastrate). Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT verwenden, können Sie diese Protokolle anstelle von VPC-Flussprotokollen verwenden.

Sie müssen nicht mehr als eine der folgenden Optionen aktivieren: Cloud NAT-Logging, Logging von Firewallregeln oder VPC-Flusslogs.

Zu aktivierende Protokolle

In diesem Abschnitt sind die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der von Event Threat Detection erkannten Bedrohungen zu erhöhen.

Bestimmte Bedrohungen, z. B. durch eine anormale Identitätsübernahme oder Delegation eines Dienstkontos, sind in den meisten Audit-Logs zu finden. Für diese Arten von Bedrohungen legen Sie anhand der von Ihnen verwendeten Produkte und Dienste fest, welche Protokolle Sie aktivieren müssen.

In der folgenden Tabelle sind bestimmte Protokolle aufgeführt, die Sie für Bedrohungen aktivieren müssen, die nur in bestimmten Protokolltypen erkannt werden können.

Logtyp Bedrohungen erkannt Konfiguration erforderlich
Cloud DNS-Protokollierung

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

Cloud DNS-Logging aktivieren
Cloud NAT-Logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Cloud NAT-Logging aktivieren
Firewallregeln protokollieren

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Aktivieren Sie das Logging von Firewallregeln.
Google Kubernetes Engine (GKE)-Audit-Logs für den Datenzugriff

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Audit-Logs zum Datenzugriff für GKE aktivieren
Audit-Logs von Google Workspace Admin

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Google Workspace Admin-Audit-Logs für Cloud Logging freigeben

Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden.

Audit-Logs von Google Workspace Login

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Google Workspace Login Audit-Logs für Cloud Logging freigeben

Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden.

Backend-Dienstprotokolle des externen Application Load Balancers Initial Access: Log4j Compromise Attempt Logging für externen Application Load Balancer aktivieren
Audit-Logs für den Cloud SQL MySQL-Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Audit-Logs zum Datenzugriff für Cloud SQL for MySQL aktivieren
Cloud SQL for PostgreSQL-Audit-Logs für den Datenzugriff

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

AlloyDB for PostgreSQL-Auditprotokolle für den Datenzugriff

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

Audit-Logs zum IAM-Datenzugriff Discovery: Service Account Self-Investigation Audit-Logs zum Datenzugriff für Resource Manager aktivieren
SQL Server-Audit-Logs zum Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Audit-Logs für den Datenzugriff für Cloud SQL for SQL Server aktivieren
Generische Audit-Logs zum Datenzugriff

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Logging von Audit-Logs zum Datenzugriff aktivieren.
authlogs/authlog auf virtuellen Maschinen Brute force SSH Ops-Agent oder den alten Logging-Agent auf Ihren VM-Hosts installieren
VPC-Flusslogs

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

VPC-Flusslogs aktivieren

Immer aktive Protokolle

In der folgenden Tabelle sind die Cloud Logging-Protokolle aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.

Logtyp Bedrohungen erkannt Konfiguration erforderlich
BigQueryAuditMetadata-Datenzugriffslogs

Exfiltration: BigQuery-Daten-Exfiltration

Exfiltration: BigQuery-Datenextraktion

Exfiltration: BigQuery-Daten in Google Drive

Exfiltration: Verschieben in eine öffentliche BigQuery-Ressource (Vorabversion)

Keine
Audit-Logs zu Administratoraktivitäten in der Google Kubernetes Engine (GKE)

Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten

Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen

Rechteausweitung: Start eines privilegierten Kubernetes-Containers

Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat

Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff

Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion)

Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorabversion)

Berechtigungseskalierung: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt (Vorabversion)

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion)

Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion)

Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorabversion)

Rechteausweitung: ClusterRole mit privilegierten Verben (Vorabversion)

Rechteausweitung: ClusterRoleBinding für privilegierte Rolle (Vorabversion)

Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion)

Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden (Vorabversion)

Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion)

Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt (Vorabversion)

Defense Evasion: Mögliches Kubernetes-Pod-Masquerading (Vorabversion)

Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion)

Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen (Vorabversion)

Keine
Audit-Logs zur IAM-Administratoraktivität

Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt

Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt

Persistenz: Ungewöhnliche IAM-Gewährung (Vorabversion)

Persistenz: Eine sensible Rolle wurde einem nicht verwalteten Konto gewährt

Keine
MySQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
PostgreSQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
SQL Server-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
Generische Audit-Logs zur Administratoraktivität

Erstzugriff: Aktion über inaktives Dienstkonto>

Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt

Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen

Erstzugriff: Gehackter Dienstkontoschlüssel verwendet

Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt

Persistenz: GCE-Administrator hat Startskript hinzugefügt

Persistenz: Neue API-Methode

Persistenz: Neue Region

Persistenz: Neuer User-Agent

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten

Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten

Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion)

Keine
Audit-Logs von VPC Service Controls Umgehung von Abwehrmaßnahmen: VPC Service Control ändern (Vorabversion) Keine
Audit-Logs zur Administratoraktivität für Sicherung und Notfallwiederherstellung

Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen

Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Richtlinie zum Löschen

Systemwiederherstellung verhindern: Google Cloud Backup und DR-Löschvorlage

Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen

Systemwiederherstellung verhindern: Google Cloud Backup und DR löschen Speicherpool

Systemwiederherstellung verhindern: gelöschter Google Cloud-Sicherungs- und Notfallwiederherstellungshost

Datenvernichtung: Image in Google Cloud Backup und DR ablaufen lassen

Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen

Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung – Plan entfernen

Auswirkungen: Google Cloud-Sicherung und Notfallwiederherstellung verkürzen den Ablauf von Sicherungen

Auswirkung: Google Cloud-Sicherung und Notfallwiederherstellung verringern die Sicherungshäufigkeit

Keine

Nächste Schritte