Apa yang dimaksud dengan Event Threat Detection?
Event Threat Detection adalah layanan bawaan untuk paket Security Command Center Premium yang terus memantau organisasi atau project Anda dan mengidentifikasi ancaman dalam sistem Anda hampir secara real-time. Event Threat Detection diperbarui secara rutin dengan detektor baru untuk mengidentifikasi ancaman yang muncul pada skala cloud.
Cara kerja Event Threat Detection
Event Threat Detection memantau aliran Cloud Logging untuk organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Event Threat Detection akan menggunakan log untuk project Anda saat dibuat dan Event Threat Detection dapat memantau Log Google Workspace. Cloud Logging berisi entri log panggilan API dan tindakan lainnya yang membuat, membaca, atau mengubah konfigurasi atau metadata resource Anda. Log Google Workspace melacak login pengguna ke domain Anda dan memberikan catatan tindakan yang dilakukan di Konsol Admin Google Workspace.
Entri log berisi status dan informasi peristiwa yang digunakan Event Threat Detection untuk mendeteksi ancaman dengan cepat. Event Threat Detection menerapkan logika deteksi dan intelijen ancaman eksklusif, termasuk pencocokan indikator tripwire, pembuatan profil berbingkai, pembuatan profil lanjutan, machine learning, dan deteksi anomali, untuk mengidentifikasi ancaman hampir secara real-time.
Saat mendeteksi ancaman, Event Threat Detection akan menulis temuan ke Security Command Center. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Security Command Center dapat menulis temuan ke project Cloud Logging. Dari logging Cloud Logging dan Google Workspace, Anda dapat mengekspor temuan ke sistem lain dengan Pub/Sub dan memprosesnya dengan fungsi Cloud Run.
Jika mengaktifkan paket Premium Security Command Center di tingkat organisasi, Anda juga dapat menggunakan Google Security Operations untuk menyelidiki beberapa temuan. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa terpadu. Untuk mengetahui petunjuk tentang cara mengirim temuan ke Google SecOps, lihat Menyelidiki temuan di Google SecOps.
Kemampuan Anda untuk melihat dan mengedit temuan serta log ditentukan oleh peran Identity and Access Management (IAM) yang diberikan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran IAM Security Command Center, lihat Kontrol akses.
Aturan Event Threat Detection
Aturan menentukan jenis ancaman yang terdeteksi oleh Event Threat Detection dan jenis log yang harus diaktifkan agar detektor berfungsi. Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi atau menonaktifkannya.
Event Threat Detection menyertakan aturan default berikut:
Nama tampilan | Nama API | Jenis sumber log | Deskripsi |
---|---|---|---|
Pemindaian Aktif: Log4j Rentan terhadap RCE | Tidak tersedia | Log Cloud DNS | Mendeteksi kerentanan Log4j yang aktif dengan mengidentifikasi kueri DNS untuk domain yang tidak di-obfuscate yang dimulai oleh pemindai kerentanan Log4j yang didukung. |
Menghambat Pemulihan Sistem: Menghapus host Pencadangan dan DR Google Cloud | BACKUP_HOSTS_DELETE_HOST |
Cloud Audit Logs: Log audit Aktivitas Admin Layanan Cadangan dan DR |
Host dihapus dari Pencadangan dan DR. Aplikasi yang terkait dengan host yang dihapus mungkin tidak dilindungi. |
Penghancuran Data: Gambar masa berlaku Pencadangan dan DR Google Cloud berakhir | BACKUP_EXPIRE_IMAGE |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Pengguna meminta penghapusan image cadangan dari Pencadangan dan DR. Penghapusan image cadangan tidak akan mencegah pencadangan di masa mendatang. |
Menghambat Pemulihan Sistem: Pencadangan dan DR Google Cloud menghapus rencana | BACKUP_REMOVE_PLAN |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Rencana pencadangan dengan beberapa kebijakan untuk aplikasi dihapus dari Pencadangan dan DR. Penghapusan rencana pencadangan dapat mencegah pencadangan di masa mendatang. |
Penghancuran Data: Pencadangan dan DR Google Cloud akan menghapus semua gambar | BACKUP_EXPIRE_IMAGES_ALL |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Pengguna meminta penghapusan semua image cadangan untuk aplikasi yang dilindungi dari Backup and DR. Penghapusan image cadangan tidak mencegah pencadangan di masa mendatang. |
Menghambat Pemulihan Sistem: Template penghapusan Pencadangan dan DR Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Template pencadangan standar, yang digunakan untuk menyiapkan pencadangan untuk beberapa aplikasi, telah dihapus. Kemampuan untuk menyiapkan cadangan di masa mendatang mungkin akan terpengaruh. |
Menghambat Pemulihan Sistem: Kebijakan penghapusan Pencadangan dan DR Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Kebijakan Pencadangan dan DR, yang menentukan cara pencadangan dilakukan dan tempat penyimpanannya, telah dihapus. Pencadangan mendatang yang menggunakan kebijakan tersebut mungkin gagal. |
Menghambat Pemulihan Sistem: Profil penghapusan Pencadangan dan DR Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Profil Pencadangan dan DR, yang menentukan penyimpanan gabungan mana yang harus digunakan untuk menyimpan cadangan, telah dihapus. Pencadangan mendatang yang menggunakan profil tersebut mungkin gagal. |
Pemusnahan Data: Pencadangan dan DR Google Cloud menghapus perangkat | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Appliance pencadangan dihapus dari Pencadangan dan DR. Aplikasi yang terkait dengan appliance pencadangan yang dihapus mungkin tidak dilindungi. |
Menghambat Pemulihan Sistem: Pencadangan dan DR Google Cloud menghapus kumpulan penyimpanan | BACKUP_STORAGE_POOLS_DELETE |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Aggregate penyimpanan, yang mengaitkan bucket Cloud Storage dengan Pencadangan dan DR, telah dihapus dari Pencadangan dan DR. Pencadangan mendatang ke target penyimpanan ini akan gagal. |
Dampak: Pencadangan dan DR Google Cloud mengurangi masa berlaku pencadangan | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Tanggal habis masa berlaku untuk pencadangan yang dilindungi oleh Pencadangan dan DR telah dikurangi. |
Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud Audit Logs: Log audit Aktivitas Admin Cadangan dan DR |
Jadwal pencadangan Pencadangan dan DR telah diubah untuk mengurangi frekuensi pencadangan. |
SSH Brute Force | BRUTE_FORCE_SSH |
authlog | Deteksi brute force SSH yang berhasil pada host. |
Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Log Cloud IDS |
Peristiwa ancaman yang terdeteksi oleh Cloud IDS. Cloud IDS mendeteksi serangan lapisan 7 dengan menganalisis paket yang dicerminkan dan, saat peristiwa ancaman terdeteksi, mengirimkan temuan class ancaman ke Security Command Center. Menemukan nama kategori yang dimulai dengan "Cloud IDS", diikuti dengan ID ancaman Cloud IDS. Integrasi Cloud IDS dengan Event Threat Detection tidak mencakup deteksi kerentanan Cloud IDS. Untuk mempelajari deteksi Cloud IDS lebih lanjut, lihat Informasi Logging Cloud IDS. |
Akses Kredensial: Anggota Eksternal Ditambahkan ke Grup dengan Hak Istimewa | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Log Google Workspace: Audit Login Izin: DATA_READ
|
Mendeteksi peristiwa saat anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif). Temuan hanya dihasilkan jika grup belum berisi anggota eksternal lain dari organisasi yang sama dengan anggota yang baru ditambahkan. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Akses Kredensial: Grup dengan Hak Istimewa Dibuka untuk Publik | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Admin Audit Izin: DATA_READ
|
Mendeteksi peristiwa saat Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi peristiwa saat peran sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Penghindaran Pertahanan: Deployment Workload Breakglass Dibuat (Pratinjau) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi deployment workload yang di-deploy menggunakan flag break-glass untuk mengganti kontrol Binary Authorization. |
Defense Evasion: Deployment Workload Breakglass Diperbarui (Pratinjau) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi kapan beban kerja diperbarui menggunakan flag break-glass untuk mengganti kontrol Binary Authorization. |
Defense Evasion: Mengubah Kontrol Layanan VPC | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud Audit Logs Log audit Kontrol Layanan VPC |
Mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang ada yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Penemuan: Dapat mendapatkan pemeriksaan objek Kubernetes sensitif | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs: Log Akses Data GKE |
Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka kueri, dengan menggunakan perintah
|
Penemuan: Investigasi Mandiri Akun Layanan | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud Audit Logs: Log audit Akses Data IAM Izin: DATA_READ
|
Deteksi kredensial akun layanan IAM yang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama. Peran sensitif Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. |
Penghindaran: Akses dari Anonymizing Proxy | ANOMALOUS_ACCESS |
Cloud Audit Logs: Log Aktivitas Admin |
Deteksi modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor. |
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Log Audit Cloud:
Log akses data BigQueryAuditMetadata Izin: DATA_READ
|
Mendeteksi skenario berikut:
|
Pemindahan Tidak Sah: Ekstraksi Data BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Log Audit Cloud:
Log akses data BigQueryAuditMetadata Izin: DATA_READ
|
Mendeteksi skenario berikut:
Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. |
Pemindahan Tidak Sah: Data BigQuery ke Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Log Audit Cloud:
Log akses data BigQueryAuditMetadata Izin: DATA_READ
|
Mendeteksi hal berikut:
|
Eksfiltrasi: Memindahkan ke resource BigQuery Publik | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Log Audit Cloud:
Log akses data BigQueryAuditMetadata Izin: DATA_READ
|
Mendeteksi hal berikut:
|
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Log Audit Cloud:
Log akses data MySQL Log akses data PostgreSQL Log akses data SQL Server |
Mendeteksi skenario berikut:
Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. |
Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Log Audit Cloud:
Log aktivitas admin MySQL Log aktivitas admin PostgreSQL Log aktivitas admin SQL Server |
Mendeteksi peristiwa saat cadangan instance Cloud SQL dipulihkan ke instance di luar organisasi. |
Pemindahan Tidak Sah: Pemberian Hak Istimewa Berlebihan Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Log Audit Cloud:
Log akses data PostgreSQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini. |
Mendeteksi peristiwa saat pengguna atau peran Cloud SQL untuk PostgreSQL telah diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam skema. |
Akses Awal: Pengguna Super Database Menulis ke Tabel Pengguna | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:
Log akses data Cloud SQL untuk PostgreSQL Log akses data Cloud SQL untuk MySQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk PostgreSQL atau audit database untuk MySQL agar dapat menggunakan aturan ini. |
Mendeteksi peristiwa saat superuser Cloud SQL (postgres untuk server PostgreSQL atau root untuk pengguna MySQL) menulis ke tabel non-sistem.
|
Eskalasi Akses: Pemberian Hak Berlebih AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs:
Log akses data AlloyDB untuk PostgreSQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini. |
Mendeteksi peristiwa saat pengguna atau peran AlloyDB untuk PostgreSQL telah diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam skema. |
Eskalasi Hak Istimewa: Superuser Database AlloyDB Menulis ke Tabel Pengguna | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:
Log akses data AlloyDB untuk PostgreSQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini. |
Mendeteksi peristiwa saat superuser AlloyDB untuk PostgreSQL (postgres ) menulis ke tabel non-sistem.
|
Akses Awal: Tindakan Akun Layanan Yang Tidak Aktif | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs: Log Aktivitas Admin | Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. |
Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif diberi satu atau beberapa peran IAM sensitif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. Peran sensitif Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. |
Persistensi: Peran Peniruan Identitas Diberikan untuk Akun Layanan yang Tidak Aktif | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM | Mendeteksi peristiwa saat akun utama diberi izin untuk meniru identitas akun layanan yang dikelola pengguna dan tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. |
Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud Audit Logs: Log Aktivitas Admin | Mendeteksi peristiwa saat kunci dibuat untuk akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. |
Akses Awal: Kunci Akun Layanan yang Dibocorkan Digunakan | LEAKED_SA_KEY_USED |
Cloud Audit Logs:
Log Aktivitas Admin Log Akses Data |
Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. |
Akses Awal: Tindakan Izin yang Ditolak Berlebihan | EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs: Log Aktivitas Admin | Mendeteksi peristiwa saat akun utama berulang kali memicu error izin ditolak dengan mencoba perubahan di beberapa metode dan layanan. |
Menghambat Pertahanan: Autentikasi Kuat Dinonaktifkan |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Admin Audit |
Verifikasi 2 langkah dinonaktifkan untuk organisasi. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Merusak Pertahanan: Verifikasi 2 Langkah Dinonaktifkan |
2SV_DISABLE
|
Log Google Workspace: Audit Login Izin: DATA_READ
|
Pengguna menonaktifkan verifikasi 2 langkah. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Akses Awal: Akun Dinonaktifkan karena Dibajak |
ACCOUNT_DISABLED_HIJACKED
|
Log Google Workspace: Audit Login Izin: DATA_READ
|
Akun pengguna ditangguhkan karena aktivitas mencurigakan. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Akses Awal: Kebocoran Sandi Dinonaktifkan |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Log Google Workspace: Audit Login Izin: DATA_READ
|
Akun pengguna dinonaktifkan karena kebocoran sandi terdeteksi. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Akses Awal: Serangan yang Didukung Pemerintah |
GOV_ATTACK_WARNING
|
Log Google Workspace: Audit Login Izin: DATA_READ
|
Penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Akses Awal: Upaya Penyusupan Log4j | Tidak tersedia |
Log Cloud Load Balancing: Cloud HTTP Load Balancer Catatan: Anda harus mengaktifkan logging Load Balancer Aplikasi eksternal untuk menggunakan aturan ini. |
Mendeteksi lookup Java Naming and Directory Interface (JNDI) dalam header atau parameter URL. Penelusuran ini dapat menunjukkan upaya eksploitasi Log4Shell. Temuan ini memiliki tingkat keparahan rendah, karena hanya menunjukkan deteksi atau upaya eksploitasi, bukan kerentanan atau kompromi. Aturan ini selalu aktif. |
Akses Awal: Aktivitas Login Mencurigakan Diblokir |
SUSPICIOUS_LOGIN
|
Log Google Workspace: Audit Login Izin: DATA_READ
|
Login mencurigakan ke akun pengguna terdeteksi dan diblokir. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Malware Log4j: Domain Buruk | LOG4J_BAD_DOMAIN |
Log Cloud DNS | Deteksi traffic eksploit Log4j berdasarkan koneksi ke, atau pencarian, domain yang diketahui digunakan dalam serangan Log4j. |
Malware Log4j: IP Buruk | LOG4J_BAD_IP |
Log aliran VPC Log Aturan Firewall Log Cloud NAT |
Deteksi traffic eksploit Log4j berdasarkan koneksi ke alamat IP yang diketahui yang digunakan dalam serangan Log4j. |
Malware: domain buruk | MALWARE_BAD_DOMAIN |
Log Cloud DNS | Deteksi malware berdasarkan koneksi ke, atau pencarian, domain buruk yang diketahui. |
Malware: IP buruk | MALWARE_BAD_IP |
Log aliran VPC Log Aturan Firewall Log Cloud NAT |
Deteksi malware berdasarkan koneksi ke alamat IP jahat yang diketahui. |
Malware: Domain Buruk Cryptomining | CRYPTOMINING_POOL_DOMAIN |
Log Cloud DNS | Deteksi penambangan kripto berdasarkan koneksi ke, atau pencarian, domain penambangan yang diketahui. |
Malware: IP Buruk Cryptomining | CRYPTOMINING_POOL_IP |
Log aliran VPC Log Aturan Firewall Log Cloud NAT |
Deteksi penambangan kripto berdasarkan koneksi ke alamat IP penambangan yang diketahui. |
DoS keluarMatikan | OUTGOING_DOS |
Log aliran traffic VPC | Deteksi traffic denial of service keluar. |
Persistensi: Admin GCE Menambahkan Kunci SSH | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit Logs: Log audit Aktivitas Admin Compute Engine |
Deteksi modifikasi pada nilai kunci ssh metadata instance Compute Engine di instance yang sudah ada (lebih lama dari 1 minggu). |
Persistensi: Admin GCE Menambahkan Skrip Startup | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit Logs: Log audit Aktivitas Admin Compute Engine |
Deteksi modifikasi pada nilai skrip startup metadata instance Compute Engine di instance yang sudah ada (lebih lama dari 1 minggu). |
Persistensi: Pemberian IAM Tidak Wajar | IAM_ANOMALOUS_GRANT |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Temuan ini mencakup subaturan yang memberikan informasi yang lebih spesifik tentang setiap instance temuan ini. Daftar berikut menunjukkan semua kemungkinan subaturan:
|
Persistensi: Akun yang Tidak Dikelola Diberi Peran Sensitif (Pratinjau) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Deteksi peran sensitif yang diberikan ke akun yang tidak dikelola. |
Persistensi: Metode API Baru |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: Log Aktivitas Admin |
Deteksi penggunaan layanan Google Cloud yang tidak wajar oleh akun layanan IAM. |
Persistensi: Geografi Baru | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: Log Aktivitas Admin |
Deteksi akun pengguna dan layanan IAM yang mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Persistensi: Agen Pengguna Baru | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud Audit Logs: Log Aktivitas Admin |
Deteksi akun layanan IAM yang mengakses Google Cloud dari agen pengguna yang tidak wajar atau mencurigakan. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Persistensi: Tombol Pengaktifan SSO |
TOGGLE_SSO_ENABLED
|
Google Workspace: Admin Audit |
Setelan Aktifkan SSO (single sign-on) di akun admin dinonaktifkan. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Persisten: Setelan SSO Diubah |
CHANGE_SSO_SETTINGS
|
Google Workspace: Admin Audit |
Setelan SSO untuk akun admin telah diubah. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Eskalasi Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi saat akun layanan yang disamarkan yang berpotensi bersifat anomali digunakan untuk aktivitas administratif. |
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi saat permintaan yang didelegasikan multi-langkah yang bersifat anomali ditemukan untuk aktivitas administratif. |
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Akses Data | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: Log Akses Data |
Mendeteksi saat permintaan yang didelegasikan multilangkah yang tidak wajar ditemukan untuk aktivitas akses data. |
Eskalasi Hak Istimewa: Peniruan Identitas Akun Layanan yang Tidak Normal untuk Aktivitas Admin | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: Log Aktivitas Admin |
Mendeteksi saat pemanggil/peniru identitas yang berpotensi anomali dalam rantai delegasi digunakan untuk aktivitas administratif. |
Eskalasi Hak Istimewa: Peniru Identitas Akun Layanan Anomal untuk Akses Data | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: Log Akses Data |
Mendeteksi saat pemanggil/peniru identitas yang berpotensi bersifat anomali dalam rantai delegasi digunakan untuk aktivitas akses data. |
Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole , RoleBinding , atau ClusterRoleBinding dari peran sensitif
cluster-admin
menggunakan permintaan PUT atau PATCH .
|
Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Pelaku yang berpotensi berbahaya membuat
permintaan penandatanganan sertifikat
(CSR) master Kubernetes, yang memberinya
akses
cluster-admin .
|
Eskalasi Hak Istimewa: Pembuatan binding Kubernetes sensitif | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek
RoleBinding atau ClusterRoleBinding baru untuk
peran
cluster-admin .
|
Eskalasi Hak Istimewa: Mendapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupi | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs: Log Akses Data GKE |
Pelaku yang berpotensi berbahaya membuat kueri untuk
permintaan penandatanganan sertifikat
(CSR), dengan perintah kubectl , menggunakan kredensial bootstrap yang disusupi.
|
Eskalasi Hak Istimewa: Peluncuran penampung Kubernetes dengan hak istimewa | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Pelaku yang berpotensi berbahaya membuat Pod yang berisi container dengan hak istimewa atau container dengan kemampuan eskalasi hak istimewa.
Penampung dengan hak istimewa memiliki kolom |
Persistensi: Kunci Akun Layanan Dibuat | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi pembuatan kunci akun layanan. Kunci akun layanan adalah kredensial yang dapat digunakan untuk jangka waktu lama, tetapi dapat meningkatkan risiko akses tidak sah ke resource Google Cloud. |
Eskalasi Akses: Skrip Shutdown Global Ditambahkan | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat skrip shutdown global ditambahkan ke project. |
Persistensi: Skrip Startup Global Ditambahkan | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat skrip startup global ditambahkan ke project. |
Defense Evasion: Peran Pembuat Token Akun Layanan Tingkat Organisasi Ditambahkan | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat peran IAM Service Account Token Creator diberikan di tingkat organisasi. |
Defense Evasion: Peran Pembuat Token Akun Layanan Tingkat Project Ditambahkan | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat peran IAM Service Account Token Creator diberikan di tingkat project. |
Pergerakan Lateral: Eksekusi Patch OS dari Akun Layanan | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud Audit Logs. Log audit Aktivitas Admin IAM |
Mendeteksi saat akun layanan menggunakan fitur Patch Compute Engine untuk mengupdate sistem operasi instance Compute Engine yang sedang berjalan. |
Gerakan Lateral: Boot Disk yang Diubah Dipasang ke Instance (Pratinjau) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud Audit Logs: Log audit Compute Engine |
Mendeteksi saat disk booting dilepas dari satu instance Compute Engine dan dilampirkan ke instance lainnya, yang dapat menunjukkan upaya berbahaya untuk membahayakan sistem menggunakan disk booting yang dimodifikasi. |
Akses Kredensial: Secret yang Diakses di Namespace Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs: Log Akses Data GKE |
Mendeteksi kapan secret atau token akun layanan diakses oleh akun layanan di namespace Kubernetes saat ini. |
Pengembangan Referensi: Aktivitas Distro Keamanan Ofensif | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi manipulasi resource Google Cloud yang berhasil dari pengujian penetrasi atau distro keamanan ofensif yang diketahui. |
Eskalasi Hak Istimewa: Akun Layanan Baru adalah Pemilik atau Editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat akun layanan baru dibuat dengan peran Editor atau Pemilik untuk project. |
Penemuan: Alat Pengumpulan Informasi yang Digunakan | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi penggunaan ScoutSuite, alat audit keamanan cloud yang diketahui digunakan oleh pelaku ancaman. |
Eskalasi Akses: Pembuatan Token yang Mencurigakan | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat izin iam.serviceAccounts.implicitDelegation
disalahgunakan untuk membuat token akses dari akun layanan dengan hak istimewa lebih.
|
Eskalasi Akses: Pembuatan Token yang Mencurigakan | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat akun layanan menggunakan metode
serviceAccounts.signJwt
untuk membuat token akses bagi akun layanan lain.
|
Eskalasi Akses: Pembuatan Token yang Mencurigakan | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi penggunaan izin IAM Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Eskalasi Akses: Pembuatan Token yang Mencurigakan | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi penggunaan izin IAM Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Eskalasi Hak Istimewa: Penggunaan Izin Lintas Project yang Mencurigakan | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi penggunaan izin IAM Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Perintah dan Kontrol: Tunneling DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Log Cloud DNS | Mendeteksi handshake alat tunneling DNS Iodine. |
Penghindaran Pertahanan: Upaya Peniruan Rute VPC | VPC_ROUTE_MASQUERADE |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi pembuatan rute VPC secara manual yang menyamar sebagai rute default Google Cloud, yang mengizinkan traffic keluar ke alamat IP eksternal. |
Dampak: Penagihan Dinonaktifkan | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat penagihan telah dinonaktifkan untuk sebuah project. |
Dampak: Penagihan Dinonaktifkan | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi kapan penagihan telah dinonaktifkan untuk beberapa project dalam organisasi dalam jangka waktu singkat. |
Dampak: Blok Prioritas Tinggi Firewall VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat aturan firewall VPC yang memblokir semua traffic ditambahkan pada prioritas 0. |
Dampak: Penghapusan Aturan Massal Firewall VPCUntuk sementara tidak tersedia | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi penghapusan massal aturan firewall VPC oleh akun non-layanan. Aturan ini sementara tidak tersedia. Untuk memantau pembaruan pada aturan firewall, gunakan log audit Cloud. |
Dampak: Service API Dinonaktifkan | SERVICE_API_DISABLED |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat API layanan Google Cloud dinonaktifkan di lingkungan produksi. |
Dampak: Penskalaan Otomatis Grup Instance Terkelola Ditetapkan ke Maksimum | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi kapan grup instance terkelola dikonfigurasi untuk penskalaan otomatis maksimum. |
Penemuan: Panggilan API Akun Layanan yang Tidak Sah | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs: Log audit Aktivitas Admin IAM |
Mendeteksi saat akun layanan melakukan panggilan API lintas project yang tidak sah. |
Penghindaran Pertahanan: Sesi Anonim Diberi Akses Admin Cluster | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Mendeteksi pembuatan objek ClusterRoleBinding kontrol akses berbasis peran (RBAC)
yang menambahkan
perilaku root-cluster-admin-binding ke pengguna anonim.
|
Akses Awal: Resource GKE Anonim yang Dibuat dari Internet (Pratinjau) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Mendeteksi peristiwa pembuatan resource dari pengguna internet yang efektif anonim. |
Akses Awal: Resource GKE Diubah secara Anonim dari Internet (Pratinjau) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Mendeteksi peristiwa manipulasi resource dari pengguna internet yang efektif anonim. |
Eskalasi Hak Istimewa: Pengguna Anonim yang Efektif Diberi Akses Cluster GKE (Pratinjau) | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut:
Pengguna dan grup ini secara efektif bersifat anonim dan harus dihindari saat membuat binding peran atau binding peran cluster ke peran RBAC apa pun. Tinjau binding untuk memastikan bahwa binding tersebut diperlukan. Jika binding tidak diperlukan, hapus. |
Eksekusi: Exec atau Lampiran yang Mencurigakan ke Pod Sistem (Pratinjau) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang menggunakan perintah exec atau attach untuk mendapatkan shell atau
menjalankan perintah pada penampung yang berjalan di namespace kube-system .
Metode ini terkadang digunakan untuk tujuan proses debug yang sah. Namun, namespace kube-system ditujukan untuk objek sistem yang dibuat oleh Kubernetes,
dan eksekusi perintah atau pembuatan shell yang tidak terduga harus ditinjau.
|
Eskalasi Hak Istimewa: Workload yang Dibuat dengan Pemasangan Jalur Host Sensitif (Pratinjau) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang membuat beban kerja yang berisi pemasangan volume hostPath ke
jalur sensitif di sistem file node host. Akses ke jalur ini di sistem file
host dapat digunakan untuk mengakses informasi sensitif atau istimewa di node dan untuk
escape penampung. Jika memungkinkan, jangan izinkan volume hostPath apa pun di
cluster Anda.
|
Eskalasi Akses: Beban kerja dengan shareProcessNamespace diaktifkan (Pratinjau) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang men-deploy workload dengan opsi shareProcessNamespace ditetapkan ke
true , sehingga memungkinkan semua container berbagi namespace proses Linux yang sama.
Hal ini dapat memungkinkan container yang tidak tepercaya atau disusupi untuk mengeskalasi hak istimewa dengan
mengakses dan mengontrol variabel lingkungan, memori, dan data sensitif lainnya dari
proses yang berjalan di container lain.
|
Eskalasi Hak Istimewa: ClusterRole dengan Kata Kerja Berhak Istimewa (Pratinjau) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang membuat ClusterRole RBAC yang berisi kata kerja bind ,
escalate , atau impersonate . Subjek yang terikat dengan
peran dengan kata kerja ini dapat meniru identitas pengguna lain dengan hak istimewa yang lebih tinggi, terikat dengan
Roles atau ClusterRoles tambahan yang berisi izin
tambahan, atau mengubah izin ClusterRole mereka sendiri. Hal ini dapat menyebabkan subjek tersebut mendapatkan hak istimewa admin cluster.
|
Eskalasi Hak Istimewa: ClusterRoleBinding ke Peran Berhak Istimewa (Pratinjau) | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang membuat ClusterRoleBinding RBAC yang mereferensikan system:controller:clusterrole-aggregation-controller
ClusterRole
default. ClusterRole default ini memiliki
kata kerja escalate , yang memungkinkan subjek mengubah hak istimewa peran
mereka sendiri, sehingga memungkinkan eskalasi hak istimewa.
|
Defense Evasion: Certificate Signing Request (CSR) yang Dihapus Secara Manual (Pratinjau) | GKE_MANUALLY_DELETED_CSR |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR secara otomatis dihapus oleh pengontrol pengumpulan sampah, tetapi pelaku kejahatan mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus adalah untuk sertifikat yang disetujui dan diterbitkan, pelaku yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Kubernetes tidak mendukung pencabutan sertifikat. |
Akses Kredensial: Gagal Mencoba Menyetujui Permintaan Penandatanganan Sertifikat Kubernetes (CSR) (Pratinjau) | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. |
Akses Kredensial: Permintaan Penandatanganan Sertifikat (CSR) Kubernetes yang Disetujui Secara Manual (Pratinjau) | GKE_CSR_APPROVED |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. |
Eksekusi: Pod Kubernetes Dibuat dengan Argumen Reverse Shell Potensial (Pratinjau) | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya dikaitkan dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk mengeksekusi perintah arbitrer. |
Penghindaran Pertahanan: Potensi Penyamaran Pod Kubernetes (Pratinjau) | GKE_POD_MASQUERADING |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan beban kerja default yang dibuat GKE untuk operasi cluster reguler. Teknik ini disebut penyamaran. |
Eskalasi Hak Istimewa: Nama Penampung Kubernetes yang Mencurigakan - Eksploitasi dan Pelarian (Pratinjau) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan alat umum yang digunakan untuk container escape atau untuk menjalankan serangan lain di cluster. |
Dampak: Nama Penampung Kubernetes yang Mencurigakan - Penambangan Koin (Pratinjau) | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs: Log Aktivitas Admin GKE |
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan penambang koin cryptocurrency umum. Hal ini mungkin merupakan upaya penyerang yang telah mendapatkan akses awal ke cluster untuk menggunakan resource cluster tersebut untuk penambangan mata uang kripto. |
Modul kustom untuk Event Threat Detection
Selain aturan deteksi bawaan, Event Threat Detection menyediakan template modul yang dapat Anda gunakan untuk membuat aturan deteksi kustom. Untuk informasi selengkapnya, lihat Ringkasan modul kustom untuk Event Threat Detection.
Untuk membuat aturan deteksi yang tidak memiliki template modul kustom, Anda dapat mengekspor data log ke BigQuery, lalu menjalankan kueri SQL unik atau berulang yang menangkap model ancaman Anda.
Perubahan Google Grup yang tidak aman
Bagian ini menjelaskan cara Event Threat Detection menggunakan log Google Workspace, Cloud Audit Logs, dan kebijakan IAM untuk mendeteksi perubahan Google Grup yang tidak aman. Mendeteksi perubahan Google Grup hanya didukung jika Anda mengaktifkan Security Command Center di tingkat organisasi.
Pelanggan Google Cloud dapat menggunakan Google Grup untuk mengelola peran dan izin bagi anggota di organisasi mereka, atau menerapkan kebijakan akses ke kumpulan pengguna. Sebagai ganti memberikan peran secara langsung kepada anggota, administrator dapat memberikan peran dan izin ke Grup Google, lalu menambahkan anggota ke grup tertentu. Anggota grup mewarisi semua peran dan izin grup, yang memungkinkan anggota mengakses resource dan layanan tertentu.
Meskipun Google Grup adalah cara yang mudah untuk mengelola kontrol akses dalam skala besar, grup ini dapat menimbulkan risiko jika pengguna eksternal dari luar organisasi atau domain Anda ditambahkan ke grup berhak istimewa—grup yang diberi peran atau izin sensitif. Peran sensitif mengontrol akses ke setelan keamanan dan jaringan, log, serta informasi identitas pribadi (PII), dan tidak direkomendasikan untuk anggota grup eksternal.
Di organisasi besar, administrator mungkin tidak mengetahui saat anggota eksternal ditambahkan ke grup dengan hak istimewa. Log Audit Cloud mencatat pemberian peran ke grup, tetapi peristiwa log tersebut tidak berisi informasi tentang anggota grup, yang dapat menyembunyikan potensi dampak dari beberapa perubahan grup.
Jika Anda membagikan log Google Workspace ke Google Cloud, Event Threat Detection akan memantau aliran logging Anda untuk menemukan anggota baru yang ditambahkan ke Google Grup organisasi Anda. Karena log berada di level organisasi, Event Threat Detection hanya dapat memindai log Google Workspace saat Anda mengaktifkan Security Command Center di level organisasi. Event Threat Detection tidak dapat memindai log ini saat Anda mengaktifkan Security Command Center di level project.
Event Threat Detection mengidentifikasi anggota grup eksternal dan, menggunakan Cloud Audit Logs, meninjau setiap peran IAM grup yang terpengaruh untuk memeriksa apakah grup tersebut diberi peran sensitif. Informasi tersebut digunakan untuk mendeteksi perubahan tidak aman berikut untuk Google Grup dengan hak istimewa:
- Anggota grup eksternal ditambahkan ke grup dengan hak istimewa
- Peran atau izin sensitif yang diberikan ke grup dengan anggota grup eksternal
- Grup dengan hak istimewa yang diubah untuk mengizinkan siapa saja di masyarakat umum untuk bergabung
Event Threat Detection menulis temuan ke Security Command Center. Temuan berisi alamat email anggota eksternal yang baru ditambahkan, anggota grup internal yang memulai peristiwa, nama grup, dan peran sensitif yang terkait dengan grup. Anda dapat menggunakan informasi tersebut untuk menghapus anggota eksternal dari grup atau mencabut peran sensitif yang diberikan kepada grup.
Untuk informasi selengkapnya tentang temuan Event Threat Detection, lihat Aturan Event Threat Detection.
Peran dan izin IAM sensitif
Bagian ini menjelaskan cara Event Threat Detection menentukan peran IAM sensitif. Deteksi seperti IAM Anomalous Grant dan perubahan Grup Google Tidak Aman hanya menghasilkan temuan jika perubahan melibatkan peran dengan sensitivitas tinggi atau sedang. Sensitivitas peran memengaruhi rating tingkat keparahan yang ditetapkan untuk temuan.
- Peran dengan sensitivitas tinggi mengontrol layanan penting di organisasi, termasuk penagihan, setelan firewall, dan logging. Temuan yang cocok dengan peran ini diklasifikasikan sebagai tingkat keparahan Tinggi.
- Peran dengan sensitivitas sedang memiliki izin pengeditan
yang memungkinkan akun utama membuat perubahan pada resource Google Cloud; serta izin melihat
dan menjalankan pada layanan penyimpanan data yang sering menyimpan data sensitif. Tingkat keparahan yang ditetapkan untuk temuan bergantung pada resource:
- Jika peran dengan sensitivitas sedang diberikan di tingkat organisasi, temuan akan diklasifikasikan sebagai tingkat keparahan Tinggi.
- Jika peran dengan sensitivitas sedang diberikan di tingkat yang lebih rendah dalam hierarki resource Anda (folder, project, dan bucket, antara lain), temuan akan diklasifikasikan sebagai tingkat keparahan Sedang.
Memberikan peran sensitif ini dianggap berbahaya jika penerima adalah Anggota Eksternal atau identitas abnormal, seperti akun utama yang telah tidak aktif selama waktu yang lama.
Memberikan peran sensitif kepada anggota eksternal dapat menimbulkan potensi ancaman karena peran tersebut dapat disalahgunakan untuk membahayakan akun dan memindahkan data secara tidak sah.
Menemukan kategori yang menggunakan peran sensitif ini meliputi:
- Persistensi: Pemberian IAM Tidak Wajar
- Subaturan:
external_service_account_added_to_policy
- Subaturan:
external_member_added_to_policy
- Subaturan:
- Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid
- Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif
Menemukan kategori yang menggunakan subset peran sensitif meliputi:
- Persistensi: Pemberian IAM Tidak Wajar
- Subaturan:
service_account_granted_sensitive_role_to_member
- Subaturan:
Subaturan service_account_granted_sensitive_role_to_member
menargetkan anggota eksternal dan internal secara umum, sehingga hanya menggunakan sebagian peran sensitif, seperti yang dijelaskan dalam Aturan Deteksi Ancaman Peristiwa.
Kategori | Peran | Deskripsi |
---|---|---|
Peran dasar: berisi ribuan izin di seluruh layanan Google Cloud. | roles/owner |
Peran dasar |
roles/editor |
||
Peran keamanan: mengontrol akses ke setelan keamanan | roles/cloudkms.* |
Semua peran Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Semua peran Web Security Scanner | |
roles/dlp.* |
Semua peran Perlindungan Data Sensitif | |
roles/iam.* |
Semua peran IAM | |
roles/secretmanager.* |
Semua peran Secret Manager | |
roles/securitycenter.* |
Semua peran Security Command Center | |
Peran logging: mengontrol akses ke log organisasi | roles/errorreporting.* |
Semua peran Error Reporting |
roles/logging.* |
Semua peran Cloud Logging | |
roles/stackdriver.* |
Semua peran Cloud Monitoring | |
Peran informasi pribadi: mengontrol akses ke resource yang berisi informasi identitas pribadi, termasuk informasi perbankan dan kontak | roles/billing.* |
Semua peran Penagihan Cloud |
roles/healthcare.* |
Semua peran Cloud Healthcare API | |
roles/essentialcontacts.* |
Semua peran Kontak Penting | |
Peran jaringan: mengontrol akses ke setelan jaringan organisasi | roles/dns.* |
Semua peran Cloud DNS |
roles/domains.* |
Semua peran Cloud Domains | |
roles/networkconnectivity.* |
Semua peran Network Connectivity Center | |
roles/networkmanagement.* |
Semua peran Network Connectivity Center | |
roles/privateca.* |
Semua peran Certificate Authority Service | |
Peran layanan: mengontrol akses ke resource layanan di Google Cloud | roles/cloudasset.* |
Semua peran Inventaris Aset Cloud |
roles/servicedirectory.* |
Semua peran Direktori Layanan | |
roles/servicemanagement.* |
Semua peran Pengelolaan Layanan | |
roles/servicenetworking.* |
Semua peran Jaringan Layanan | |
roles/serviceusage.* |
Semua peran Penggunaan Layanan | |
Peran Compute Engine: mengontrol akses ke virtual machine Compute Engine, yang menjalankan tugas yang berjalan lama dan dikaitkan dengan aturan firewall |
|
Semua peran Admin dan Editor Compute Engine |
Kategori | Peran | Deskripsi |
---|---|---|
Peran pengeditan: Peran IAM yang menyertakan izin untuk melakukan perubahan pada resource Google Cloud |
Contoh:
|
Nama peran biasanya diakhiri dengan judul seperti Admin, Pemilik, Editor, atau Penulis. Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang |
Peran penyimpanan data: Peran IAM yang mencakup izin untuk melihat dan menjalankan layanan penyimpanan data |
Contoh:
|
Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang |
Semua peran dengan sensitivitas sedang
Layanan Terkelola untuk Microsoft Active Directory
Vertex AI Workbench User Managed Notebooks
|
Jenis log dan persyaratan aktivasi
Bagian ini mencantumkan log yang digunakan Event Threat Detection, beserta ancaman yang dicari Event Threat Detection di setiap log, dan tindakan yang perlu Anda lakukan untuk mengaktifkan setiap log.
Anda hanya perlu mengaktifkan log untuk Event Threat Detection jika semua hal berikut terpenuhi:
- Anda menggunakan produk atau layanan yang menulis ke log.
- Anda perlu melindungi produk atau layanan dari ancaman yang dideteksi Event Threat Detection dalam log.
- Log ini adalah log audit akses data atau log lain yang nonaktif secara default.
Ancaman tertentu dapat dideteksi di beberapa log. Jika Event Threat Detection dapat mendeteksi ancaman dalam log yang sudah diaktifkan, Anda tidak perlu mengaktifkan log lain untuk mendeteksi ancaman yang sama.
Jika log tidak tercantum di bagian ini, Event Threat Detection tidak akan memindainya, meskipun diaktifkan. Untuk informasi selengkapnya, lihat Pemindaian log yang berpotensi redundan.
Seperti yang dijelaskan dalam tabel berikut, beberapa jenis log hanya tersedia di tingkat organisasi. Jika Anda mengaktifkan Security Command Center di level project, Event Threat Detection tidak akan memindai log ini dan tidak menghasilkan temuan apa pun.
Sumber log dasar
Event Threat Detection menggunakan sumber data dasar untuk mendeteksi aktivitas yang berpotensi berbahaya di jaringan Anda.
Jika Anda mengaktifkan Event Threat Detection tanpa Log Aliran VPC, Event Threat Detection akan segera mulai menganalisis aliran Log Aliran VPC yang independen, duplikat, dan internal. Untuk menyelidiki lebih lanjut temuan Event Threat Detection yang ada, Anda perlu mengaktifkan Log Aliran VPC dan membuka Logs Explorer dan Flow Analyzer secara manual. Jika Anda mengaktifkan Log Aliran VPC pada kemudian hari, hanya temuan mendatang yang akan berisi link yang relevan untuk penyelidikan lebih lanjut.
Jika Anda mengaktifkan Event Threat Detection dengan Log Aliran VPC, Event Threat Detection akan langsung mulai menganalisis Log Aliran VPC dalam deployment Anda dan memberikan link ke Logs Explorer dan Flow Analyzer untuk membantu Anda menyelidiki lebih lanjut.
Pemindaian log yang berpotensi redundan
Event Threat Detection dapat memberikan deteksi malware jaringan dengan memindai salah satu log berikut:
- Logging Cloud DNS
- Logging Cloud NAT
- Firewall Rules Logging
- VPC Flow Logs
Jika Anda sudah menggunakan logging Cloud DNS, Event Threat Detection dapat mendeteksi malware menggunakan resolusi domain. Untuk sebagian besar pengguna, log Cloud DNS sudah memadai untuk deteksi malware di jaringan.
Jika memerlukan tingkat visibilitas lain di luar resolusi domain, Anda dapat mengaktifkan Log Aliran VPC, tetapi Log Aliran VPC dapat menimbulkan biaya. Untuk mengelola biaya ini, sebaiknya tingkatkan interval agregasi menjadi 15 menit dan kurangi frekuensi sampel menjadi antara 5% dan 10%, tetapi ada kompromi antara recall (sampel yang lebih tinggi) dan pengelolaan biaya (frekuensi sampel yang lebih rendah). Untuk informasi selengkapnya, lihat Pengambilan sampel dan pemrosesan log.
Jika Anda sudah menggunakan Logging Aturan Firewall atau logging Cloud NAT, log ini berguna sebagai pengganti Log Aliran VPC.
Anda tidak perlu mengaktifkan lebih dari satu logging Cloud NAT, Logging Aturan Firewall, atau Log Aliran VPC.
Log yang perlu Anda aktifkan
Bagian ini mencantumkan log Cloud Logging dan Google Workspace yang dapat Anda aktifkan atau konfigurasikan untuk meningkatkan jumlah ancaman yang dapat dideteksi oleh Event Threat Detection.
Ancaman tertentu, seperti ancaman yang ditimbulkan oleh peniruan identitas atau delegasi akun layanan yang tidak wajar, dapat ditemukan di sebagian besar log audit. Untuk jenis ancaman ini, Anda menentukan log yang perlu diaktifkan berdasarkan produk dan layanan yang Anda gunakan.
Tabel berikut menunjukkan log tertentu yang perlu Anda aktifkan untuk ancaman yang dapat dideteksi hanya dalam jenis log tertentu.
Jenis log | Ancaman terdeteksi | Diperlukan konfigurasi |
---|---|---|
Penautan Cloud DNS |
|
Mengaktifkan logging Cloud DNS |
Logging Cloud NAT |
|
Mengaktifkan logging Cloud NAT |
Firewall Rules Logging |
|
Aktifkan Firewall Rules Logging. |
Log audit Akses Data Google Kubernetes Engine (GKE) |
|
Mengaktifkan log audit Akses Data Logging untuk GKE |
Log Audit Admin Google Workspace |
|
Membagikan Log Audit Admin Google Workspace dengan Logging Cloud Jenis log ini tidak dapat dipindai dalam aktivasi tingkat project. |
Log Audit Login Google Workspace |
|
Membagikan log Audit Login Google Workspace dengan Cloud Logging Jenis log ini tidak dapat dipindai dalam aktivasi tingkat project. |
Log layanan backend Load Balancer Aplikasi Eksternal | Initial Access: Log4j Compromise Attempt |
Mengaktifkan logging Load Balancer Aplikasi eksternal |
Log audit Akses Data MySQL Cloud SQL | Exfiltration: Cloud SQL Data Exfiltration |
Mengaktifkan log audit Akses Data Logging untuk Cloud SQL untuk MySQL |
Log audit Akses Data PostgreSQL Cloud SQL |
|
|
Log audit Akses Data AlloyDB untuk PostgreSQL |
|
|
Log audit Akses Data IAM |
Discovery: Service Account Self-Investigation
|
Mengaktifkan log audit Akses Data untuk Resource Manager |
Log audit Akses Data SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Mengaktifkan log audit Akses Data Logging untuk Cloud SQL untuk SQL Server |
Log audit Akses Data Umum |
|
Aktifkan log audit Akses Data Logging. |
authlogs/authlog di virtual machine | Brute force SSH |
Instal Agen Operasional atau Agen logging lama di host VM Anda |
VPC Flow Logs |
|
Mengaktifkan Log Aliran VPC |
Log yang selalu aktif
Tabel berikut mencantumkan log Cloud Logging yang tidak perlu Anda aktifkan atau konfigurasikan. Log ini selalu aktif dan Event Threat Detection memindainya secara otomatis.
Jenis log | Ancaman terdeteksi | Diperlukan konfigurasi |
---|---|---|
Log Akses Data BigQueryAuditMetadata |
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery Pemindahan Tidak Sah: Ekstraksi Data BigQuery Pemindahan Tidak Sah: Data BigQuery ke Google Drive Eksfiltrasi: Pindahkan ke resource BigQuery Publik (Pratinjau) |
Tidak ada |
Log audit Aktivitas Admin Google Kubernetes Engine (GKE) |
Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif Eskalasi Hak Istimewa: Pembuatan binding Kubernetes sensitif Eskalasi Hak Istimewa: Peluncuran penampung Kubernetes dengan hak istimewa Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master Penghindaran Pertahanan: Sesi Anonim Diberi Akses Admin Cluster Akses Awal: Resource GKE Anonim yang Dibuat dari Internet (Pratinjau) Akses Awal: Resource GKE Diubah secara Anonim dari Internet (Pratinjau) Eskalasi Hak Istimewa: Pengguna Anonim yang Efektif Diberi Akses Cluster GKE (Pratinjau) Eksekusi: Exec atau Lampiran yang Mencurigakan ke Pod Sistem (Pratinjau) Eskalasi Hak Istimewa: Workload yang Dibuat dengan Pemasangan Jalur Host sensitif (Pratinjau) Eskalasi Akses: Beban kerja dengan shareProcessNamespace diaktifkan (Pratinjau) Eskalasi Hak Istimewa: ClusterRole dengan Kata Kerja Berhak Istimewa (Pratinjau) Eskalasi Hak Istimewa: ClusterRoleBinding ke Peran Berhak Istimewa (Pratinjau) Defense Evasion: Permintaan Penandatanganan Sertifikat (CSR) yang Dihapus Secara Manual (Pratinjau) Akses Kredensial: Gagal Mencoba Menyetujui Permintaan Penandatanganan Sertifikat Kubernetes (CSR) (Pratinjau) Akses Kredensial: Permintaan Penandatanganan Sertifikat Kubernetes (CSR) yang Disetujui Secara Manual (Pratinjau) Eksekusi: Pod Kubernetes Dibuat dengan Argumen Reverse Shell Potensial (Pratinjau) Penghindaran Pertahanan: Potensi Penyamaran Pod Kubernetes (Pratinjau) Eskalasi Hak Istimewa: Nama Penampung Kubernetes yang Mencurigakan - Eksploitasi dan Pelarian (Pratinjau) Dampak: Nama Penampung Kubernetes yang Mencurigakan - Penambangan Koin (Pratinjau) |
Tidak ada |
Log audit Aktivitas Admin IAM |
Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif Persistensi: Peran Peniruan Identitas Diberikan untuk Akun Layanan yang Tidak Aktif Persistensi: Pemberian IAM Tidak Wajar (Pratinjau) Persisten: Akun Tidak Terkelola Diberi Peran Sensitif |
Tidak ada |
Log Aktivitas Admin MySQL | Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal | Tidak ada |
Log Aktivitas Admin PostgreSQL | Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal | Tidak ada |
Log Aktivitas Admin SQL Server | Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal | Tidak ada |
Log audit Aktivitas Admin Umum |
Akses Awal: Tindakan Akun Layanan yang Tidak Aktif> Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat Akses Awal: Tindakan Izin yang Ditolak Berlebihan Akses Awal: Kunci Akun Layanan yang Dibocorkan Digunakan Persistensi: Admin GCE Menambahkan Kunci SSH Persistensi: Admin GCE Menambahkan Skrip Startup Persistensi: Metode API Baru Persistensi: Geografi Baru Persistensi: Agen Pengguna Baru Eskalasi Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin Eskalasi Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin Eskalasi Hak Istimewa: Peniruan Identitas Akun Layanan yang Tidak Normal untuk Aktivitas Admin Lateral Movement: Boot Disk yang Diubah Dipasang ke Instance (Pratinjau) |
Tidak ada |
Log Audit Kontrol Layanan VPC | Defense Evasion: Mengubah Kontrol Layanan VPC (Pratinjau) | Tidak ada |
Log audit Aktivitas Admin Cadangan dan DR |
Penghancuran data: Pencadangan dan DR Google Cloud akan menghapus semua gambar Menghambat pemulihan sistem: Kebijakan penghapusan Pencadangan dan DR Google Cloud Menghambat pemulihan sistem: Template penghapusan Pencadangan dan DR Google Cloud Menghambat pemulihan sistem: Pencadangan dan DR Google Cloud menghapus profil Menghambat pemulihan sistem: Pencadangan dan DR Google Cloud menghapus kumpulan penyimpanan Menghambat pemulihan sistem: host Pencadangan dan DR Google Cloud dihapus Penghancuran data: Gambar masa berlaku Pencadangan dan DR Google Cloud berakhir Penghancuran data: Pencadangan dan DR Google Cloud menghapus perangkat Menghambat pemulihan sistem: Pencadangan dan DR Google Cloud menghapus rencana Dampak: Pencadangan dan DR Google Cloud mengurangi masa berlaku pencadangan Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan |
Tidak ada |
Langkah selanjutnya
- Pelajari cara menggunakan Event Threat Detection.
- Pelajari cara menyelidiki dan mengembangkan rencana respons untuk ancaman.