Ringkasan Event Threat Detection

Apa yang dimaksud dengan Event Threat Detection?

Event Threat Detection adalah layanan bawaan untuk paket Security Command Center Premium yang terus memantau organisasi atau project Anda dan mengidentifikasi ancaman dalam sistem Anda hampir secara real-time. Event Threat Detection diperbarui secara rutin dengan detektor baru untuk mengidentifikasi ancaman yang muncul pada skala cloud.

Cara kerja Event Threat Detection

Event Threat Detection memantau aliran Cloud Logging untuk organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Event Threat Detection akan menggunakan log untuk project Anda saat dibuat dan Event Threat Detection dapat memantau Log Google Workspace. Cloud Logging berisi entri log panggilan API dan tindakan lainnya yang membuat, membaca, atau mengubah konfigurasi atau metadata resource Anda. Log Google Workspace melacak login pengguna ke domain Anda dan memberikan catatan tindakan yang dilakukan di Konsol Admin Google Workspace.

Entri log berisi status dan informasi peristiwa yang digunakan Event Threat Detection untuk mendeteksi ancaman dengan cepat. Event Threat Detection menerapkan logika deteksi dan intelijen ancaman eksklusif, termasuk pencocokan indikator tripwire, pembuatan profil berbingkai, pembuatan profil lanjutan, machine learning, dan deteksi anomali, untuk mengidentifikasi ancaman hampir secara real-time.

Saat mendeteksi ancaman, Event Threat Detection akan menulis temuan ke Security Command Center. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Security Command Center dapat menulis temuan ke project Cloud Logging. Dari logging Cloud Logging dan Google Workspace, Anda dapat mengekspor temuan ke sistem lain dengan Pub/Sub dan memprosesnya dengan fungsi Cloud Run.

Jika mengaktifkan paket Premium Security Command Center di tingkat organisasi, Anda juga dapat menggunakan Google Security Operations untuk menyelidiki beberapa temuan. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa terpadu. Untuk mengetahui petunjuk tentang cara mengirim temuan ke Google SecOps, lihat Menyelidiki temuan di Google SecOps.

Kemampuan Anda untuk melihat dan mengedit temuan serta log ditentukan oleh peran Identity and Access Management (IAM) yang diberikan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran IAM Security Command Center, lihat Kontrol akses.

Aturan Event Threat Detection

Aturan menentukan jenis ancaman yang terdeteksi oleh Event Threat Detection dan jenis log yang harus diaktifkan agar detektor berfungsi. Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi atau menonaktifkannya.

Event Threat Detection menyertakan aturan default berikut:

Nama tampilan Nama API Jenis sumber log Deskripsi
Pemindaian Aktif: Log4j Rentan terhadap RCE Tidak tersedia Log Cloud DNS Mendeteksi kerentanan Log4j yang aktif dengan mengidentifikasi kueri DNS untuk domain yang tidak di-obfuscate yang dimulai oleh pemindai kerentanan Log4j yang didukung.
Menghambat Pemulihan Sistem: Menghapus host Pencadangan dan DR Google Cloud BACKUP_HOSTS_DELETE_HOST Cloud Audit Logs:
Log audit Aktivitas Admin Layanan Cadangan dan DR
Host dihapus dari Pencadangan dan DR. Aplikasi yang terkait dengan host yang dihapus mungkin tidak dilindungi.
Penghancuran Data: Gambar masa berlaku Pencadangan dan DR Google Cloud berakhir BACKUP_EXPIRE_IMAGE Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Pengguna meminta penghapusan image cadangan dari Pencadangan dan DR. Penghapusan image cadangan tidak akan mencegah pencadangan di masa mendatang.
Menghambat Pemulihan Sistem: Pencadangan dan DR Google Cloud menghapus rencana BACKUP_REMOVE_PLAN Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Rencana pencadangan dengan beberapa kebijakan untuk aplikasi dihapus dari Pencadangan dan DR. Penghapusan rencana pencadangan dapat mencegah pencadangan di masa mendatang.
Penghancuran Data: Pencadangan dan DR Google Cloud akan menghapus semua gambar BACKUP_EXPIRE_IMAGES_ALL Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Pengguna meminta penghapusan semua image cadangan untuk aplikasi yang dilindungi dari Backup and DR. Penghapusan image cadangan tidak mencegah pencadangan di masa mendatang.
Menghambat Pemulihan Sistem: Template penghapusan Pencadangan dan DR Google Cloud BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Template pencadangan standar, yang digunakan untuk menyiapkan pencadangan untuk beberapa aplikasi, telah dihapus. Kemampuan untuk menyiapkan cadangan di masa mendatang mungkin akan terpengaruh.
Menghambat Pemulihan Sistem: Kebijakan penghapusan Pencadangan dan DR Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Kebijakan Pencadangan dan DR, yang menentukan cara pencadangan dilakukan dan tempat penyimpanannya, telah dihapus. Pencadangan mendatang yang menggunakan kebijakan tersebut mungkin gagal.
Menghambat Pemulihan Sistem: Profil penghapusan Pencadangan dan DR Google Cloud BACKUP_PROFILES_DELETE_PROFILE Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Profil Pencadangan dan DR, yang menentukan penyimpanan gabungan mana yang harus digunakan untuk menyimpan cadangan, telah dihapus. Pencadangan mendatang yang menggunakan profil tersebut mungkin gagal.
Pemusnahan Data: Pencadangan dan DR Google Cloud menghapus perangkat BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Appliance pencadangan dihapus dari Pencadangan dan DR. Aplikasi yang terkait dengan appliance pencadangan yang dihapus mungkin tidak dilindungi.
Menghambat Pemulihan Sistem: Pencadangan dan DR Google Cloud menghapus kumpulan penyimpanan BACKUP_STORAGE_POOLS_DELETE Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Aggregate penyimpanan, yang mengaitkan bucket Cloud Storage dengan Pencadangan dan DR, telah dihapus dari Pencadangan dan DR. Pencadangan mendatang ke target penyimpanan ini akan gagal.
Dampak: Pencadangan dan DR Google Cloud mengurangi masa berlaku pencadangan BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Tanggal habis masa berlaku untuk pencadangan yang dilindungi oleh Pencadangan dan DR telah dikurangi.
Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan BACKUP_REDUCE_BACKUP_FREQUENCY Cloud Audit Logs:
Log audit Aktivitas Admin Cadangan dan DR
Jadwal pencadangan Pencadangan dan DR telah diubah untuk mengurangi frekuensi pencadangan.
SSH Brute Force BRUTE_FORCE_SSH authlog Deteksi brute force SSH yang berhasil pada host.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Log Cloud IDS

Peristiwa ancaman yang terdeteksi oleh Cloud IDS.

Cloud IDS mendeteksi serangan lapisan 7 dengan menganalisis paket yang dicerminkan dan, saat peristiwa ancaman terdeteksi, mengirimkan temuan class ancaman ke Security Command Center. Menemukan nama kategori yang dimulai dengan "Cloud IDS", diikuti dengan ID ancaman Cloud IDS.

Integrasi Cloud IDS dengan Event Threat Detection tidak mencakup deteksi kerentanan Cloud IDS.

Untuk mempelajari deteksi Cloud IDS lebih lanjut, lihat Informasi Logging Cloud IDS.

Akses Kredensial: Anggota Eksternal Ditambahkan ke Grup dengan Hak Istimewa EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Log Google Workspace:
Audit Login
Izin:
DATA_READ

Mendeteksi peristiwa saat anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif). Temuan hanya dihasilkan jika grup belum berisi anggota eksternal lain dari organisasi yang sama dengan anggota yang baru ditambahkan. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akses Kredensial: Grup dengan Hak Istimewa Dibuka untuk Publik PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Admin Audit
Izin:
DATA_READ

Mendeteksi peristiwa saat Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs:
Log audit Aktivitas Admin IAM

Mendeteksi peristiwa saat peran sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman.

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Penghindaran Pertahanan: Deployment Workload Breakglass Dibuat (Pratinjau) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit Logs:
Log Aktivitas Admin
Mendeteksi deployment workload yang di-deploy menggunakan flag break-glass untuk mengganti kontrol Binary Authorization.
Defense Evasion: Deployment Workload Breakglass Diperbarui (Pratinjau) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit Logs:
Log Aktivitas Admin
Mendeteksi kapan beban kerja diperbarui menggunakan flag break-glass untuk mengganti kontrol Binary Authorization.
Defense Evasion: Mengubah Kontrol Layanan VPC DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud Audit Logs Log audit Kontrol Layanan VPC

Mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang ada yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Penemuan: Dapat mendapatkan pemeriksaan objek Kubernetes sensitif GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs:
Log Akses Data GKE

Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka kueri, dengan menggunakan perintah kubectl auth can-i get. Secara khusus, aturan ini mendeteksi apakah pelaku memeriksa akses API pada objek berikut:

Penemuan: Investigasi Mandiri Akun Layanan SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
Log audit Akses Data IAM
Izin:
DATA_READ

Deteksi kredensial akun layanan IAM yang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama.

Peran sensitif

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Penghindaran: Akses dari Anonymizing Proxy ANOMALOUS_ACCESS Cloud Audit Logs:
Log Aktivitas Admin
Deteksi modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery DATA_EXFILTRATION_BIG_QUERY Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ

Mendeteksi skenario berikut:

  • Resource yang dimiliki oleh organisasi yang dilindungi dan disimpan di luar organisasi, termasuk operasi penyalinan atau transfer.

    Skenario ini ditunjukkan oleh subaturan exfil_to_external_table dan tingkat keparahan HIGH.

  • Mencoba mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC.

    Skenario ini ditunjukkan oleh subaturan vpc_perimeter_violation dan tingkat keparahan LOW.

Pemindahan Tidak Sah: Ekstraksi Data BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ

Mendeteksi skenario berikut:

  • Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage di luar organisasi.
  • Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage yang dapat diakses secara publik dan dimiliki oleh organisasi tersebut.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Pemindahan Tidak Sah: Data BigQuery ke Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ

Mendeteksi hal berikut:

  • Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke folder Google Drive.
Eksfiltrasi: Memindahkan ke resource BigQuery Publik DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Log Audit Cloud: Log akses data BigQueryAuditMetadata
Izin:
DATA_READ

Mendeteksi hal berikut:

  • Resource BigQuery disimpan ke resource publik yang dimiliki oleh organisasi Anda.
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Log Audit Cloud: Log akses data MySQL
Log akses data PostgreSQL
Log akses data SQL Server

Mendeteksi skenario berikut:

  • Data instance aktif yang diekspor ke bucket Cloud Storage di luar organisasi.
  • Data instance aktif yang diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Log Audit Cloud: Log aktivitas admin MySQL
Log aktivitas admin PostgreSQL
Log aktivitas admin SQL Server

Mendeteksi peristiwa saat cadangan instance Cloud SQL dipulihkan ke instance di luar organisasi.

Pemindahan Tidak Sah: Pemberian Hak Istimewa Berlebihan Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Log Audit Cloud: Log akses data PostgreSQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.
Mendeteksi peristiwa saat pengguna atau peran Cloud SQL untuk PostgreSQL telah diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam skema.
Akses Awal: Pengguna Super Database Menulis ke Tabel Pengguna CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Log akses data Cloud SQL untuk PostgreSQL
Log akses data Cloud SQL untuk MySQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk PostgreSQL atau audit database untuk MySQL agar dapat menggunakan aturan ini.
Mendeteksi peristiwa saat superuser Cloud SQL (postgres untuk server PostgreSQL atau root untuk pengguna MySQL) menulis ke tabel non-sistem.
Eskalasi Akses: Pemberian Hak Berlebih AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: Log akses data AlloyDB untuk PostgreSQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.
Mendeteksi peristiwa saat pengguna atau peran AlloyDB untuk PostgreSQL telah diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam skema.
Eskalasi Hak Istimewa: Superuser Database AlloyDB Menulis ke Tabel Pengguna ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Log akses data AlloyDB untuk PostgreSQL
Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.
Mendeteksi peristiwa saat superuser AlloyDB untuk PostgreSQL (postgres) menulis ke tabel non-sistem.
Akses Awal: Tindakan Akun Layanan Yang Tidak Aktif DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs: Log Aktivitas Admin Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs: Log audit Aktivitas Admin IAM

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif diberi satu atau beberapa peran IAM sensitif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Peran sensitif

Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

Persistensi: Peran Peniruan Identitas Diberikan untuk Akun Layanan yang Tidak Aktif DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit Logs: Log audit Aktivitas Admin IAM Mendeteksi peristiwa saat akun utama diberi izin untuk meniru identitas akun layanan yang dikelola pengguna dan tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit Logs: Log Aktivitas Admin Mendeteksi peristiwa saat kunci dibuat untuk akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Akses Awal: Kunci Akun Layanan yang Dibocorkan Digunakan LEAKED_SA_KEY_USED Cloud Audit Logs: Log Aktivitas Admin
Log Akses Data
Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik.
Akses Awal: Tindakan Izin yang Ditolak Berlebihan EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs: Log Aktivitas Admin Mendeteksi peristiwa saat akun utama berulang kali memicu error izin ditolak dengan mencoba perubahan di beberapa metode dan layanan.
Menghambat Pertahanan: Autentikasi Kuat Dinonaktifkan ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Admin Audit

Verifikasi 2 langkah dinonaktifkan untuk organisasi.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Merusak Pertahanan: Verifikasi 2 Langkah Dinonaktifkan 2SV_DISABLE Log Google Workspace:
Audit Login
Izin:
DATA_READ

Pengguna menonaktifkan verifikasi 2 langkah.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akses Awal: Akun Dinonaktifkan karena Dibajak ACCOUNT_DISABLED_HIJACKED Log Google Workspace:
Audit Login
Izin:
DATA_READ

Akun pengguna ditangguhkan karena aktivitas mencurigakan.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akses Awal: Kebocoran Sandi Dinonaktifkan ACCOUNT_DISABLED_PASSWORD_LEAK Log Google Workspace:
Audit Login
Izin:
DATA_READ

Akun pengguna dinonaktifkan karena kebocoran sandi terdeteksi.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akses Awal: Serangan yang Didukung Pemerintah GOV_ATTACK_WARNING Log Google Workspace:
Audit Login
Izin:
DATA_READ

Penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akses Awal: Upaya Penyusupan Log4j Tidak tersedia Log Cloud Load Balancing:
Cloud HTTP Load Balancer
Catatan: Anda harus mengaktifkan logging Load Balancer Aplikasi eksternal untuk menggunakan aturan ini.

Mendeteksi lookup Java Naming and Directory Interface (JNDI) dalam header atau parameter URL. Penelusuran ini dapat menunjukkan upaya eksploitasi Log4Shell. Temuan ini memiliki tingkat keparahan rendah, karena hanya menunjukkan deteksi atau upaya eksploitasi, bukan kerentanan atau kompromi.

Aturan ini selalu aktif.

Akses Awal: Aktivitas Login Mencurigakan Diblokir SUSPICIOUS_LOGIN Log Google Workspace:
Audit Login
Izin:
DATA_READ

Login mencurigakan ke akun pengguna terdeteksi dan diblokir.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Malware Log4j: Domain Buruk LOG4J_BAD_DOMAIN Log Cloud DNS Deteksi traffic eksploit Log4j berdasarkan koneksi ke, atau pencarian, domain yang diketahui digunakan dalam serangan Log4j.
Malware Log4j: IP Buruk LOG4J_BAD_IP Log aliran VPC
Log Aturan Firewall
Log Cloud NAT
Deteksi traffic eksploit Log4j berdasarkan koneksi ke alamat IP yang diketahui yang digunakan dalam serangan Log4j.
Malware: domain buruk MALWARE_BAD_DOMAIN Log Cloud DNS Deteksi malware berdasarkan koneksi ke, atau pencarian, domain buruk yang diketahui.
Malware: IP buruk MALWARE_BAD_IP Log aliran VPC
Log Aturan Firewall
Log Cloud NAT
Deteksi malware berdasarkan koneksi ke alamat IP jahat yang diketahui.
Malware: Domain Buruk Cryptomining CRYPTOMINING_POOL_DOMAIN Log Cloud DNS Deteksi penambangan kripto berdasarkan koneksi ke, atau pencarian, domain penambangan yang diketahui.
Malware: IP Buruk Cryptomining CRYPTOMINING_POOL_IP Log aliran VPC
Log Aturan Firewall
Log Cloud NAT
Deteksi penambangan kripto berdasarkan koneksi ke alamat IP penambangan yang diketahui.
DoS keluarMatikan OUTGOING_DOS Log aliran traffic VPC Deteksi traffic denial of service keluar.
Persistensi: Admin GCE Menambahkan Kunci SSH GCE_ADMIN_ADD_SSH_KEY Cloud Audit Logs:
Log audit Aktivitas Admin Compute Engine
Deteksi modifikasi pada nilai kunci ssh metadata instance Compute Engine di instance yang sudah ada (lebih lama dari 1 minggu).
Persistensi: Admin GCE Menambahkan Skrip Startup GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit Logs:
Log audit Aktivitas Admin Compute Engine
Deteksi modifikasi pada nilai skrip startup metadata instance Compute Engine di instance yang sudah ada (lebih lama dari 1 minggu).
Persistensi: Pemberian IAM Tidak Wajar IAM_ANOMALOUS_GRANT Cloud Audit Logs:
Log audit Aktivitas Admin IAM

Temuan ini mencakup subaturan yang memberikan informasi yang lebih spesifik tentang setiap instance temuan ini.

Daftar berikut menunjukkan semua kemungkinan subaturan:

  • external_service_account_added_to_policy, external_member_added_to_policy: Deteksi hak istimewa yang diberikan kepada pengguna IAM dan akun layanan yang bukan anggota organisasi Anda atau, jika Security Command Center diaktifkan hanya di tingkat project, project Anda.

    Catatan: Jika Security Command Center diaktifkan di tingkat organisasi pada tingkat apa pun, detector ini akan menggunakan kebijakan IAM organisasi yang ada sebagai konteks. Jika aktivasi Security Command Center hanya di level project, detector hanya akan menggunakan kebijakan IAM project sebagai konteks.

    Jika pemberian IAM sensitif kepada anggota eksternal terjadi, dan ada kurang dari tiga kebijakan IAM yang ada yang serupa dengan kebijakan tersebut, detector ini akan menghasilkan temuan.

    Peran sensitif

    Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.

  • external_member_invited_to_policy: Mendeteksi saat anggota eksternal diundang sebagai pemilik project melalui InsertProjectOwnershipInvite API.
  • custom_role_given_sensitive_permissions: Mendeteksi saat izin setIAMPolicy ditambahkan ke peran kustom.
  • service_account_granted_sensitive_role_to_member: Mendeteksi saat peran dengan hak istimewa diberikan kepada anggota melalui akun layanan. Subaturan ini dipicu oleh subkumpulan peran sensitif yang hanya menyertakan peran IAM dasar dan peran penyimpanan data tertentu. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
  • policy_modified_by_default_compute_service_account: Mendeteksi saat akun layanan Compute Engine default digunakan untuk mengubah setelan IAM project.
Persistensi: Akun yang Tidak Dikelola Diberi Peran Sensitif (Pratinjau) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Deteksi peran sensitif yang diberikan ke akun yang tidak dikelola.
Persistensi: Metode API Baru
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs:
Log Aktivitas Admin
Deteksi penggunaan layanan Google Cloud yang tidak wajar oleh akun layanan IAM.
Persistensi: Geografi Baru IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
Log Aktivitas Admin

Deteksi akun pengguna dan layanan IAM yang mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Persistensi: Agen Pengguna Baru IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs:
Log Aktivitas Admin

Deteksi akun layanan IAM yang mengakses Google Cloud dari agen pengguna yang tidak wajar atau mencurigakan.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Persistensi: Tombol Pengaktifan SSO TOGGLE_SSO_ENABLED Google Workspace:
Admin Audit

Setelan Aktifkan SSO (single sign-on) di akun admin dinonaktifkan.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Persisten: Setelan SSO Diubah CHANGE_SSO_SETTINGS Google Workspace:
Admin Audit

Setelan SSO untuk akun admin telah diubah.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Eskalasi Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit Logs:
Log Aktivitas Admin
Mendeteksi saat akun layanan yang disamarkan yang berpotensi bersifat anomali digunakan untuk aktivitas administratif.
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit Logs:
Log Aktivitas Admin
Mendeteksi saat permintaan yang didelegasikan multi-langkah yang bersifat anomali ditemukan untuk aktivitas administratif.
Eskalasi Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Akses Data ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
Log Akses Data
Mendeteksi saat permintaan yang didelegasikan multilangkah yang tidak wajar ditemukan untuk aktivitas akses data.
Eskalasi Hak Istimewa: Peniruan Identitas Akun Layanan yang Tidak Normal untuk Aktivitas Admin ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit Logs:
Log Aktivitas Admin
Mendeteksi saat pemanggil/peniru identitas yang berpotensi anomali dalam rantai delegasi digunakan untuk aktivitas administratif.
Eskalasi Hak Istimewa: Peniru Identitas Akun Layanan Anomal untuk Akses Data ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs:
Log Akses Data
Mendeteksi saat pemanggil/peniru identitas yang berpotensi bersifat anomali dalam rantai delegasi digunakan untuk aktivitas akses data.
Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
Log Aktivitas Admin GKE
Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole, RoleBinding, atau ClusterRoleBinding dari peran sensitif cluster-admin menggunakan permintaan PUT atau PATCH.
Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
Log Aktivitas Admin GKE
Pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberinya akses cluster-admin.
Eskalasi Hak Istimewa: Pembuatan binding Kubernetes sensitif GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.
Eskalasi Hak Istimewa: Mendapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupi GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs:
Log Akses Data GKE
Pelaku yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.
Eskalasi Hak Istimewa: Peluncuran penampung Kubernetes dengan hak istimewa GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
Log Aktivitas Admin GKE

Pelaku yang berpotensi berbahaya membuat Pod yang berisi container dengan hak istimewa atau container dengan kemampuan eskalasi hak istimewa.

Penampung dengan hak istimewa memiliki kolom privileged yang ditetapkan ke true. Penampung dengan kemampuan eskalasi hak istimewa memiliki kolom allowPrivilegeEscalation yang ditetapkan ke true. Untuk informasi selengkapnya, lihat referensi API SecurityContext v1 core dalam dokumentasi Kubernetes.

Persistensi: Kunci Akun Layanan Dibuat SERVICE_ACCOUNT_KEY_CREATION Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi pembuatan kunci akun layanan. Kunci akun layanan adalah kredensial yang dapat digunakan untuk jangka waktu lama, tetapi dapat meningkatkan risiko akses tidak sah ke resource Google Cloud.
Eskalasi Akses: Skrip Shutdown Global Ditambahkan GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat skrip shutdown global ditambahkan ke project.
Persistensi: Skrip Startup Global Ditambahkan GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat skrip startup global ditambahkan ke project.
Defense Evasion: Peran Pembuat Token Akun Layanan Tingkat Organisasi Ditambahkan ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat peran IAM Service Account Token Creator diberikan di tingkat organisasi.
Defense Evasion: Peran Pembuat Token Akun Layanan Tingkat Project Ditambahkan PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat peran IAM Service Account Token Creator diberikan di tingkat project.
Pergerakan Lateral: Eksekusi Patch OS dari Akun Layanan OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud Audit Logs.
Log audit Aktivitas Admin IAM
Mendeteksi saat akun layanan menggunakan fitur Patch Compute Engine untuk mengupdate sistem operasi instance Compute Engine yang sedang berjalan.
Gerakan Lateral: Boot Disk yang Diubah Dipasang ke Instance (Pratinjau) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud Audit Logs:
Log audit Compute Engine
Mendeteksi saat disk booting dilepas dari satu instance Compute Engine dan dilampirkan ke instance lainnya, yang dapat menunjukkan upaya berbahaya untuk membahayakan sistem menggunakan disk booting yang dimodifikasi.
Akses Kredensial: Secret yang Diakses di Namespace Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs:
Log Akses Data GKE
Mendeteksi kapan secret atau token akun layanan diakses oleh akun layanan di namespace Kubernetes saat ini.
Pengembangan Referensi: Aktivitas Distro Keamanan Ofensif OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi manipulasi resource Google Cloud yang berhasil dari pengujian penetrasi atau distro keamanan ofensif yang diketahui.
Eskalasi Hak Istimewa: Akun Layanan Baru adalah Pemilik atau Editor SERVICE_ACCOUNT_EDITOR_OWNER Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat akun layanan baru dibuat dengan peran Editor atau Pemilik untuk project.
Penemuan: Alat Pengumpulan Informasi yang Digunakan INFORMATION_GATHERING_TOOL_USED Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi penggunaan ScoutSuite, alat audit keamanan cloud yang diketahui digunakan oleh pelaku ancaman.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat izin iam.serviceAccounts.implicitDelegation disalahgunakan untuk membuat token akses dari akun layanan dengan hak istimewa lebih.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat akun layanan menggunakan metode serviceAccounts.signJwt untuk membuat token akses bagi akun layanan lain.
Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit Logs:
Log audit Aktivitas Admin IAM

Mendeteksi penggunaan izin IAM iam.serviceAccounts.getOpenIdToken lintas project.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Eskalasi Akses: Pembuatan Token yang Mencurigakan SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit Logs:
Log audit Aktivitas Admin IAM

Mendeteksi penggunaan izin IAM iam.serviceAccounts.getAccessToken lintas project.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Eskalasi Hak Istimewa: Penggunaan Izin Lintas Project yang Mencurigakan SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit Logs:
Log audit Aktivitas Admin IAM

Mendeteksi penggunaan izin IAM datafusion.instances.create lintas project.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Perintah dan Kontrol: Tunneling DNS DNS_TUNNELING_IODINE_HANDSHAKE Log Cloud DNS Mendeteksi handshake alat tunneling DNS Iodine.
Penghindaran Pertahanan: Upaya Peniruan Rute VPC VPC_ROUTE_MASQUERADE Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi pembuatan rute VPC secara manual yang menyamar sebagai rute default Google Cloud, yang mengizinkan traffic keluar ke alamat IP eksternal.
Dampak: Penagihan Dinonaktifkan BILLING_DISABLED_SINGLE_PROJECT Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat penagihan telah dinonaktifkan untuk sebuah project.
Dampak: Penagihan Dinonaktifkan BILLING_DISABLED_MULTIPLE_PROJECTS Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi kapan penagihan telah dinonaktifkan untuk beberapa project dalam organisasi dalam jangka waktu singkat.
Dampak: Blok Prioritas Tinggi Firewall VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat aturan firewall VPC yang memblokir semua traffic ditambahkan pada prioritas 0.
Dampak: Penghapusan Aturan Massal Firewall VPCUntuk sementara tidak tersedia VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit Logs:
Log audit Aktivitas Admin IAM

Mendeteksi penghapusan massal aturan firewall VPC oleh akun non-layanan.

Aturan ini sementara tidak tersedia. Untuk memantau pembaruan pada aturan firewall, gunakan log audit Cloud.

Dampak: Service API Dinonaktifkan SERVICE_API_DISABLED Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat API layanan Google Cloud dinonaktifkan di lingkungan produksi.
Dampak: Penskalaan Otomatis Grup Instance Terkelola Ditetapkan ke Maksimum MIG_AUTOSCALING_SET_TO_MAX Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi kapan grup instance terkelola dikonfigurasi untuk penskalaan otomatis maksimum.
Penemuan: Panggilan API Akun Layanan yang Tidak Sah UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit Logs:
Log audit Aktivitas Admin IAM
Mendeteksi saat akun layanan melakukan panggilan API lintas project yang tidak sah.
Penghindaran Pertahanan: Sesi Anonim Diberi Akses Admin Cluster ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit Logs:
Log Aktivitas Admin GKE
Mendeteksi pembuatan objek ClusterRoleBinding kontrol akses berbasis peran (RBAC) yang menambahkan perilaku root-cluster-admin-binding ke pengguna anonim.
Akses Awal: Resource GKE Anonim yang Dibuat dari Internet (Pratinjau) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Log Aktivitas Admin GKE
Mendeteksi peristiwa pembuatan resource dari pengguna internet yang efektif anonim.
Akses Awal: Resource GKE Diubah secara Anonim dari Internet (Pratinjau) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Log Aktivitas Admin GKE
Mendeteksi peristiwa manipulasi resource dari pengguna internet yang efektif anonim.
Eskalasi Hak Istimewa: Pengguna Anonim yang Efektif Diberi Akses Cluster GKE (Pratinjau) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit Logs:
Log Aktivitas Admin GKE

Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Pengguna dan grup ini secara efektif bersifat anonim dan harus dihindari saat membuat binding peran atau binding peran cluster ke peran RBAC apa pun. Tinjau binding untuk memastikan bahwa binding tersebut diperlukan. Jika binding tidak diperlukan, hapus.

Eksekusi: Exec atau Lampiran yang Mencurigakan ke Pod Sistem (Pratinjau) GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang menggunakan perintah exec atau attach untuk mendapatkan shell atau menjalankan perintah pada penampung yang berjalan di namespace kube-system. Metode ini terkadang digunakan untuk tujuan proses debug yang sah. Namun, namespace kube-system ditujukan untuk objek sistem yang dibuat oleh Kubernetes, dan eksekusi perintah atau pembuatan shell yang tidak terduga harus ditinjau.
Eskalasi Hak Istimewa: Workload yang Dibuat dengan Pemasangan Jalur Host Sensitif (Pratinjau) GKE_SENSITIVE_HOSTPATH Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang membuat beban kerja yang berisi pemasangan volume hostPath ke jalur sensitif di sistem file node host. Akses ke jalur ini di sistem file host dapat digunakan untuk mengakses informasi sensitif atau istimewa di node dan untuk escape penampung. Jika memungkinkan, jangan izinkan volume hostPath apa pun di cluster Anda.
Eskalasi Akses: Beban kerja dengan shareProcessNamespace diaktifkan (Pratinjau) GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang men-deploy workload dengan opsi shareProcessNamespace ditetapkan ke true, sehingga memungkinkan semua container berbagi namespace proses Linux yang sama. Hal ini dapat memungkinkan container yang tidak tepercaya atau disusupi untuk mengeskalasi hak istimewa dengan mengakses dan mengontrol variabel lingkungan, memori, dan data sensitif lainnya dari proses yang berjalan di container lain.
Eskalasi Hak Istimewa: ClusterRole dengan Kata Kerja Berhak Istimewa (Pratinjau) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang membuat ClusterRole RBAC yang berisi kata kerja bind, escalate, atau impersonate. Subjek yang terikat dengan peran dengan kata kerja ini dapat meniru identitas pengguna lain dengan hak istimewa yang lebih tinggi, terikat dengan Roles atau ClusterRoles tambahan yang berisi izin tambahan, atau mengubah izin ClusterRole mereka sendiri. Hal ini dapat menyebabkan subjek tersebut mendapatkan hak istimewa admin cluster.
Eskalasi Hak Istimewa: ClusterRoleBinding ke Peran Berhak Istimewa (Pratinjau) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang membuat ClusterRoleBinding RBAC yang mereferensikan system:controller:clusterrole-aggregation-controller ClusterRole default. ClusterRole default ini memiliki kata kerja escalate, yang memungkinkan subjek mengubah hak istimewa peran mereka sendiri, sehingga memungkinkan eskalasi hak istimewa.
Defense Evasion: Certificate Signing Request (CSR) yang Dihapus Secara Manual (Pratinjau) GKE_MANUALLY_DELETED_CSR Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR secara otomatis dihapus oleh pengontrol pengumpulan sampah, tetapi pelaku kejahatan mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus adalah untuk sertifikat yang disetujui dan diterbitkan, pelaku yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Kubernetes tidak mendukung pencabutan sertifikat.
Akses Kredensial: Gagal Mencoba Menyetujui Permintaan Penandatanganan Sertifikat Kubernetes (CSR) (Pratinjau) GKE_APPROVE_CSR_FORBIDDEN Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi.
Akses Kredensial: Permintaan Penandatanganan Sertifikat (CSR) Kubernetes yang Disetujui Secara Manual (Pratinjau) GKE_CSR_APPROVED Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi.
Eksekusi: Pod Kubernetes Dibuat dengan Argumen Reverse Shell Potensial (Pratinjau) GKE_REVERSE_SHELL_POD Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya dikaitkan dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk mengeksekusi perintah arbitrer.
Penghindaran Pertahanan: Potensi Penyamaran Pod Kubernetes (Pratinjau) GKE_POD_MASQUERADING Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan beban kerja default yang dibuat GKE untuk operasi cluster reguler. Teknik ini disebut penyamaran.
Eskalasi Hak Istimewa: Nama Penampung Kubernetes yang Mencurigakan - Eksploitasi dan Pelarian (Pratinjau) GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan alat umum yang digunakan untuk container escape atau untuk menjalankan serangan lain di cluster.
Dampak: Nama Penampung Kubernetes yang Mencurigakan - Penambangan Koin (Pratinjau) GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit Logs:
Log Aktivitas Admin GKE
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan penambang koin cryptocurrency umum. Hal ini mungkin merupakan upaya penyerang yang telah mendapatkan akses awal ke cluster untuk menggunakan resource cluster tersebut untuk penambangan mata uang kripto.

Modul kustom untuk Event Threat Detection

Selain aturan deteksi bawaan, Event Threat Detection menyediakan template modul yang dapat Anda gunakan untuk membuat aturan deteksi kustom. Untuk informasi selengkapnya, lihat Ringkasan modul kustom untuk Event Threat Detection.

Untuk membuat aturan deteksi yang tidak memiliki template modul kustom, Anda dapat mengekspor data log ke BigQuery, lalu menjalankan kueri SQL unik atau berulang yang menangkap model ancaman Anda.

Perubahan Google Grup yang tidak aman

Bagian ini menjelaskan cara Event Threat Detection menggunakan log Google Workspace, Cloud Audit Logs, dan kebijakan IAM untuk mendeteksi perubahan Google Grup yang tidak aman. Mendeteksi perubahan Google Grup hanya didukung jika Anda mengaktifkan Security Command Center di tingkat organisasi.

Pelanggan Google Cloud dapat menggunakan Google Grup untuk mengelola peran dan izin bagi anggota di organisasi mereka, atau menerapkan kebijakan akses ke kumpulan pengguna. Sebagai ganti memberikan peran secara langsung kepada anggota, administrator dapat memberikan peran dan izin ke Grup Google, lalu menambahkan anggota ke grup tertentu. Anggota grup mewarisi semua peran dan izin grup, yang memungkinkan anggota mengakses resource dan layanan tertentu.

Meskipun Google Grup adalah cara yang mudah untuk mengelola kontrol akses dalam skala besar, grup ini dapat menimbulkan risiko jika pengguna eksternal dari luar organisasi atau domain Anda ditambahkan ke grup berhak istimewa—grup yang diberi peran atau izin sensitif. Peran sensitif mengontrol akses ke setelan keamanan dan jaringan, log, serta informasi identitas pribadi (PII), dan tidak direkomendasikan untuk anggota grup eksternal.

Di organisasi besar, administrator mungkin tidak mengetahui saat anggota eksternal ditambahkan ke grup dengan hak istimewa. Log Audit Cloud mencatat pemberian peran ke grup, tetapi peristiwa log tersebut tidak berisi informasi tentang anggota grup, yang dapat menyembunyikan potensi dampak dari beberapa perubahan grup.

Jika Anda membagikan log Google Workspace ke Google Cloud, Event Threat Detection akan memantau aliran logging Anda untuk menemukan anggota baru yang ditambahkan ke Google Grup organisasi Anda. Karena log berada di level organisasi, Event Threat Detection hanya dapat memindai log Google Workspace saat Anda mengaktifkan Security Command Center di level organisasi. Event Threat Detection tidak dapat memindai log ini saat Anda mengaktifkan Security Command Center di level project.

Event Threat Detection mengidentifikasi anggota grup eksternal dan, menggunakan Cloud Audit Logs, meninjau setiap peran IAM grup yang terpengaruh untuk memeriksa apakah grup tersebut diberi peran sensitif. Informasi tersebut digunakan untuk mendeteksi perubahan tidak aman berikut untuk Google Grup dengan hak istimewa:

  • Anggota grup eksternal ditambahkan ke grup dengan hak istimewa
  • Peran atau izin sensitif yang diberikan ke grup dengan anggota grup eksternal
  • Grup dengan hak istimewa yang diubah untuk mengizinkan siapa saja di masyarakat umum untuk bergabung

Event Threat Detection menulis temuan ke Security Command Center. Temuan berisi alamat email anggota eksternal yang baru ditambahkan, anggota grup internal yang memulai peristiwa, nama grup, dan peran sensitif yang terkait dengan grup. Anda dapat menggunakan informasi tersebut untuk menghapus anggota eksternal dari grup atau mencabut peran sensitif yang diberikan kepada grup.

Untuk informasi selengkapnya tentang temuan Event Threat Detection, lihat Aturan Event Threat Detection.

Peran dan izin IAM sensitif

Bagian ini menjelaskan cara Event Threat Detection menentukan peran IAM sensitif. Deteksi seperti IAM Anomalous Grant dan perubahan Grup Google Tidak Aman hanya menghasilkan temuan jika perubahan melibatkan peran dengan sensitivitas tinggi atau sedang. Sensitivitas peran memengaruhi rating tingkat keparahan yang ditetapkan untuk temuan.

  • Peran dengan sensitivitas tinggi mengontrol layanan penting di organisasi, termasuk penagihan, setelan firewall, dan logging. Temuan yang cocok dengan peran ini diklasifikasikan sebagai tingkat keparahan Tinggi.
  • Peran dengan sensitivitas sedang memiliki izin pengeditan yang memungkinkan akun utama membuat perubahan pada resource Google Cloud; serta izin melihat dan menjalankan pada layanan penyimpanan data yang sering menyimpan data sensitif. Tingkat keparahan yang ditetapkan untuk temuan bergantung pada resource:
    • Jika peran dengan sensitivitas sedang diberikan di tingkat organisasi, temuan akan diklasifikasikan sebagai tingkat keparahan Tinggi.
    • Jika peran dengan sensitivitas sedang diberikan di tingkat yang lebih rendah dalam hierarki resource Anda (folder, project, dan bucket, antara lain), temuan akan diklasifikasikan sebagai tingkat keparahan Sedang.

Memberikan peran sensitif ini dianggap berbahaya jika penerima adalah Anggota Eksternal atau identitas abnormal, seperti akun utama yang telah tidak aktif selama waktu yang lama.

Memberikan peran sensitif kepada anggota eksternal dapat menimbulkan potensi ancaman karena peran tersebut dapat disalahgunakan untuk membahayakan akun dan memindahkan data secara tidak sah.

Menemukan kategori yang menggunakan peran sensitif ini meliputi:

  • Persistensi: Pemberian IAM Tidak Wajar
    • Subaturan: external_service_account_added_to_policy
    • Subaturan: external_member_added_to_policy
  • Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid
  • Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif

Menemukan kategori yang menggunakan subset peran sensitif meliputi:

  • Persistensi: Pemberian IAM Tidak Wajar
    • Subaturan: service_account_granted_sensitive_role_to_member

Subaturan service_account_granted_sensitive_role_to_member menargetkan anggota eksternal dan internal secara umum, sehingga hanya menggunakan sebagian peran sensitif, seperti yang dijelaskan dalam Aturan Deteksi Ancaman Peristiwa.

Kategori Peran Deskripsi
Peran dasar: berisi ribuan izin di seluruh layanan Google Cloud. roles/owner Peran dasar
roles/editor
Peran keamanan: mengontrol akses ke setelan keamanan roles/cloudkms.* Semua peran Cloud Key Management Service
roles/cloudsecurityscanner.* Semua peran Web Security Scanner
roles/dlp.* Semua peran Perlindungan Data Sensitif
roles/iam.* Semua peran IAM
roles/secretmanager.* Semua peran Secret Manager
roles/securitycenter.* Semua peran Security Command Center
Peran logging: mengontrol akses ke log organisasi roles/errorreporting.* Semua peran Error Reporting
roles/logging.* Semua peran Cloud Logging
roles/stackdriver.* Semua peran Cloud Monitoring
Peran informasi pribadi: mengontrol akses ke resource yang berisi informasi identitas pribadi, termasuk informasi perbankan dan kontak roles/billing.* Semua peran Penagihan Cloud
roles/healthcare.* Semua peran Cloud Healthcare API
roles/essentialcontacts.* Semua peran Kontak Penting
Peran jaringan: mengontrol akses ke setelan jaringan organisasi roles/dns.* Semua peran Cloud DNS
roles/domains.* Semua peran Cloud Domains
roles/networkconnectivity.* Semua peran Network Connectivity Center
roles/networkmanagement.* Semua peran Network Connectivity Center
roles/privateca.* Semua peran Certificate Authority Service
Peran layanan: mengontrol akses ke resource layanan di Google Cloud roles/cloudasset.* Semua peran Inventaris Aset Cloud
roles/servicedirectory.* Semua peran Direktori Layanan
roles/servicemanagement.* Semua peran Pengelolaan Layanan
roles/servicenetworking.* Semua peran Jaringan Layanan
roles/serviceusage.* Semua peran Penggunaan Layanan
Peran Compute Engine: mengontrol akses ke virtual machine Compute Engine, yang menjalankan tugas yang berjalan lama dan dikaitkan dengan aturan firewall

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Semua peran Admin dan Editor Compute Engine
Kategori Peran Deskripsi
Peran pengeditan: Peran IAM yang menyertakan izin untuk melakukan perubahan pada resource Google Cloud

Contoh:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Nama peran biasanya diakhiri dengan judul seperti Admin, Pemilik, Editor, atau Penulis.

Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang

Peran penyimpanan data: Peran IAM yang mencakup izin untuk melihat dan menjalankan layanan penyimpanan data

Contoh:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang
Semua peran dengan sensitivitas sedang

Access Approval

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Tindakan

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

Gateway API

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Otorisasi Biner

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Cloud Run Functions

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artifact Analysis

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Server Game

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Layanan Terkelola untuk Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops Config Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

Layanan Kebijakan Organisasi

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Peran lainnya

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Rekomendasi

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Pemberi Rekomendasi

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Setelan Resource

  • roles/resourcesettings.admin

Akses VPC Serverless

  • roles/vpcaccess.admin

Service Consumer Management

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench User Managed Notebooks

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Jenis log dan persyaratan aktivasi

Bagian ini mencantumkan log yang digunakan Event Threat Detection, beserta ancaman yang dicari Event Threat Detection di setiap log, dan tindakan yang perlu Anda lakukan untuk mengaktifkan setiap log.

Anda hanya perlu mengaktifkan log untuk Event Threat Detection jika semua hal berikut terpenuhi:

  • Anda menggunakan produk atau layanan yang menulis ke log.
  • Anda perlu melindungi produk atau layanan dari ancaman yang dideteksi Event Threat Detection dalam log.
  • Log ini adalah log audit akses data atau log lain yang nonaktif secara default.

Ancaman tertentu dapat dideteksi di beberapa log. Jika Event Threat Detection dapat mendeteksi ancaman dalam log yang sudah diaktifkan, Anda tidak perlu mengaktifkan log lain untuk mendeteksi ancaman yang sama.

Jika log tidak tercantum di bagian ini, Event Threat Detection tidak akan memindainya, meskipun diaktifkan. Untuk informasi selengkapnya, lihat Pemindaian log yang berpotensi redundan.

Seperti yang dijelaskan dalam tabel berikut, beberapa jenis log hanya tersedia di tingkat organisasi. Jika Anda mengaktifkan Security Command Center di level project, Event Threat Detection tidak akan memindai log ini dan tidak menghasilkan temuan apa pun.

Sumber log dasar

Event Threat Detection menggunakan sumber data dasar untuk mendeteksi aktivitas yang berpotensi berbahaya di jaringan Anda.

  • Jika Anda mengaktifkan Event Threat Detection tanpa Log Aliran VPC, Event Threat Detection akan segera mulai menganalisis aliran Log Aliran VPC yang independen, duplikat, dan internal. Untuk menyelidiki lebih lanjut temuan Event Threat Detection yang ada, Anda perlu mengaktifkan Log Aliran VPC dan membuka Logs Explorer dan Flow Analyzer secara manual. Jika Anda mengaktifkan Log Aliran VPC pada kemudian hari, hanya temuan mendatang yang akan berisi link yang relevan untuk penyelidikan lebih lanjut.

  • Jika Anda mengaktifkan Event Threat Detection dengan Log Aliran VPC, Event Threat Detection akan langsung mulai menganalisis Log Aliran VPC dalam deployment Anda dan memberikan link ke Logs Explorer dan Flow Analyzer untuk membantu Anda menyelidiki lebih lanjut.

Pemindaian log yang berpotensi redundan

Event Threat Detection dapat memberikan deteksi malware jaringan dengan memindai salah satu log berikut:

  • Logging Cloud DNS
  • Logging Cloud NAT
  • Firewall Rules Logging
  • VPC Flow Logs

Jika Anda sudah menggunakan logging Cloud DNS, Event Threat Detection dapat mendeteksi malware menggunakan resolusi domain. Untuk sebagian besar pengguna, log Cloud DNS sudah memadai untuk deteksi malware di jaringan.

Jika memerlukan tingkat visibilitas lain di luar resolusi domain, Anda dapat mengaktifkan Log Aliran VPC, tetapi Log Aliran VPC dapat menimbulkan biaya. Untuk mengelola biaya ini, sebaiknya tingkatkan interval agregasi menjadi 15 menit dan kurangi frekuensi sampel menjadi antara 5% dan 10%, tetapi ada kompromi antara recall (sampel yang lebih tinggi) dan pengelolaan biaya (frekuensi sampel yang lebih rendah). Untuk informasi selengkapnya, lihat Pengambilan sampel dan pemrosesan log.

Jika Anda sudah menggunakan Logging Aturan Firewall atau logging Cloud NAT, log ini berguna sebagai pengganti Log Aliran VPC.

Anda tidak perlu mengaktifkan lebih dari satu logging Cloud NAT, Logging Aturan Firewall, atau Log Aliran VPC.

Log yang perlu Anda aktifkan

Bagian ini mencantumkan log Cloud Logging dan Google Workspace yang dapat Anda aktifkan atau konfigurasikan untuk meningkatkan jumlah ancaman yang dapat dideteksi oleh Event Threat Detection.

Ancaman tertentu, seperti ancaman yang ditimbulkan oleh peniruan identitas atau delegasi akun layanan yang tidak wajar, dapat ditemukan di sebagian besar log audit. Untuk jenis ancaman ini, Anda menentukan log yang perlu diaktifkan berdasarkan produk dan layanan yang Anda gunakan.

Tabel berikut menunjukkan log tertentu yang perlu Anda aktifkan untuk ancaman yang dapat dideteksi hanya dalam jenis log tertentu.

Jenis log Ancaman terdeteksi Diperlukan konfigurasi
Penautan Cloud DNS

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

Mengaktifkan logging Cloud DNS
Logging Cloud NAT

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Mengaktifkan logging Cloud NAT
Firewall Rules Logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Aktifkan Firewall Rules Logging.
Log audit Akses Data Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Mengaktifkan log audit Akses Data Logging untuk GKE
Log Audit Admin Google Workspace

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Membagikan Log Audit Admin Google Workspace dengan Logging Cloud

Jenis log ini tidak dapat dipindai dalam aktivasi tingkat project.

Log Audit Login Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Membagikan log Audit Login Google Workspace dengan Cloud Logging

Jenis log ini tidak dapat dipindai dalam aktivasi tingkat project.

Log layanan backend Load Balancer Aplikasi Eksternal Initial Access: Log4j Compromise Attempt Mengaktifkan logging Load Balancer Aplikasi eksternal
Log audit Akses Data MySQL Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Mengaktifkan log audit Akses Data Logging untuk Cloud SQL untuk MySQL
Log audit Akses Data PostgreSQL Cloud SQL

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

Log audit Akses Data AlloyDB untuk PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

Log audit Akses Data IAM Discovery: Service Account Self-Investigation Mengaktifkan log audit Akses Data untuk Resource Manager
Log audit Akses Data SQL Server Exfiltration: Cloud SQL Data Exfiltration Mengaktifkan log audit Akses Data Logging untuk Cloud SQL untuk SQL Server
Log audit Akses Data Umum

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Aktifkan log audit Akses Data Logging.
authlogs/authlog di virtual machine Brute force SSH Instal Agen Operasional atau Agen logging lama di host VM Anda
VPC Flow Logs

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Mengaktifkan Log Aliran VPC

Log yang selalu aktif

Tabel berikut mencantumkan log Cloud Logging yang tidak perlu Anda aktifkan atau konfigurasikan. Log ini selalu aktif dan Event Threat Detection memindainya secara otomatis.

Jenis log Ancaman terdeteksi Diperlukan konfigurasi
Log Akses Data BigQueryAuditMetadata

Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery

Pemindahan Tidak Sah: Ekstraksi Data BigQuery

Pemindahan Tidak Sah: Data BigQuery ke Google Drive

Eksfiltrasi: Pindahkan ke resource BigQuery Publik (Pratinjau)

Tidak ada
Log audit Aktivitas Admin Google Kubernetes Engine (GKE)

Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif

Eskalasi Hak Istimewa: Pembuatan binding Kubernetes sensitif

Eskalasi Hak Istimewa: Peluncuran penampung Kubernetes dengan hak istimewa

Eskalasi Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master

Penghindaran Pertahanan: Sesi Anonim Diberi Akses Admin Cluster

Akses Awal: Resource GKE Anonim yang Dibuat dari Internet (Pratinjau)

Akses Awal: Resource GKE Diubah secara Anonim dari Internet (Pratinjau)

Eskalasi Hak Istimewa: Pengguna Anonim yang Efektif Diberi Akses Cluster GKE (Pratinjau)

Eksekusi: Exec atau Lampiran yang Mencurigakan ke Pod Sistem (Pratinjau)

Eskalasi Hak Istimewa: Workload yang Dibuat dengan Pemasangan Jalur Host sensitif (Pratinjau)

Eskalasi Akses: Beban kerja dengan shareProcessNamespace diaktifkan (Pratinjau)

Eskalasi Hak Istimewa: ClusterRole dengan Kata Kerja Berhak Istimewa (Pratinjau)

Eskalasi Hak Istimewa: ClusterRoleBinding ke Peran Berhak Istimewa (Pratinjau)

Defense Evasion: Permintaan Penandatanganan Sertifikat (CSR) yang Dihapus Secara Manual (Pratinjau)

Akses Kredensial: Gagal Mencoba Menyetujui Permintaan Penandatanganan Sertifikat Kubernetes (CSR) (Pratinjau)

Akses Kredensial: Permintaan Penandatanganan Sertifikat Kubernetes (CSR) yang Disetujui Secara Manual (Pratinjau)

Eksekusi: Pod Kubernetes Dibuat dengan Argumen Reverse Shell Potensial (Pratinjau)

Penghindaran Pertahanan: Potensi Penyamaran Pod Kubernetes (Pratinjau)

Eskalasi Hak Istimewa: Nama Penampung Kubernetes yang Mencurigakan - Eksploitasi dan Pelarian (Pratinjau)

Dampak: Nama Penampung Kubernetes yang Mencurigakan - Penambangan Koin (Pratinjau)

Tidak ada
Log audit Aktivitas Admin IAM

Akses Kredensial: Peran Sensitif Diberikan ke Grup Hybrid

Eskalasi Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif

Persistensi: Peran Peniruan Identitas Diberikan untuk Akun Layanan yang Tidak Aktif

Persistensi: Pemberian IAM Tidak Wajar (Pratinjau)

Persisten: Akun Tidak Terkelola Diberi Peran Sensitif

Tidak ada
Log Aktivitas Admin MySQL Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal Tidak ada
Log Aktivitas Admin PostgreSQL Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal Tidak ada
Log Aktivitas Admin SQL Server Eksfiltrasi: Memulihkan Cadangan Cloud SQL ke Organisasi Eksternal Tidak ada
Log audit Aktivitas Admin Umum

Akses Awal: Tindakan Akun Layanan yang Tidak Aktif>

Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat

Akses Awal: Tindakan Izin yang Ditolak Berlebihan

Akses Awal: Kunci Akun Layanan yang Dibocorkan Digunakan

Persistensi: Admin GCE Menambahkan Kunci SSH

Persistensi: Admin GCE Menambahkan Skrip Startup

Persistensi: Metode API Baru

Persistensi: Geografi Baru

Persistensi: Agen Pengguna Baru

Eskalasi Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin

Eskalasi Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin

Eskalasi Hak Istimewa: Peniruan Identitas Akun Layanan yang Tidak Normal untuk Aktivitas Admin

Lateral Movement: Boot Disk yang Diubah Dipasang ke Instance (Pratinjau)

Tidak ada
Log Audit Kontrol Layanan VPC Defense Evasion: Mengubah Kontrol Layanan VPC (Pratinjau) Tidak ada
Log audit Aktivitas Admin Cadangan dan DR

Penghancuran data: Pencadangan dan DR Google Cloud akan menghapus semua gambar

Menghambat pemulihan sistem: Kebijakan penghapusan Pencadangan dan DR Google Cloud

Menghambat pemulihan sistem: Template penghapusan Pencadangan dan DR Google Cloud

Menghambat pemulihan sistem: Pencadangan dan DR Google Cloud menghapus profil

Menghambat pemulihan sistem: Pencadangan dan DR Google Cloud menghapus kumpulan penyimpanan

Menghambat pemulihan sistem: host Pencadangan dan DR Google Cloud dihapus

Penghancuran data: Gambar masa berlaku Pencadangan dan DR Google Cloud berakhir

Penghancuran data: Pencadangan dan DR Google Cloud menghapus perangkat

Menghambat pemulihan sistem: Pencadangan dan DR Google Cloud menghapus rencana

Dampak: Pencadangan dan DR Google Cloud mengurangi masa berlaku pencadangan

Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan

Tidak ada

Langkah selanjutnya