Event Threat Detection の概要

Event Threat Detection とは

Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスで、組織またはプロジェクトを継続的にモニタリングし、システム内の脅威をほぼリアルタイムで特定します。Event Threat Detection は、新たな脅威をクラウド規模で特定するために、新しい検出項目で定期的に更新されます。

Event Threat Detection の仕組み

Event Threat Detection は、組織またはプロジェクトの Cloud Logging ストリームをモニタリングします。組織レベルで Security Command Center のプレミアム ティアを有効にすると、Event Threat Detection はプロジェクトが作成されたときにそのログを使用します。また、Event Threat Detection は Google Workspace ログをモニタリングできます。Cloud Logging には、リソースの構成やメタデータの作成、読み取り、変更を行う API 呼び出しやその他のアクションのログエントリが含まれます。Google Workspace ログは、ドメインへのユーザーのログインを追跡し、Google Workspace 管理コンソールで行われた操作の記録を提供します。

ログエントリには、Event Threat Detection で脅威を迅速に検出するために使用するステータスとイベントの情報が含まれます。Event Threat Detection は、検出ロジックと独自の脅威インテリジェンス(トリップワイヤ インジケーター マッチング、ウィンドウ処理のプロファイリング、高度なプロファイリング、機械学習、異常検出など)を適用して、ほぼリアルタイムで脅威を特定します。

Event Threat Detection は脅威を検出すると、検出結果を Security Command Center に書き込みます。組織レベルで Security Command Center プレミアム ティアを有効にすると、Security Command Center は Cloud Logging プロジェクトに検出結果を書き込むことができます。Cloud Logging と Google Workspace のロギングから、Pub/Sub を使用して検出結果を他のシステムにエクスポートし、Cloud Run Functions で処理できます。

組織レベルで Security Command Center のプレミアム ティアを有効にすると、さらに Google Security Operations を使用していくつかの検出結果を調査できます。Google SecOps は、脅威を調査し、統合されたタイムラインで関連するエンティティをピボット分析できる Google Cloud サービスです。検出結果を Google SecOps に送信する方法については、Google SecOps で検出結果を調査するをご覧ください。

検出結果とログを表示および編集できるかどうかは、付与されている Identity and Access Management(IAM)のロールによって決まります。Security Command Center IAM のロールの詳細については、アクセス制御をご覧ください。

Event Threat Detection のルール

ルールは、Event Threat Detection で検出する脅威の種類と、検出器が動作するために有効にする必要があるログの種類を定義します。管理アクティビティ監査ログは常に書き込まれます。構成または無効化することはできません。

Event Threat Detection には、以下のデフォルト ルールが含まれています。

表示名 API 名 ログソースのタイプ 説明
アクティブ スキャン: RCE に対して脆弱な Log4j 使用不可 Cloud DNS のログ サポートされている Log4j 脆弱性スキャナによって開始された難読化されていないドメインの DNS クエリを識別して、アクティブな Log4j の脆弱性を検出します。
システム復旧の抑制: Google Cloud バックアップと DR からのホストの削除 BACKUP_HOSTS_DELETE_HOST Cloud Audit Logs:
バックアップと DR サービスの管理アクティビティ監査ログ
バックアップと DR からホストが削除されました。削除されたホストに関連付けられているアプリケーションは保護されていない可能性があります。
データの破棄: Google Cloud バックアップと DR からのイメージの削除 BACKUP_EXPIRE_IMAGE Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
ユーザーがバックアップと DR からバックアップ イメージの削除をリクエストしました。バックアップ イメージを削除しても、将来のバックアップは防止されません。
システム復旧の抑制: Google Cloud バックアップと DR からのプランの削除 BACKUP_REMOVE_PLAN Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
アプリケーションの複数のポリシーを含むバックアップ プランがバックアップと DR から削除されました。バックアップ プランを削除すると、将来のバックアップが妨げられる可能性があります。
データの破棄: Google Cloud バックアップと DR からのすべてのイメージの削除 BACKUP_EXPIRE_IMAGES_ALL Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
ユーザーがバックアップと DR から、保護されたアプリケーションのすべてのバックアップ イメージを削除するようリクエストしました。バックアップ イメージを削除しても、将来のバックアップは防止されません。
システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除 BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
複数のアプリケーションのバックアップを設定するために使用される事前定義のバックアップ テンプレートが削除されました。今後、バックアップを設定する機能に影響する可能性があります。
システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除 BACKUP_TEMPLATES_DELETE_POLICY Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
バックアップの作成方法と保存場所を定義するバックアップと DR ポリシーは削除されました。このポリシーを使用する将来のバックアップは失敗する可能性があります。
システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除 BACKUP_PROFILES_DELETE_PROFILE Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
バックアップの保存に使用するストレージ プールを定義するバックアップと DR のプロファイルが削除されました。このプロファイルを使用する将来のバックアップは失敗する可能性があります。
データの破棄: Google Cloud バックアップと DR からのアプライアンスの削除 BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
バックアップと DR からバックアップ アプライアンスが削除されました。削除されたバックアップ アプライアンスに関連付けられているアプリケーションは保護されていない場合があります。
システム復旧の抑制: Google Cloud バックアップと DR からのストレージ プールの削除 BACKUP_STORAGE_POOLS_DELETE Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
Cloud Storage バケットをバックアップと DR に関連付けたストレージ プールがバックアップと DR から削除されました。このストレージ ターゲットへの今後のバックアップは失敗します。
影響: Google Cloud バックアップと DR により、バックアップの有効期限が短縮された BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
バックアップと DR で保護されているバックアップの有効期限が短縮されました。
影響: Google Cloud のバックアップと DR により、バックアップの頻度が低減した BACKUP_REDUCE_BACKUP_FREQUENCY Cloud Audit Logs:
バックアップと DR の管理アクティビティ監査ログ
バックアップと DR のバックアップ スケジュールが変更され、バックアップの頻度が低減しました。
ブルート フォース SSH BRUTE_FORCE_SSH authlog ホストに対するブルート フォース攻撃で SSH 認証に成功した試行の検出。
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Cloud IDS ログ

Cloud IDS によって検出された脅威イベント。

Cloud IDS は、ミラーリングされたパケットを分析してレイヤ 7 攻撃を検出し、脅威イベントが検出されると、脅威クラスの検出結果を Security Command Center に送信します。検出結果カテゴリ名は「Cloud IDS」で始まり、その後に Cloud IDS 脅威識別子が続きます。

Cloud IDS と Event Threat Detection の統合には、Cloud IDS の脆弱性検出は含まれません。

Cloud IDS の検出について詳しくは、 Cloud IDS のロギング情報をご覧ください。

認証情報アクセス: 特権グループに追加された外部メンバー EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace のログ:
ログイン監査
権限:
DATA_READ

外部のメンバーが特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)に追加されたイベントを検出します。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。

検出結果は、グループの変更に関連付けられたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

認証情報アクセス: 一般公開された特権グループ PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
管理監査
権限:
DATA_READ

特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)が一般公開に変更されているイベントを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。

検出結果は、グループの変更に関連付けられたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs:
IAM 管理アクティビティ監査ログ

外部メンバーを含む Google グループに機密性の高いロールが付与されたイベントを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。

検出結果は、グループの変更に関連付けられたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

防御回避: ブレークグラス ワークロードのデプロイの作成(プレビュー BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit Logs:
管理アクティビティ ログ
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、デプロイされるワークロードを検出します。
防御回避: ブレークグラス ワークロードのデプロイの更新(プレビュー BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit Logs:
管理アクティビティ ログ
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、ワークロードが更新されたタイミングを検出します。
防御回避: VPC Service Control の変更 DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud Audit Logs VPC Service Controls 監査ログ

保護能力の低下を招く、既存の VPC Service Controls の境界に対する変更を検出します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

検出: 機密性の高い Kubernetes オブジェクトのチェック GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs:
GKE データアクセス ログ

悪意のある行為者が kubectl auth can-i get コマンドを使用して、GKE 内で照会可能な機密オブジェクトを特定しようとしました。具体的には、このルールは、行為者が次のオブジェクトに対する API アクセスを確認したかどうかを検出します。

検出: サービス アカウントの自己調査 SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
IAM データアクセス監査ログ
権限:
DATA_READ

同じサービス アカウントに関連付けられたロールと権限の調査に使用される IAM サービス アカウント認証情報の検出。

機密性の高いロール

検出結果は、付与されたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

回避: 匿名化プロキシからのアクセス ANOMALOUS_ACCESS Cloud Audit Logs:
管理アクティビティ ログ
Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービス変更の検出。
データ漏洩: BigQuery データの漏洩 DATA_EXFILTRATION_BIG_QUERY Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ

次のシナリオを検出します。

  • コピー オペレーションや転送オペレーションを含む、組織外に保存された保護された組織が所有するリソース。

    このシナリオは、exfil_to_external_table のサブルールと HIGH の重大度で示されます。

  • VPC Service Controls で保護されている BigQuery リソースへのアクセスの試行。

    このシナリオは、vpc_perimeter_violation のサブルールと LOW の重大度で示されます。

データ漏洩: BigQuery データの抽出 DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ

次のシナリオを検出します。

  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織の外部にある Cloud Storage バケットに保存されている。
  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織が所有する一般公開の Cloud Storage バケットに保存されます。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

データ漏洩: Google ドライブへの BigQuery データ DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ

以下を検出します。

  • 保護された組織が所有する BigQuery リソースが、抽出オペレーションによって、Google ドライブ フォルダに保存されている。
データ漏洩: パブリック BigQuery リソースに移動 DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ

以下を検出します。

  • BigQuery リソースが、組織が所有する公開リソースに保存されます。
データ漏洩: Cloud SQL データの漏洩 CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud Audit Logs: MySQL データアクセス ログ
PostgreSQL データアクセス ログ
SQL Server データアクセス ログ

次のシナリオを検出します。

  • 組織外の Cloud Storage バケットにエクスポートされたライブ インスタンス データ。
  • 組織が所有し、一般公開される Cloud Storage バケットにエクスポートされたライブ インスタンス データ。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。

データ漏洩: Cloud SQL から外部組織へのバックアップの復元 CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs: MySQL 管理アクティビティ ログ
PostgreSQL 管理アクティビティ ログ
SQL Server 管理アクティビティ ログ

Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元されるイベントを検出します。

データの引き出し: Cloud SQL の過剰な権限付与 CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: PostgreSQL データアクセス ログ
: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。
Cloud SQL for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されたイベントを検出します。
初期アクセス: データベース スーパーユーザーによるユーザー テーブルへの書き込み CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Cloud SQL for PostgreSQL データアクセス ログ
Cloud SQL for MySQL データアクセス ログ
: このルールを使用するには、PostgreSQL の pgAudit 拡張機能、または MySQL のデータベース監査を有効にする必要があります。
Cloud SQL スーパーユーザー(PostgreSQL サーバーの場合は postgres、MySQL ユーザーの場合は root)がシステム以外のテーブルに書き込むイベントを検出します。
権限昇格: AlloyDB の過剰な権限付与 ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: AlloyDB for PostgreSQL のデータアクセス ログ
: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。
AlloyDB for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されたイベントを検出します。
権限昇格: AlloyDB データベース スーパーユーザーによるユーザー テーブルへの書き込み ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: AlloyDB for PostgreSQL データアクセス ログ
: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。
AlloyDB for PostgreSQL スーパーユーザー(postgres)がシステム以外のテーブルに書き込むイベントを検出します。
初期アクセス: 使われていないサービス アカウントに対するアクション DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs: 管理アクティビティ ログ 休止状態のユーザー管理サービス アカウントがアクションをトリガーしたイベントを検出します。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。
権限昇格: 使われていないサービス アカウントに対する機密性の高いロールの付与 DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs: IAM 管理アクティビティ監査ログ

休止状態の ユーザー管理サービス アカウントに 1 つ以上の機密性の高い IAM ロールが付与されたイベントを検出します。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。

機密性の高いロール

検出結果は、付与されたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

永続性: 休眠状態のサービス アカウントに対する権限借用ロールの付与 DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit Logs: IAM 管理アクティビティ監査ログ プリンシパルに休止状態のユーザー管理サービス アカウントの 権限を借用するための権限が付与されたイベントを検出します。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。
初期アクセス: 休眠状態のサービス アカウントに対するキーの作成 DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit Logs: 管理アクティビティ ログ 休止状態のユーザー管理サービス アカウントに対して鍵が作成されたイベントを検出します。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。
初期アクセス: 漏洩したサービス アカウント キーの使用 LEAKED_SA_KEY_USED Cloud Audit Logs: 管理アクティビティ ログ
データアクセス ログ
漏洩したサービス アカウント キーを使用してアクションを認証するイベントを検出します。ここで、漏洩したサービス アカウント キーは公共のインターネットに投稿されたものです。
初期アクセス: 過剰な権限の拒否アクション EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs: 管理アクティビティ ログ 複数のメソッドとサービス間で変更を試みたことでプリンシパルが権限拒否エラーを繰り返しトリガーするイベントを検出します。
防御への侵害: 強力な認証の無効化 ENFORCE_STRONG_AUTHENTICATION Google Workspace:
管理監査

組織で 2 段階認証プロセスが無効になりました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

防御への侵害: 2 段階認証プロセスの無効化 2SV_DISABLE Google Workspace のログ:
ログイン監査
権限:
DATA_READ

ユーザーが 2 段階認証プロセスを無効にしました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: アカウントの無効化(ハイジャック) ACCOUNT_DISABLED_HIJACKED Google Workspace のログ:
ログイン監査
権限:
DATA_READ

不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: 無効化(パスワードの漏洩) ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace のログ:
ログイン監査
権限:
DATA_READ

パスワード漏洩が検出されたため、ユーザーのアカウントが無効になっています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: 政府支援による攻撃 GOV_ATTACK_WARNING Google Workspace のログ:
ログイン監査
権限:
DATA_READ

政府の支援を受けた攻撃者がユーザー アカウントまたはパソコンの不正使用を試みた可能性があります。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: Log4j の悪用 使用不可 Cloud Load Balancing のログ:
Cloud HTTP ロードバランサ
: このルールを使用するには、外部アプリケーション ロードバランサのロギングを有効にする必要があります。

ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface(JNDI)のルックアップを検出します。このような検索は、Log4Shell の悪用の試みを示す可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用を試みるものであるため、重大度は「低」です。

このルールは常に有効になっています。

初期アクセス: 不審なログインのブロック SUSPICIOUS_LOGIN Google Workspace のログ:
ログイン監査
権限:
DATA_READ

ユーザーのアカウントへの不審なログインが検出され、ブロックされました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

Log4j マルウェア: 不正なドメイン LOG4J_BAD_DOMAIN Cloud DNS のログ Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく Log4j エクスプロイト トラフィックの検出。
Log4j マルウェア: 不正な IP LOG4J_BAD_IP VPC フローログ
ファイアウォール ルールのログ
Cloud NAT ログ
Log4j 攻撃で使用される既知の IP アドレスへの接続に基づく Log4j エクスプロイト トラフィックの検出。
マルウェア: 不正ドメイン MALWARE_BAD_DOMAIN Cloud DNS のログ 既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出。
マルウェア: 不正 IP MALWARE_BAD_IP VPC フローログ
ファイアウォール ルールのログ
Cloud NAT ログ
既知の不正な IP アドレスへの接続に基づくマルウェアの検出。
マルウェア: 不正ドメインの暗号化 CRYPTOMINING_POOL_DOMAIN Cloud DNS のログ 既知のマイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出。
マルウェア: 不正 IP の暗号化 CRYPTOMINING_POOL_IP VPC フローログ
ファイアウォール ルールのログ
Cloud NAT ログ
既知のマイニング IP アドレスへの接続に基づくクリプトマイニングの検出。
送信 DoSシャットダウン OUTGOING_DOS VPC フローログ 送信サービス拒否攻撃トラフィックの検出
永続性: GCE 管理者による SSH 認証鍵の追加 GCE_ADMIN_ADD_SSH_KEY Cloud Audit Logs:
Compute Engine 管理アクティビティ監査ログ
確立されたインスタンスの Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更の検出(1 週間以上前)。
永続性: GCE 管理者による起動スクリプトの追加 GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit Logs:
Compute Engine 管理アクティビティ監査ログ
確立されたインスタンスの Compute Engine インスタンス メタデータ起動スクリプトの値の変更の検出(1 週間以上前)。
永続性: IAM 異常付与 IAM_ANOMALOUS_GRANT Cloud Audit Logs:
IAM 管理アクティビティ監査ログ

この検出結果には、この検出結果の各インスタンスについてより具体的な情報を提供するサブルールが含まれています。

次のリストに、含まれる可能性のあるすべてのサブルールを示します。

  • external_service_account_added_to_policyexternal_member_added_to_policy: 組織のメンバーではない IAM ユーザーおよびサービス アカウントに付与された権限の検出、または Security Command Center がプロジェクト レベルのみで有効になっている場合はプロジェクト。

    : Security Command Center が任意の階層の組織レベルで有効になっている場合、この検出機能は組織の既存の IAM ポリシーをコンテキストとして使用します。Security Command Center の有効化がプロジェクト レベルでのみ行われている場合、検出機能はプロジェクトの IAM ポリシーのみをコンテキストとして使用します。

    外部メンバーへの機密性の高い IAM の付与があり、それに似た既存の IAM ポリシーが 3 つ未満の場合、検出機能によって検出結果が生成されます。

    機密性の高いロール

    検出結果は、付与されたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

  • external_member_invited_to_policy: InsertProjectOwnershipInvite API を介してプロジェクト オーナーとして外部メンバーが招待されると検出されます。
  • custom_role_given_sensitive_permissions: カスタムロールに setIAMPolicy 権限が追加されると検出されます。
  • service_account_granted_sensitive_role_to_member: サービス アカウントを介してメンバーに特権ロールが付与されると検出されます。このサブルールは、基本的な IAM ロールと特定のデータ ストレージ ロールのみを含む、機密性の高いロールのサブセットによってトリガーされます。詳細については、機密性の高い IAM のロールと権限をご覧ください。
  • policy_modified_by_default_compute_service_account: デフォルトの Compute Engine サービス アカウントを使用してプロジェクトの IAM 設定が変更されると検出されます。
永続性: 管理対象外のアカウントに付与される機密性の高いロール(プレビュー UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
管理対象外のアカウントに機密性の高いロールが付与されていることを検出します。
永続性: 新しい API メソッド
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs:
管理アクティビティ ログ
IAM サービス アカウントによる Google Cloud サービスの異常な使用の検出。
永続性: 新しい地域 IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
管理アクティビティ ログ

リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なるロケーションから Google Cloud にアクセスする IAM ユーザーとサービス アカウントを異常なロケーションから検出。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: 新しいユーザー エージェント IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs:
管理アクティビティ ログ

通常と異なるユーザー エージェントまたは不審なユーザー エージェントから Google Cloud にアクセスする IAM サービス アカウントの検出。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: SSO の有効化の切り替え TOGGLE_SSO_ENABLED Google Workspace:
管理監査

管理者アカウントで SSO(シングル サインオン)の有効化の設定が無効になりました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: 変更された SSO 設定 CHANGE_SSO_SETTINGS Google Workspace:
管理監査

管理者アカウントの SSO の設定が変更されました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用 ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit Logs:
管理アクティビティ ログ
管理アクティビティで異常な可能性のあるサービス アカウントの権限借用を検出します。
権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit Logs:
管理アクティビティ ログ
管理アクティビティで異常なマルチステップの 委任リクエストが見つかった場合に、検出します。
権限昇格: データアクセスに関する、異常なマルチステップ サービス アカウントの委任 ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
データアクセス ログ
データアクセス アクティビティで異常なマルチステップの 委任リクエストが見つかった場合に、検出します。
権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用 ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit Logs:
管理アクティビティ ログ
管理アクティビティで、委任チェーン内の異常な可能性のある呼び出し元/権限借用を検出します。
権限昇格: データアクセスに関する、サービス アカウントの異常な権限借用 ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs:
データアクセス ログ
データアクセス アクティビティで、委任チェーン内の異常な可能性のある呼び出し元/権限借用を検出します。
権限昇格: Kubernetes RBAC 機密オブジェクトの変更 GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
GKE 管理アクティビティ ログ
権限の昇格を目的として、悪意のある可能性がある行為者が PUT または PATCH のリクエストを使用して、機密性の高い cluster-admin ロールの ClusterRoleRoleBinding、または ClusterRoleBinding ロールベースのアクセス制御(RBAC)オブジェクトを変更しようとしました。
権限昇格: マスター証明書の Kubernetes CSR の作成 GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
GKE 管理アクティビティ ログ
悪意のある行為者が Kubernetes マスターの 証明書署名リクエスト(CSR)を作成し、 cluster-admin アクセス権が付与されました。
権限昇格: 機密性の高い Kubernetes バインディングの作成 GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
権限を昇格させるため、悪意のある可能性がある行為者が cluster-admin ロールに新しい RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成しようとしました。
権限昇格: 漏洩したブートストラップ認証情報を使用した Kubernetes CSR の取得 GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs:
GKE データアクセス ログ
悪意のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、 証明書署名リクエスト(CSR)をクエリしました。
権限昇格: Kubernetes 特権コンテナのリリース GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
GKE 管理アクティビティ ログ

悪意のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。

特権コンテナの privileged フィールドは true に設定されています。権限昇格機能を備えたコンテナの allowPrivilegeEscalation フィールドが true に設定されています。詳細については、Kubernetes ドキュメントの SecurityContext v1 core API リファレンスをご覧ください。

永続性: サービス アカウント キーが作成されました SERVICE_ACCOUNT_KEY_CREATION Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
サービス アカウント キーの作成を検出します。サービス アカウント キーは有効期間が長い認証情報であり、Google Cloud リソースへの不正アクセスのリスクが高まります。
権限昇格: グローバル シャットダウン スクリプトを追加 GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
グローバル シャットダウン スクリプトがプロジェクトに追加されたことを検出します。
永続性: グローバル起動スクリプトを追加 GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
プロジェクトにグローバル起動スクリプトが追加されたことを検出します。
防御回避: 組織レベルのサービス アカウント トークン作成者のロールを追加 ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
サービス アカウント トークン作成者の IAM ロールが組織レベルで付与されたときに検出します。
防御回避: プロジェクト レベルのサービス アカウント トークン作成者のロールを追加 PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
プロジェクト レベルで サービス アカウント トークン作成者の IAM ロールが付与されたときに検出します。
横方向への移動: サービス アカウントからの OS パッチの実行 OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud Audit Logs
IAM 管理アクティビティ監査ログ
サービス アカウントが、Compute Engine のパッチ機能を使用して、現在実行中の Compute Engine インスタンスのオペレーティング システムを更新しているときを検出します。
ラテラル ムーブメント: インスタンスに接続された変更されたブートディスク(プレビュー MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud Audit Logs:
Compute Engine の監査ログ
ブートディスクが 1 つの Compute Engine インスタンスから切断され、別のインスタンスに接続されるときを検出します。これは、変更されたブートディスクを使用してシステムの不正使用を試みた悪意のある試みを示している可能性があります。
認証情報アクセス: Kubernetes Namespace でアクセスされた Secret SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs:
GKE データアクセス ログ
現在の Kubernetes Namespace のサービス アカウントがシークレットまたはサービス アカウント トークンにアクセスするタイミングを検出します。
リソース開発: 不適切なセキュリティ ディストリビューション アクティビティ OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
既知の侵入テストまたは攻撃的なセキュリティ ディストリビューションによる Google Cloud リソースの操作が成功したことを検出します。
権限昇格: 新しいサービス アカウントはオーナーまたは編集者 SERVICE_ACCOUNT_EDITOR_OWNER Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
プロジェクトの編集者またはオーナーのロールを持つ新しいサービス アカウントが作成されたときに検出します。
調査: 情報収集ツールを使用 INFORMATION_GATHERING_TOOL_USED Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
脅威アクターによって使用されていることが知られているクラウド セキュリティ監査ツールである ScoutSuite の使用を検出します。
権限昇格: 不審なトークンの生成 SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
iam.serviceAccounts.implicitDelegation 権限が不正使用され、より高い権限を持つサービス アカウントからアクセス トークンが生成されたときに検出します。
権限昇格: 不審なトークンの生成 SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
サービス アカウントが serviceAccounts.signJwt メソッドを使用して別のサービス アカウントのアクセス トークンを生成したときに検出します。
権限昇格: 不審なトークンの生成 SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit Logs:
IAM 管理アクティビティ監査ログ

iam.serviceAccounts.getOpenIdToken IAM 権限のプロジェクト間の使用を検出します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

権限昇格: 不審なトークンの生成 SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit Logs:
IAM 管理アクティビティ監査ログ

iam.serviceAccounts.getAccessToken IAM 権限のプロジェクト間の使用を検出します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

権限昇格: 不審なクロス プロジェクト権限の使用 SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit Logs:
IAM 管理アクティビティ監査ログ

datafusion.instances.create IAM 権限のプロジェクト間の使用を検出します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

コマンドとコントロール: DNS トンネリング DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS のログ DNS トンネリング ツール Iodine Handshake を検出します。
防御回避: VPC ルート マスカレードの試行 VPC_ROUTE_MASQUERADE Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
Google Cloud のデフォルト ルートとして偽装された VPC ルートの手動作成を検出し、外部 IP アドレスへの下り(外向き)トラフィックを許可します。
影響: 課金を無効にします BILLING_DISABLED_SINGLE_PROJECT Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
プロジェクトの課金が無効になったことを検出します。
影響: 課金を無効にします BILLING_DISABLED_MULTIPLE_PROJECTS Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
組織内の複数のプロジェクトに対して、短期間に課金が無効にされたことを検出します。
影響: VPC ファイアウォールの高優先度ブロック VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
すべてのトラフィックをブロックする VPC ファイアウォール ルールが優先度 0 で追加されたときに検出します。
影響: VPC ファイアウォール ルールの一括削除一時的に利用不可 VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit Logs:
IAM 管理アクティビティ監査ログ

サービス以外のアカウントによる VPC ファイアウォール ルールの大量削除を検出します。

このルールは一時的に利用できません。ファイアウォール ルールの更新をモニタリングするには、Cloud Audit Logs を使用します。

影響: Service API が無効になりました SERVICE_API_DISABLED Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
本番環境で Google Cloud サービス API が無効になっていることを検出します。
影響: マネージド インスタンス グループの自動スケーリングを最大に設定 MIG_AUTOSCALING_SET_TO_MAX Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
最大自動スケーリング用にマネージド インスタンス グループが構成されていることを検出します。
検出: 未承認のサービス アカウント API 呼び出し UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit Logs:
IAM 管理アクティビティ監査ログ
サービス アカウントが不正なプロジェクト間 API 呼び出しを行った場合に検出します。
防御回避: 匿名セッションにクラスタ管理者権限が付与されている ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit Logs:
GKE 管理アクティビティ ログ
匿名ユーザーに root-cluster-admin-binding の動作を追加するロールベース アクセス制御(RBAC)ClusterRoleBinding オブジェクトの作成を検出します。
初期アクセス: インターネットから匿名で作成された GKE リソース(プレビュー GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
GKE 管理アクティビティ ログ
実質的に匿名のインターネット ユーザーによるリソース作成イベントを検出します。
初期アクセス: インターネットから匿名で変更された GKE リソース(プレビュー GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
GKE 管理アクティビティ ログ
実質的に匿名のインターネット ユーザーによるリソース操作イベントを検出します。
権限昇格: 事実上、匿名ユーザーに GKE クラスタへのアクセス権を付与(プレビュー GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit Logs:
GKE 管理アクティビティ ログ

誰かが、次のいずれかのユーザーまたはグループを参照する RBAC バインディングを作成しました。

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

これらのユーザーとグループは実質的に匿名であるため、RBAC ロールへのロール バインディングまたはクラスタロール バインディングを作成する場合は使用しないでください。バインディングが必要であることを確認します。バインディングが不要な場合は、削除します。

実行: 不審な実行またはシステム Pod へのアタッチ(プレビュー GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、exec コマンドまたは attach コマンドを使用して、シェルを取得した、または、kube-system Namespace で実行されているコンテナに対してコマンドを実行しました。これらの方法は、正当なデバッグ目的で使用されることがあります。ただし、kube-system Namespace は Kubernetes によって作成されたシステム オブジェクトを対象としており、予期しないコマンド実行やシェルの作成は確認する必要があります。
権限昇格: 機密性の高いホストパスのマウントを使用して作成されたワークロード(プレビュー GKE_SENSITIVE_HOSTPATH Cloud Audit Logs:
GKE 管理アクティビティ ログ
ホストノードのファイル システム上の機密性の高いパスに hostPath ボリューム マウントを含むワークロードが作成されました。ホスト ファイル システム上のこれらのパスへのアクセスは、ノード上の特権情報や機密情報へのアクセスや、コンテナ エスケープに使用できます。可能であれば、クラスタで hostPath ボリュームを許可しないでください。
権限昇格: shareProcessNamespace が有効なワークロード(プレビュー GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、shareProcessNamespace オプションを true に設定してワークロードをデプロイし、すべてのコンテナが同じ Linux プロセス名前空間を共有できるようにしました。これにより、信頼できないコンテナや不正使用されたコンテナが、他のコンテナで実行中のプロセスから環境変数、メモリ、その他の機密データにアクセスして制御することで、権限を昇格させるおそれがあります。
権限昇格: 特権動詞を含む ClusterRole(プレビュー GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud Audit Logs:
GKE 管理アクティビティ ログ
bindescalate、または impersonate 動詞を含む RBAC ClusterRole が作成されました。これらの動詞を使用してロールにバインドされたサブジェクトは、より高い権限を持つ他のユーザーの権限を借用したり、追加の権限を含む追加の Roles オブジェクトまたは ClusterRoles オブジェクトにバインドしたり、自身の ClusterRole 権限を変更したりできます。これにより、これらのサブジェクトがクラスタ管理者権限を取得する可能性があります。
権限昇格: 特権ロールへの ClusterRoleBinding(プレビュー GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、デフォルトの system:controller:clusterrole-aggregation-controller ClusterRole を参照する RBAC ClusterRoleBinding を作成しました。このデフォルトの ClusterRole には escalate 動詞があります。これにより、サブジェクトは自身のロールの権限を変更し、権限の昇格を許可できます。
防御回避: 手動で削除された証明書署名リクエスト(CSR)(プレビュー GKE_MANUALLY_DELETED_CSR Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、証明書署名リクエスト(CSR)を手動で削除しました。CSR はガベージ コレクション コントローラによって自動的に削除されますが、悪意のある行為者が検出を回避するために手動で削除する可能性があります。削除された CSR が承認され発行された証明書に対するものの場合、潜在的に悪意のある行為者は、クラスタにアクセスするための追加の認証方法を取得します。証明書に関連付けられている権限は、含まれるサブジェクトによって異なりますが、高度な権限が付与される場合があります。Kubernetes は証明書の取り消しをサポートしていません。
認証情報アクセス: Kubernetes 証明書署名リクエスト(CSR)の承認に失敗しました(プレビュー GKE_APPROVE_CSR_FORBIDDEN Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、手動で証明書署名リクエスト(CSR)を承認しようとしたが、操作が失敗しました。クラスタ認証用の証明書の作成は、攻撃者が侵害されたクラスタへの永続的なアクセスを作成する一般的な方法です。証明書に関連付けられている権限は、含まれるサブジェクトによって異なりますが、高度な権限を持つ場合があります。
認証情報アクセス: 手動で承認された Kubernetes 証明書署名リクエスト(CSR)(プレビュー GKE_CSR_APPROVED Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、証明書署名リクエスト(CSR)を手動で承認しました。クラスタ認証用の証明書の作成は、侵害されたクラスタへの永続的なアクセスを作成するために攻撃者が使用する一般的な方法です。証明書に関連付けられている権限は、含まれるサブジェクトによって異なりますが、高度な権限を持つ場合があります。
実行: リバースシェルを発生させる可能性がある引数を使用して作成された Kubernetes Pod(プレビュー GKE_REVERSE_SHELL_POD Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、一般的にリバースシェルに関連付けられているコマンドまたは引数を含む Pod を作成しました。攻撃者はリバース シェルを使用して、クラスタへの初期アクセスを拡大または維持し、任意のコマンドを実行します。
防御回避: Kubernetes Pod のマスカレーディングの可能性(プレビュー GKE_POD_MASQUERADING Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、通常のクラスタ オペレーションのために GKE が作成するデフォルトのワークロードと同様の命名規則で Pod をデプロイしました。この手法はマスカレーディングと呼ばれます。
権限昇格: 不審な Kubernetes コンテナ名 - エクスプロイトとエスケープ(プレビュー GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、コンテナ エスケープまたはクラスタに対して他の攻撃を実行するために使用される一般的なツールと同様の命名規則で Pod をデプロイしました。
影響: 不審な Kubernetes コンテナ名 - コイン マイニング(プレビュー GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit Logs:
GKE 管理アクティビティ ログ
誰かが、一般的な暗号通貨マイナーと同様の命名規則で Pod をデプロイしました。これは、クラスタへの最初のアクセスを取得した攻撃者が、クラスタのリソースを暗号通貨マイニングに使用しようとしている可能性があります。

Event Threat Detection 用のカスタム モジュール

Event Threat Detection には、組み込みの検出ルールに加えて、カスタム検出ルールの作成に使用できるモジュール テンプレートが用意されています。詳細については、Event Threat Detection のカスタム モジュールの概要をご覧ください。

カスタム モジュール テンプレートが使用できない検出ルールを作成するには、ログデータを BigQuery にエクスポートしてから、脅威モデルをキャプチャする一意の SQL クエリまたは繰り返しの SQL クエリを実行します。

安全ではない Google グループの変更

このセクションでは、Event Threat Detection で Google Workspace のログ、Cloud Audit Logs、IAM ポリシーを使用して、安全でない Google グループの変更を検出する方法について説明します。Google グループの変更の検出は、組織レベルで Security Command Center を有効にした場合にのみサポートされます。

Google Cloud のお客様は、Google グループを使用して組織内のメンバーのロールと権限を管理し、ユーザーのコレクションにアクセス ポリシーを適用できます。ロールをメンバーに直接付与する代わりに、管理者は Google グループにロールと権限を付与し、そのメンバーを特定のグループに追加できます。グループ メンバーは、グループのすべてのロールと権限を継承します。これにより、メンバーは特定のリソースとサービスにアクセスできます。

Google グループはアクセス制御を大規模に管理するのに便利ですが、組織やドメイン外の外部ユーザーが特権グループ(機密性の高いロールまたは権限が付与されているグループ)に追加されている場合、リスクが発生する可能性があります。機密性の高いロールはセキュリティとネットワークの設定、ログ、個人を特定できる情報(PII)へのアクセスを制御するため、外部グループのメンバーにはおすすめしません。

大規模な組織では、外部のメンバーが特権グループに追加されたことを管理者が認識しない可能性があります。Cloud Audit Logs はグループへのロール付与を記録しますが、これらのログイベントにはグループ メンバーに関する情報が含まれていないため、一部のグループの変更による影響の可能性が不明瞭になる可能性があります。

Google Cloud と Google Workspace のログを共有している場合、Event Threat Detection は組織の Google グループに追加された新しいメンバーのロギング ストリームをモニタリングします。ログは組織レベルで作成されるため、組織レベルで Security Command Center を有効にした場合にのみ、Event Threat Detection は Google Workspace のログをスキャンできます。プロジェクト レベルで Security Command Center を有効にすると、Event Threat Detection はこのログをスキャンできません。

Event Threat Detection は外部グループ メンバーを識別します。Cloud Audit Logs を使用して、影響を受ける各グループの IAM ロールを確認し、そのグループに機密ロールが付与されているかどうかを確認します。この情報は、特権 Google グループへの安全でない変更を検出するために使用されます。

  • 特権グループに追加された外部のグループ メンバー
  • 外部のグループ メンバーを含むグループに付与される機密ロールまたは権限
  • 一般ユーザーが誰でも参加できるように変更された特権グループ

Event Threat Detection は検出結果を Security Command Center に書き込みます。検出結果には、新しく追加された外部メンバー、イベントを開始した内部グループ メンバー、グループ名、グループに関連付けられた機密性の高いロールのメールアドレスが含まれます。この情報を使用して、グループから外部メンバーを削除することや、グループに付与されている機密性の高いロールを取り消すことが可能になります。

Event Threat Detection の検出結果の詳細については、Event Threat Detection のルールをご覧ください。

機密性の高い IAM のロールと権限

このセクションでは、Event Threat Detection での機密性の高い IAM ロールの定義について説明します。IAM 異常付与や安全でない Google グループの変更などの検出では、変更に機密性が高いロールまたは中程度のロールが含まれる場合にのみ、検出結果が生成されます。ロールの機密性は、検出結果に割り当てられた重大度に影響します。

  • 機密性が高いロールは、課金、ファイアウォール設定、ロギングなど、組織における重要なサービスを制御します。これらのロールに一致する検出結果は、重大度に分類されます。
  • 機密性が中程度のロールには、プリンシパルが Google Cloud リソースに変更を加えるための編集権限があります。また、機密データを保持するデータ ストレージ サービスに関する権限の表示と実行も可能です。検出結果に割り当てられる重大度は、リソースによって異なります。
    • 中程度の機密性のロールが組織レベルで付与されている場合、検出結果は重大度に分類されます。
    • 中程度の機密性のロールがリソース階層の下位レベル(フォルダ、プロジェクト、バケットなど)で付与されている場合、検出結果は中程度の重大度に分類されます。

付与するユーザーが外部メンバーか異常な ID(長期間アクティブでないプリンシパルなど)である場合、これらの機密性の高いロールを付与することは危険と見なされます。

機密性の高いロールを外部メンバーに付与すると、アカウントの不正使用やデータの引き出しに悪用される可能性があります。

これらの機密性の高いロールを使用するカテゴリには、次のようなものがあります。

  • 永続性: IAM 異常付与
    • サブルール: external_service_account_added_to_policy
    • サブルール: external_member_added_to_policy
  • 認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール
  • 権限昇格: 使われていないサービス アカウントに対する機密性の高いロールの付与

機密性の高いロールのサブセットを使用するカテゴリには、次のようなものがあります。

  • 永続性: IAM 異常付与
    • サブルール: service_account_granted_sensitive_role_to_member

service_account_granted_sensitive_role_to_member サブルールは外部メンバーと内部メンバーの両方全般を対象としているため、Event Threat Detection のルールで説明されているように、機密性の高いロールのサブセットのみを使用します。

カテゴリ ロール 説明
基本ロール: すべての Google Cloud サービスにかかわる何千もの権限が含まれます。 roles/owner 基本ロール
roles/editor
セキュリティ ロール: セキュリティ設定へのアクセスを制御します。 roles/cloudkms.* すべての Cloud Key Management Service のロール
roles/cloudsecurityscanner.* すべての Web Security Scanner のロール
roles/dlp.* すべての機密データ保護のロール
roles/iam.* すべての IAM ロール
roles/secretmanager.* すべての Secret Manager のロール
roles/securitycenter.* すべての Security Command Center のロール
Logging のロール: 組織のログへのアクセスを制御します。 roles/errorreporting.* すべての Error Reporting のロール
roles/logging.* すべての Cloud Logging のロール
roles/stackdriver.* すべての Cloud Monitoring のロール
個人情報のロール: 銀行や連絡先情報など、個人を特定できる情報を含むリソースへのアクセスを制御します。 roles/billing.* すべての Cloud Billing のロール
roles/healthcare.* すべての Cloud Healthcare API のロール
roles/essentialcontacts.* すべての 重要な連絡先のロール
ネットワーキングのロール: 組織のネットワーク設定へのアクセスを制御します。 roles/dns.* すべての Cloud DNS のロール
roles/domains.* すべての Cloud Domains のロール
roles/networkconnectivity.* すべての Network Connectivity Center のロール
roles/networkmanagement.* すべての Network Connectivity Center のロール
roles/privateca.* すべての Certificate Authority Service のロール
サービスのロール: Google Cloud のサービス リソースへのアクセスを制御します。 roles/cloudasset.* すべての Cloud Asset Inventory のロール
roles/servicedirectory.* すべての Service Directory のロール
roles/servicemanagement.* すべての Service Management のロール
roles/servicenetworking.* すべての Service Networking のロール
roles/serviceusage.* すべての Service Usage のロール
Compute Engine のロール: 長時間実行ジョブを実行し、ファイアウォール ルールに関連付けられている Compute Engine 仮想マシンへのアクセスを制御します。

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

すべての Compute Engine管理者編集者のロール
カテゴリ ロール 説明
編集ロール: Google Cloud リソースに変更を加える権限を含む IAM ロール

例:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

ロール名は通常、管理者オーナー編集者ライターなどのタイトルで終わります。

テーブルの最後の行でノードを展開すると、 すべての機密性が中程度のロールが表示されます

データ ストレージのロール: データ ストレージ サービスを表示して実行する権限を含む IAM ロール

例:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

テーブルの最後の行でノードを展開すると、すべての機密性が中程度のロールが表示されます
すべての機密性が中程度のロール

アクセス承認

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

アクション

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Binary Authorization

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminベータ版

Cloud Run 関数

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artifact Analysis

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

ゲーム サーバー

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops Config Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

組織ポリシー サービス

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

その他のロール

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

proximiy beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

推奨事項

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Recommender

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

リソースの設定

  • roles/resourcesettings.admin

サーバーレス VPC アクセス

  • roles/vpcaccess.admin

Service Consumer Management

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench ユーザー管理ノートブック

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

ログのタイプと有効化の要件

このセクションでは、Event Threat Detection が使用するログと、Event Threat Detection が各ログで検索する脅威、各ログを有効にするために必要な操作について説明します。

次の条件をすべて満たす場合にのみ、Event Threat Detection のログを有効にする必要があります。

  • ログに書き込むプロダクトまたはサービスを使用している。
  • Event Threat Detection がログで検出する脅威からプロダクトまたはサービスを保護する必要がある。
  • ログがデータアクセス監査ログか、デフォルトで有効になっている他のログである。

特定の脅威が複数のログで検出される場合があります。Event Threat Detection が、すでに有効になっているログ内の脅威を検出できる場合、同じ脅威を検出するために別のログを有効にする必要はありません。

このセクションにないログの場合、ログが有効になっても、Event Threat Detection はスキャンを実行しません。詳細については、冗長になる可能性のあるログスキャンをご覧ください。

次の表で説明されているように、一部のログタイプは組織レベルでのみ使用できます。プロジェクト レベルで Security Command Center を有効にすると、Event Threat Detection はこれらのログをスキャンせず、検出結果も生成しません。

基本的なログソース

Event Threat Detection は、基盤となるデータソースを使用して、ネットワーク内の悪意のあるアクティビティを検出します。

  • VPC フローログを使用せずに Event Threat Detection を有効にすると、Event Threat Detection は、VPC フローログの独立した重複する内部ストリームの分析をすぐに開始します。既存の Event Threat Detection の検出結果をさらに調査するには、VPC フローログを有効にして、Logs Explorer と Flow Analyzer に手動で移動する必要があります。VPC フローログを後で有効にした場合、今後検出された結果にのみ、詳細な調査に役立つリンクが含まれます。

  • VPC フローログで Event Threat Detection を有効にすると、Event Threat Detection はデプロイメント内の VPC フローログの分析をすぐに開始し、詳細な調査に役立つログ エクスプローラと Flow Analyzer へのリンクを提供します。

冗長になる可能性のあるログスキャン

Event Threat Detection は、次のいずれかのログをスキャンして、マルウェアのネットワーク検出を行います。

  • Cloud DNS ロギング
  • Cloud NAT ロギング
  • ファイアウォール ルールのロギング
  • VPC フローログ

すでに Cloud DNS ロギングを使用している場合、Event Threat Detection はドメイン解決を使用してマルウェアを検出できます。ほとんどの場合、ネットワークでのマルウェア検出には Cloud DNS ログで十分です。

ドメイン解決以上の別のレベルの可視性が必要な場合は、VPC フローログを有効にできますが、VPC フローログにより費用が発生する可能性があります。このような費用を管理するには、集計間隔を 15 分に増やし、サンプルレートを 5 ~ 10% に減らすことをおすすめしますが、再現率(高いサンプルレート)とコスト管理(低いサンプルレート)にはトレードオフがあります。詳細については、ログのサンプリングと処理をご覧ください。

すでにファイアウォール ルール ロギングや Cloud NAT ロギングを使用している場合、これらのログは VPC フローログの代わりに有用です。

複数の Cloud NAT ロギング、ファイアウォール ルール ロギング、VPC フローログを有効にする必要はありません。

有効にする必要があるログ

このセクションでは、Event Threat Detection で検出できる脅威の数を増やすために、有効化またはその他の方法で構成できる Cloud Logging と Google Workspace のログを示します。

異常な権限借用やサービス アカウントの委任による脅威など、特定の脅威はほとんどの監査ログで確認できます。このような脅威では、使用するプロダクトやサービスに応じて有効にするログを決定します。

次の表に、特定のログタイプでのみ検出可能な脅威に対して有効にする必要があるログを示します。

ログタイプ 検出される脅威 設定が必要です
Cloud DNS ロギング

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

Cloud DNS ロギングを有効にする
Cloud NAT ロギング

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Cloud NAT ロギングを有効にする
ファイアウォール ルールのロギング

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

ファイアウォール ルール ロギングを有効にします。
Google Kubernetes Engine(GKE)のデータアクセス監査ログ

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

GKE の Logging データアクセス監査ログを有効にする
Google Workspace 管理者監査ログ

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Google Workspace 管理者監査ログを Cloud Logging と共有する

プロジェクト レベルで有効にしている場合、このログタイプはスキャンされません。

Google Workspace ログイン監査ログ

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Google Workspace ログイン監査ログを Cloud Logging と共有する

プロジェクト レベルで有効にしている場合、このログタイプはスキャンされません。

外部アプリケーション ロードバランサのバックエンド サービス ログ Initial Access: Log4j Compromise Attempt 外部アプリケーション ロードバランサのロギングを有効にする
Cloud SQL MySQL のデータアクセス監査ログ Exfiltration: Cloud SQL Data Exfiltration Cloud SQL for MySQL の Logging データアクセス監査ログを有効にする
Cloud SQL PostgreSQL のデータアクセス監査ログ

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

AlloyDB for PostgreSQL のデータアクセス監査ログ

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

IAM データアクセス監査ログ Discovery: Service Account Self-Investigation Logging のデータアクセス監査ログを有効にする
SQL Server データアクセス監査ログ Exfiltration: Cloud SQL Data Exfiltration Cloud SQL for SQL Server の Logging データアクセス監査ログを有効にする
一般的なデータアクセス監査ログ

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Logging のデータアクセス監査ログを有効にする
仮想マシン上の authlogs/authlog Brute force SSH VM ホストに Ops エージェントまたは以前の Logging エージェントをインストールする
VPC フローログ

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

VPC フローログを有効にする

常に有効なログ

次の表に、有効にする必要も、構成する必要もない Cloud Logging のログを示します。これらのログは常に有効になっており、Event Threat Detection によって自動的にスキャンされます。

ログタイプ 検出される脅威 設定が必要です
BigQueryAuditMetadata データアクセス ログ

データ漏洩: BigQuery データの漏洩

データ漏洩: BigQuery データの抽出

データ漏洩: Google ドライブへの BigQuery データ

データ漏洩: 一般公開 BigQuery リソースへの移動(プレビュー

なし
Google Kubernetes Engine(GKE)管理アクティビティ監査ログ

権限昇格: Kubernetes RBAC 機密オブジェクトの変更

権限昇格: 機密性の高い Kubernetes バインディングの作成

権限昇格: Kubernetes 特権コンテナのリリース

権限昇格: マスター証明書の Kubernetes CSR の作成

防御回避: 匿名セッションにクラスタ管理者権限が付与されている

初期アクセス: インターネットから匿名で作成された GKE リソース(プレビュー

初期アクセス: インターネットから匿名で変更された GKE リソース(プレビュー

権限昇格: 事実上、匿名ユーザーに GKE クラスタへのアクセス権を付与(プレビュー

実行: 不審な実行またはシステム Pod へのアタッチ(プレビュー

権限昇格: 機密性の高いホストパスのマウントを使用して作成されたワークロード(プレビュー

権限昇格: shareProcessNamespace が有効なワークロード(プレビュー

権限昇格: 特権動詞を含む ClusterRole(プレビュー

権限昇格: 特権ロールへの ClusterRoleBinding(プレビュー

防御回避: 手動で削除された証明書署名リクエスト(CSR)(プレビュー

認証情報アクセス: Kubernetes 証明書署名リクエスト(CSR)の承認に失敗しました(プレビュー

認証情報アクセス: 手動で承認された Kubernetes 証明書署名リクエスト(CSR)(プレビュー

実行: リバースシェルを発生させる可能性がある引数を使用して作成された Kubernetes Pod(プレビュー

防御回避: Kubernetes Pod のマスカレーディングの可能性(プレビュー

権限昇格: 不審な Kubernetes コンテナ名 - エクスプロイトとエスケープ(プレビュー

影響: 不審な Kubernetes コンテナ名 - コイン マイニング(プレビュー

なし
IAM 管理アクティビティ監査ログ

認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール

権限昇格: 休眠状態のサービス アカウントに対する機密性の高いロールの付与

永続性: 休眠状態のサービス アカウントに対する権限借用ロールの付与

永続性: IAM 異常付与(プレビュー

永続性: 管理対象外のアカウントに機密性の高いロールが付与されている

なし
MySQL 管理アクティビティ ログ データ漏洩: Cloud SQL から外部組織へのバックアップの復元 なし
PostgreSQL 管理アクティビティ ログ データ漏洩: Cloud SQL から外部組織へのバックアップの復元 なし
SQL Server の管理アクティビティ ログ データ漏洩: Cloud SQL から外部組織へのバックアップの復元 なし
一般的な管理アクティビティ監査ログ

初期アクセス: 使われていないサービス アカウントに対するアクション>

初期アクセス: 休眠状態のサービス アカウントに対するキーの作成

初期アクセス: 過剰な権限の拒否アクション

初期アクセス: 漏洩したサービス アカウント キーの使用

永続性: GCE 管理者による SSH 認証鍵の追加

永続性: GCE 管理者による起動スクリプトの追加

永続性: 新しい API メソッド

永続性: 新しい地域

永続性: 新しいユーザー エージェント

権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用

権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任

権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用

ラテラル ムーブメント: インスタンスに接続された変更されたブートディスク(プレビュー

なし
VPC Service Controls 監査ログ 防御回避: VPC Service Control の変更(プレビュー なし
バックアップと DR の管理アクティビティ監査ログ

データの破棄: Google Cloud バックアップと DR からのすべてのイメージの削除

システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除

システム復旧の抑制: Google Cloud バックアップと DR からのテンプレートの削除

システム復旧の抑制: Google Cloud バックアップと DR からのプロファイルの削除

システム復旧の抑制: Google Cloud バックアップと DR からのストレージ プールの削除

システム復旧の抑制: Google Cloud バックアップと DR からのホストの削除

データの破棄: Google Cloud バックアップと DR からのイメージの削除

データの破棄: Google Cloud バックアップと DR からのアプライアンスの削除

システム復旧の抑制: Google Cloud バックアップと DR からのプランの削除

影響: Google Cloud バックアップと DR により、バックアップの有効期限が短縮された

影響: Google Cloud バックアップと DR により、バックアップの頻度が低減した

なし

次のステップ