Übersicht über Event Threat Detection

Was ist Event Threat Detection?

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation oder Projekte kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.

Funktionsweise von Event Threat Detection

Event Threat Detection überwacht den Cloud Logging-Stream für Ihre Organisation oder Projekte. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, werden Logs für Ihre Projekte von Event Threat Detection genutzt, sobald sie erstellt werden. Außerdem können Google Workspace-Logs von Event Threat Detection überwacht werden. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.

Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.

Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Mit Cloud Logging und Google Workspace-Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Run-Funktionen verarbeiten.

Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können Sie zusätzlich Google Security Operations verwenden, um einige Ergebnisse zu untersuchen. Google SecOps ist ein Google Cloud -Dienst, mit dem Sie Bedrohungen untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können. Eine Anleitung zum Senden von Ergebnissen an Google SecOps finden Sie unter Ergebnisse in Google SecOps untersuchen.

Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Event Threat Detection-Regeln

Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.

Derzeit umfasst Event Threat Detection folgende Standardregeln:

Anzeigename API-Name Logquelltypen Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE Nicht verfügbar Cloud DNS-Logs Scanner für Log4j-Sicherheitslücken haben DNS-Abfragen für nicht verschleierte Domains initiiert und identifiziert. Diese Sicherheitslücke kann zur Remote-Codeausführung (Remote Code Execution, RCE) führen. Ergebnisse werden standardmäßig als Hoch eingestuft.
Auswirkung: Gelöschter Google Cloud Backup and DR-Host BACKUP_HOSTS_DELETE_HOST Cloud-Audit-Logs:
Backup and DR Service Admin Activity-Audit-Logs 		Ein Host wurde aus der Backup & DR-Verwaltungskonsole gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Google Cloud Backup and DR, Image ablaufen lassen BACKUP_EXPIRE_IMAGE Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Nutzer hat das Löschen eines Sicherungs-Images aus der Backup & DR-Verwaltungskonsole angefordert. Das Löschen eines Reservebilds verhindert nicht, dass zukünftige Back-ups erstellt werden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Auswirkung: Google Cloud Backup & DR – Plan entfernen BACKUP_REMOVE_PLAN Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus Backup & DR gelöscht. Das Löschen eines Sicherungsplans kann verhindern, dass zukünftige Sicherungen erstellt werden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Auswirkung: Alle Images in Google Cloud Backup & DR laufen ab BACKUP_EXPIRE_IMAGES_ALL Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Nutzer hat in der Backup- und DR-Verwaltungskonsole das Löschen aller Sicherungsbilder für eine geschützte Anwendung angefordert. Durch das Löschen von Reservebildern werden zukünftige Back-ups nicht verhindert. Ergebnisse werden standardmäßig als Hoch eingestuft.
Auswirkungen: Google Cloud Backup & DR, Vorlage löschen BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde aus der Backup & DR-Verwaltungskonsole gelöscht. Möglicherweise können Sie in Zukunft keine Back-ups mehr einrichten. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Auswirkungen: Google Cloud Backup and DR delete policy BACKUP_TEMPLATES_DELETE_POLICY Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Eine Richtlinie für Sicherung und Notfallwiederherstellung, die definiert, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde aus der Verwaltungskonsole für Sicherung und Notfallwiederherstellung gelöscht. Künftige Sicherungen, für die die Richtlinie verwendet wird, schlagen möglicherweise fehl. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkungen: Google Cloud Backup & DR, Profil löschen BACKUP_PROFILES_DELETE_PROFILE Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Backup- und DR-Profil, in dem festgelegt ist, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde aus der Backup- und DR-Verwaltungskonsole gelöscht. Zukünftige Sicherungen, die das Profil verwenden, schlagen möglicherweise fehl. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkungen: Google Cloud-Sicherung und ‑Notfallwiederherstellung, Appliance entfernen BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Eine Sicherungs-Appliance wurde aus der Backup & DR-Verwaltungskonsole gelöscht. Anwendungen, die mit dem gelöschten Sicherungsgerät verknüpft sind, sind möglicherweise nicht geschützt. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Auswirkungen: Google Cloud Backup & DR, Speicherpool löschen BACKUP_STORAGE_POOLS_DELETE Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Speicherpool, der einen Cloud Storage-Bucket mit Backup and DR verknüpft, wurde aus der Backup and DR-Verwaltungskonsole entfernt. Zukünftige Sicherungen auf diesem Speicherziel schlagen fehl. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Verkürzter Ablauf von Sicherungen in Google Cloud Backup & DR BACKUP_REDUCE_BACKUP_EXPIRATION Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Das Ablaufdatum einer Sicherung, die durch Backup und DR geschützt ist, wurde über die Backup- und DR-Verwaltungskonsole verkürzt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkungen: Google Cloud Backup & DR – Häufigkeit von Sicherungen verringert BACKUP_REDUCE_BACKUP_FREQUENCY Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Der Backup-Zeitplan für Sicherung und Notfallwiederherstellung wurde über die Verwaltungskonsole für Sicherung und Notfallwiederherstellung geändert, um die Häufigkeit von Sicherungen zu verringern. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkungen: Gelöschter Google Cloud Backup and DR-Vault BACKUP_DELETE_VAULT Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Backup Vault wurde gelöscht. Ergebnisse werden standardmäßig als Hoch eingestuft.
Auswirkung: Gelöschte Google Cloud Backup & DR-Sicherung BACKUP_DELETE_VAULT_BACKUP Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Eine in einem Backup Vault gespeicherte Sicherung wurde manuell gelöscht. Ergebnisse werden standardmäßig als Hoch eingestuft.
Auswirkung: Verknüpfung des Google Cloud Backup & DR-Plans gelöscht BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION Cloud-Audit-Logs:
Backup and DR Admin Activity-Audit-Logs 		Ein Sicherungsplan aus Backup and DR wurde aus einer Arbeitslast entfernt. Ergebnisse werden standardmäßig als Hoch eingestuft.
Brute-Force-SSH BRUTE_FORCE_SSH authlog Ein Akteur hat sich über Brute-Force-Techniken erfolgreich SSH-Zugriff auf einen Host verschafft. Ergebnisse werden standardmäßig als Hoch eingestuft.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Cloud IDS-Logs

Cloud IDS hat Bedrohungsereignisse erkannt.

Cloud IDS erkennt Layer 7-Angriffe durch die Analyse gespiegelter Pakete und sendet bei Erkennung eines Bedrohungsereignisses ein Ergebnis der Bedrohungsklasse an Security Command Center. Kategorienamen beginnen mit „Cloud IDS“, gefolgt von der Cloud IDS-Bedrohungs-ID.

Die Cloud IDS-Integration in Event Threat Detection umfasst keine Cloud IDS-Schwachstellenerkennung. Die Ergebnisse werden standardmäßig als Gering eingestuft.

Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Cloud IDS-Logging.

Privilege Escalation: Externes Mitglied zu privilegierter Gruppe hinzugefügt EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Ein externes Mitglied wurde einer privilegierten Google-Gruppe hinzugefügt (einer Gruppe, die vertrauliche Rollen oder Berechtigungen gewährt). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Ausweitung der Zugriffsrechte: Privilegierte Gruppe für Öffentlichkeit geöffnet PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Admin-Audit
Berechtigungen:
DATA_READ

Eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) wurde so geändert, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Rechteausweitung: Sensible Rolle der Hybridgruppe gewährt SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs

Einer Google-Gruppe mit externen Mitgliedern wurden vertrauliche Rollen zugewiesen. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Defense Evasion: Break-Glass-Arbeitslastbereitstellung erstellt (Vorschau) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud-Audit-Logs:
Administratoraktivitätslogs 		Arbeitslasten wurden mit dem Break-Glass-Flag bereitgestellt, um Einstellungen für die Binärautorisierung zu überschreiben. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Umgehung von Abwehrmaßnahmen: Break-Glass-Workload-Deployment wurde aktualisiert (Vorschau) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud-Audit-Logs:
Administratoraktivitätslogs 		Arbeitslasten wurden mithilfe des Break-Glass-Flags aktualisiert, um Einstellungen für die Binärautorisierung zu überschreiben. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Umgehung von Abwehrmaßnahmen: Filterung der IP-Adressen von GCS-Buckets geändert GCS_BUCKET_IP_FILTERING_MODIFIED Cloud-Audit-Logs:
Administratoraktivitätslogs 		Ein Nutzer oder Dienstkonto hat die IP-Filterkonfiguration für einen Cloud Storage-Bucket geändert. Ergebnisse werden standardmäßig als Gering eingestuft.
Defense Evasion: VPC Service Control modifizieren DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud-Audit-Logs Audit-Logs von VPC Service Controls

Ein vorhandener VPC Service Controls-Perimeter wurde geändert, was zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Umgehung von Abwehrmaßnahmen: HTTP-Richtlinienblockierung des Projekts deaktiviert PROJECT_HTTP_POLICY_BLOCK_DISABLED Cloud-Audit-Logs:
Administratoraktivitätslogs 		Ein Nutzer oder Dienstkonto hat erfolgreich eine Aktion ausgelöst, um storage.secureHttpTransport für ein Projekt zu deaktivieren. Das gilt auch, wenn die Aktion auf Organisations- oder Ordnerebene ausgeführt wird, da Richtlinien, die auf dieser Ebene angewendet werden, standardmäßig von untergeordneten Projekten übernommen werden. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud-Audit-Logs:
GKE-Datenzugriffslogs

Ein potenziell böswilliger Akteur hat mithilfe des Befehls kubectl auth can-i get ermittelt, welche vertraulichen Objekte in GKE abgefragt werden können. Die Regel erkennt, ob der Nutzer nach API-Zugriff auf die folgenden Objekte gesucht hat:

Die Ergebnisse werden standardmäßig als Gering eingestuft.

Erkennung: Dienstkonto-Prüfung SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud-Audit-Logs:
IAM-Datenzugriffs-Audit-Logs
Berechtigungen:
DATA_READ

Die Anmeldedaten eines IAM-Dienstkontos wurden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

E-Mail: Zugriff vom Anonymisierungs-Proxy ANOMALOUS_ACCESS Cloud-Audit-Logs:
Administratoraktivitätslogs 		Google Cloud Dienständerungen stammen von einer IP-Adresse, die dem Tor-Netzwerk zugeordnet ist. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Exfiltration: BigQuery-Daten-Exfiltration DATA_EXFILTRATION_BIG_QUERY Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Ressourcen, die der geschützten Organisation gehören, wurden außerhalb der Organisation gespeichert, einschließlich Kopier- oder Übertragungsvorgängen.

    Dieses Szenario wird durch eine untergeordnete Regel von exfil_to_external_table und den Schweregrad Hoch angegeben.

  • Es wurde versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.

    Dieses Szenario wird durch eine untergeordnete Regel von vpc_perimeter_violation mit dem Schweregrad Niedrig angegeben.

Exfiltration: BigQuery-Datenextraktion DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wurde durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert.
  • Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wurde durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.

Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Exfiltration: BigQuery-Daten in Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ 		Eine BigQuery-Ressource, die der geschützten Organisation gehört, wurde durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Exfiltration: Move to Public BigQuery resource DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Eine BigQuery-Ressource wurde in einer öffentlichen Ressource gespeichert, die Ihrer Organisation gehört. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Exfiltration: Cloud SQL-Daten-Exfiltration CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		Cloud-Audit-Logs: MySQL-Datenzugriffslogs
PostgreSQL-Datenzugriffslogs
SQL Server-Datenzugriffslogs

Erkennt folgende Szenarien:

  • Live-Instanzdaten wurden in einen Cloud Storage-Bucket außerhalb der Organisation exportiert.
  • Live-Instanzdaten wurden in einen Cloud Storage-Bucket exportiert, der der Organisation gehört und öffentlich zugänglich ist.

Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Hoch eingestuft.

Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud-Audit-Logs: MySQL-Administratoraktivitätslogs
PostgreSQL-Administratoraktivitätslogs
SQL Server-Administratoraktivitätslogs

Die Sicherung einer Cloud SQL-Instanz wurde auf einer Instanz außerhalb der Organisation wiederhergestellt. Ergebnisse werden standardmäßig als Hoch eingestuft.

Exfiltration: Cloud SQL Überprivilegierte Berechtigung CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. 		Einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle wurden alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Anfänglicher Zugriff: Datenbank-Superuser schreibt in Nutzertabellen CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: Cloud SQL for PostgreSQL-Datenzugriffslogs
Cloud SQL for MySQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden. 		Ein Cloud SQL-Superuser (postgres für PostgreSQL-Server oder root für MySQL-Nutzer) hat in Nicht-Systemtabellen geschrieben. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Überprivilegierte Berechtigung für AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. 		Einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB for PostgreSQL-Rolle wurden alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. 		Ein AlloyDB for PostgreSQL-Superuser (postgres) hat in Nicht-Systemtabellen geschrieben. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Anfänglicher Zugriff: Aktion über inaktives Dienstkonto DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud-Audit-Logs: Administratoraktivitätslogs Ein inaktives vom Nutzer verwaltetes Dienstkonto hat eine Aktion ausgelöst. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Hoch eingestuft.
Berechtigungseskalierung: Inaktives Dienstkonto mit vertraulicher Rolle DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit-Logs: IAM Admin Activity-Audit-Logs

Ein inaktives vom Nutzer verwaltetes Dienstkonto hat eine oder mehrere vertrauliche IAM-Rollen erhalten. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Die Ergebnisse werden standardmäßig als Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Berechtigungseskalierung: Rolle „Impersonation“ für inaktives Dienstkonto gewährt DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit-Logs: IAM Admin Activity-Audit-Logs Einem Hauptkonto wurden Berechtigungen zum Übernehmen der Identität eines inaktiven nutzerverwalteten Dienstkontos gewährt. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud-Audit-Logs: Administratoraktivitätslogs Ein Schlüssel wurde für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Hoch eingestuft.
Erstzugriff: Gehackter Dienstkontoschlüssel verwendet LEAKED_SA_KEY_USED Cloud-Audit-Logs: Administratoraktivitätslogs
Datenzugriffslogs 		Ein durchgesickerter Dienstkontoschlüssel wurde zur Authentifizierung der Aktion verwendet. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im öffentlichen Internet veröffentlicht wurde. Ergebnisse werden standardmäßig als Hoch eingestuft.
Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen EXCESSIVE_FAILED_ATTEMPT Cloud-Audit-Logs: Administratoraktivitätslogs Ein Hauptkonto hat wiederholt Berechtigung verweigert-Fehler ausgelöst, indem es versucht hat, Änderungen über mehrere Methoden und Dienste hinweg vorzunehmen. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Persistenz: Starke Authentifizierung deaktiviert ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Admin-Audit

Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Persistenz: 2‑Faktor-Authentifizierung deaktiviert 2SV_DISABLE Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erstzugriff: Konto deaktiviert – Gehackt ACCOUNT_DISABLED_HIJACKED Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Erstzugriff: Deaktiviert – Passwortleck ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Das Konto eines Nutzers wurde deaktiviert, weil ein Passwortleck erkannt wurde.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erstzugriff: Von staatlichen Stellen unterstützter Angriff GOV_ATTACK_WARNING Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Hoch eingestuft.
Anfangszugriff: Log4j-Kompromittierungsversuch Nicht verfügbar Cloud Load Balancing-Logs:
Cloud-HTTP-Load-Balancer
Hinweis: Sie müssen das Logging für externe Application Load Balancer aktivieren, um diese Regel zu verwenden.

Es wurden JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern erkannt. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung.

Diese Regel ist immer aktiviert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erstzugriff: Verdächtige Anmeldung blockiert SUSPICIOUS_LOGIN Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Log4j-Malware: Ungültige Domain LOG4J_BAD_DOMAIN Cloud DNS-Logs Log4j-Exploit-Traffic wurde anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain erkannt, die bei Log4j-Angriffen verwendet wird. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Log4j-Malware: Ungültige IP-Adresse LOG4J_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs		 Log4j-Exploit-Traffic wurde anhand einer Verbindung zu einer bekannten IP-Adresse erkannt, die bei Log4j-Angriffen verwendet wird. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Malware: Schädliche Domain MALWARE_BAD_DOMAIN Cloud DNS-Logs Malware wurde anhand einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain erkannt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Malware: Schädliche IP-Adresse MALWARE_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs 		Malware wurde anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse erkannt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Malware: Ungültige Domain für Kryptomining CRYPTOMINING_POOL_DOMAIN Cloud DNS-Logs Kryptomining wurde anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain erkannt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Malware: Schädliche Kryptomining-IP-Adresse CRYPTOMINING_POOL_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs 		Kryptomining wurde anhand einer Verbindung zu einer bekannten Mining-IP-Adresse erkannt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt GCE_ADMIN_ADD_SSH_KEY Cloud-Audit-Logs:
Compute Engine Admin Activity-Audit-Logs 		Der SSH-Schlüsselwert der Compute Engine-Instanzmetadaten wurde auf einer vorhandenen Instanz (älter als 1 Woche) geändert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: GCE-Administrator hat Startskript hinzugefügt GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud-Audit-Logs:
Compute Engine Admin Activity-Audit-Logs 		Der Wert des Startskripts der Compute Engine-Instanzmetadaten wurde auf einer vorhandenen Instanz (älter als 1 Woche) geändert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: Ungewöhnliche IAM-Gewährung IAM_ANOMALOUS_GRANT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Dieser Hinweis enthält untergeordnete Regeln, die genauere Informationen zu jeder Instanz dieses Hinweises liefern.

In der folgenden Liste sind alle möglichen untergeordneten Regeln aufgeführt:

  • external_service_account_added_to_policy, external_member_added_to_policy: Berechtigungen wurden IAM-Nutzern und ‑Dienstkonten gewährt, die nicht Mitglieder Ihrer Organisation sind oder, wenn Security Command Center nur auf Projektebene aktiviert ist, Ihres Projekts.

    Hinweis: Wenn Security Command Center auf Organisationsebene in einer beliebigen Stufe aktiviert ist, verwendet dieser Detektor die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn Security Command Center nur auf Projektebene aktiviert ist, verwendet der Detector nur die IAM-Richtlinien des Projekts als Kontext.

    Wenn ein externes Mitglied eine vertrauliche IAM-Gewährung erhält und weniger als drei vorhandene IAM-Richtlinien ihr ähneln, generiert dieser Detektor ein Ergebnis.

    Vertrauliche Rollen

    Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Ergebnisse werden standardmäßig als Hoch eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

  • external_member_invited_to_policy: Ein externes Mitglied wurde über die InsertProjectOwnershipInvite API als Inhaber des Projekts eingeladen.
  • custom_role_given_sensitive_permissions: Die Berechtigung setIAMPolicy wurde einer benutzerdefinierten Rolle hinzugefügt.
  • service_account_granted_sensitive_role_to_member: Mitgliedern wurden über ein Dienstkonto privilegierte Rollen zugewiesen. Diese untergeordnete Regel wird durch eine Teilmenge sensibler Rollen ausgelöst, die nur einfache IAM-Rollen und bestimmte Datenspeicherrollen umfasst. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.
  • policy_modified_by_default_compute_service_account: Ein Compute Engine-Standarddienstkonto wurde verwendet, um die IAM-Einstellungen des Projekts zu ändern.
Persistenz: Nicht verwaltetem Konto wurde sensible Rolle gewährt (Vorschau) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Einem nicht verwalteten Konto wurde eine sensible Rolle zugewiesen. Ergebnisse werden standardmäßig als Hoch eingestuft.
Persistenz: Neue API-Methode
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud-Audit-Logs:
Administratoraktivitätslogs 		IAM-Dienstkonten haben anomalen Zugriff auf Google Cloud Dienste verwendet. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: Neue Region IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud-Audit-Logs:
Administratoraktivitätslogs

Auf IAM-Nutzer und -Dienstkonten wurde Google Cloud von ungewöhnlichen Standorten aus zugegriffen, basierend auf dem Standort der anfragenden IP-Adressen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar und wird standardmäßig als Niedrig eingestuft.

Persistenz: Neuer User-Agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud-Audit-Logs:
Administratoraktivitätslogs

Auf IAM-Dienstkonten wurde Google Cloud über anomale oder verdächtige User-Agents zugegriffen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: Umschalter für SSO-Aktivierung TOGGLE_SSO_ENABLED Google Workspace:
Admin-Audit

Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Hoch eingestuft.
Persistenz: SSO-Einstellungen geändert CHANGE_SSO_SETTINGS Google Workspace:
Admin-Audit

Die SSO-Einstellungen für das Administratorkonto wurden geändert.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Hoch eingestuft.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Für eine Administratoraktivität wurde ein potenziell anomales Dienstkonto verwendet, dessen Identität übernommen wurde. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Für eine administrative Aktivität wurde eine ungewöhnliche delegierte Anfrage mit mehreren Schritten gefunden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs 		Für eine Datenzugriffsaktivität wurde eine anomale mehrstufige delegierte Anfrage gefunden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Für eine Administratoraktivität wurde ein potenziell anomaler Aufrufer oder Identitätsübernehmer in einer Delegierungskette verwendet. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs 		Für eine Datenzugriffsaktivität wurde ein potenziell anomaler Anrufer oder Identitätsdieb in einer Delegierungskette verwendet. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding- oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin zu ändern, indem er eine PUT- oder PATCH-Anfrage stellte. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Ein potenziell böswilliger Akteur hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm die Zugriffsrechte der Rolle cluster-admin gewährt. Ergebnisse werden standardmäßig als Hoch eingestuft.
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud-Audit-Logs:
GKE-Datenzugriffslogs 		Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet. Ergebnisse werden standardmäßig als Hoch eingestuft.
Rechteausweitung: Start eines privilegierten Kubernetes-Containers GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud-Audit-Logs:
GKE Admin Activity-Logs

Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.

Bei einem privilegierten Container ist das Feld privileged auf true gesetzt. Bei einem Container mit Funktionen zur Rechteausweitung ist das Feld allowPrivilegeEscalation auf true gesetzt. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter der API-Referenz zu SecurityContext v1 Core. Die Ergebnisse werden standardmäßig als Gering eingestuft.

Persistenz: Dienstkontoschlüssel erstellt SERVICE_ACCOUNT_KEY_CREATION Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Ein Dienstkontoschlüssel wurde erstellt. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko eines unbefugten Zugriffs auf Google Cloud-Ressourcen erhöhen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Globales Shutdown-Skript hinzugefügt GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Einem Projekt wurde ein globales Shutdown-Script hinzugefügt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: Globales Startscript hinzugefügt GLOBAL_STARTUP_SCRIPT_ADDED Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Einem Projekt wurde ein globales Startscript hinzugefügt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Defense Evasion: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ wurde auf Organisationsebene zugewiesen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Defense Evasion: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ wurde auf Projektebene zugewiesen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Seitliche Bewegung: Ausführung von Betriebssystempatch über Dienstkonto OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud-Audit-Logs.
IAM Admin Activity-Audit-Logs 		Ein Dienstkonto hat die Compute Engine-Patchfunktion verwendet, um das Betriebssystem einer aktuell ausgeführten Compute Engine-Instanz zu aktualisieren. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Lateral Movement: Geändertes Bootlaufwerk an Instanz angehängt (Vorschau) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud-Audit-Logs:
Compute Engine-Audit-Logs 		Ein Bootlaufwerk wurde von einer Compute Engine-Instanz getrennt und an eine andere angehängt. Dies könnte ein böswilliger Versuch sein, das System mit einem modifizierten Bootlaufwerk zu kompromittieren. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud-Audit-Logs:
GKE-Datenzugriffslogs 		Ein Dienstkonto im aktuellen Kubernetes-Namespace hat auf Secrets oder Dienstkonto-Tokens zugegriffen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Ressourcenentwicklung: Angriffsaktivität in Sicherheitsdistribution OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine Google Cloud Ressource wurde erfolgreich über bekannte Penetrationstests oder offensive Sicherheitsdistributionen manipuliert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Berechtigungseskalierung: Neues Dienstkonto ist „Owner“ oder „Editor“ SERVICE_ACCOUNT_EDITOR_OWNER Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Für ein Projekt wurde ein neues Dienstkonto mit den Rollen „Bearbeiter“ oder „Inhaber“ erstellt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erkennung: Tool zur Informationserfassung verwendet INFORMATION_GATHERING_TOOL_USED Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Verwendung von ScoutSuite wurde erkannt. ScoutSuite ist ein Tool für Cloud-Sicherheitsprüfungen, das bekanntermaßen von Bedrohungsakteuren verwendet wird. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Berechtigung iam.serviceAccounts.implicitDelegation wurde missbraucht, um Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Ein Dienstkonto hat mit der Methode serviceAccounts.signJwt ein Zugriffstoken für ein anderes Dienstkonto generiert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs

Die IAM-Berechtigung iam.serviceAccounts.getOpenIdToken wurde projektübergreifend verwendet.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs

Die IAM-Berechtigung iam.serviceAccounts.getAccessToken wurde projektübergreifend verwendet.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Verdächtige projektübergreifende Berechtigungsnutzung SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs

Die IAM-Berechtigung datafusion.instances.create wurde projektübergreifend verwendet.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Command-and-Control-Aktivitäten: DNS-Tunneling DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS-Logs Der Handshake des DNS-Tunneling-Tools Iodine wurde erkannt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Umgehung von Abwehrmaßnahmen: Versuch der VPC-Routen-Masquerade VPC_ROUTE_MASQUERADE Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		VPC-Routen, die als Google Cloud Standardrouten maskiert wurden, wurden manuell erstellt, um ausgehenden Traffic zu externen IP-Adressen zu ermöglichen. Ergebnisse werden standardmäßig als Hoch eingestuft.
Auswirkung: Abrechnung deaktiviert BILLING_DISABLED_SINGLE_PROJECT Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Abrechnung wurde für ein Projekt deaktiviert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Abrechnung deaktiviert BILLING_DISABLED_MULTIPLE_PROJECTS Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Abrechnung wurde für mehrere Projekte in einer Organisation innerhalb eines kurzen Zeitraums deaktiviert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Block mit hoher Priorität der VPC-Firewall VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine VPC-Firewallregel, die den gesamten ausgehenden Traffic blockiert, wurde mit Priorität 0 hinzugefügt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Massenlöschung von VPC-FirewallregelnVorübergehend nicht verfügbar VPC_FIREWALL_MASS_RULE_DELETION Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs

VPC-Firewallregeln wurden von Konten, die keine Dienstkonten sind, massenweise gelöscht.

Diese Regel ist vorübergehend nicht verfügbar. Verwenden Sie Cloud-Audit-Logs, um Änderungen an Ihren Firewallregeln zu überwachen. Die Ergebnisse werden standardmäßig als Gering eingestuft.

Auswirkung: Service API deaktiviert SERVICE_API_DISABLED Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine Google Cloud Service-API wurde in einer Produktionsumgebung deaktiviert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt MIG_AUTOSCALING_SET_TO_MAX Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine verwaltete Instanzgruppe wurde für maximales Autoscaling konfiguriert. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erkennung: Nicht autorisierter API-Aufruf des Dienstkontos UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud-Audit-Logs:
IAM Admin Activity-Audit-Logs 		Ein Dienstkonto hat einen nicht autorisierten projektübergreifenden API-Aufruf ausgeführt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Umgehung von Abwehrmaßnahmen: Anonymen Sitzungen wurde Clusteradministratorzugriff gewährt ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Ein ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (Role-based Access Control, RBAC) wurde erstellt, wodurch das root-cluster-admin-binding-Verhalten für anonyme Nutzer hinzugefügt wurde. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: Neue geografische Region für KI-Dienst AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud-Audit-Logs:
Administratoraktivitätslogs

Auf IAM-Nutzer- und ‑Dienstkonten wurde von ungewöhnlichen Standorten aus auf Google Cloud KI-Dienste zugegriffen, basierend auf dem Standort der anfragenden IP-Adressen.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar und wird standardmäßig als Niedrig eingestuft.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung bei KI-Administratoraktivität AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Es wurde eine anomale mehrstufige delegierte Anfrage für eine Administratoraktivität eines KI-Dienstes gefunden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung bei KI-Datenzugriff AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs 		Für eine Datenzugriffsaktivität eines KI-Dienstes wurde eine anomale mehrstufige delegierte Anfrage gefunden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Für eine administrative Aktivität eines KI-Dienstes wurde ein potenziell anomaler Aufrufer oder Identitätsübernehmer in einer Delegierungskette verwendet. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud-Audit-Logs:
Datenzugriffslogs 		Für eine Datenzugriffsaktivität eines KI-Dienstes wurde ein potenziell anomaler Anrufer oder Identitätsübernehmer in einer Delegierungskette verwendet. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Für eine administrative Aktivität eines KI-Dienstes wurde ein potenziell anomales Dienstkonto mit Identitätsübernahme verwendet. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Persistenz: Neue KI-API-Methode
 AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud-Audit-Logs:
Administratoraktivitätslogs 		IAM-Dienstkonten haben anomalen Zugriff auf Google Cloud KI-Dienste verwendet. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Anfänglicher Zugriff: Keine Dienstkontoaktivität im KI-Dienst AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud-Audit-Logs: Administratoraktivitätslogs Ein inaktives nutzerverwaltetes Dienstkonto hat eine Aktion in KI-Diensten ausgelöst. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Hoch eingestuft.
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorschau) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud-Audit-Logs:
GKE Admin Activity-Logs. 		Eine Ressource wurde von einem praktisch anonymen Internetnutzer erstellt. Ergebnisse werden standardmäßig als Hoch eingestuft.
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorschau) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Eine Ressource wurde von einem praktisch anonymen Internetnutzer manipuliert. Ergebnisse werden standardmäßig als Hoch eingestuft.
Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access (Privilege Escalation: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud-Audit-Logs:
GKE Admin Activity-Logs

Jemand hat eine RBAC-Bindung erstellt, die auf einen der folgenden Nutzer oder Gruppen verweist:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Diese Nutzer und Gruppen sind im Grunde anonym und sollten beim Erstellen von Rollenbindungen oder Clusterrollenbindungen für RBAC-Rollen vermieden werden. Prüfen Sie die Bindung, um sicherzustellen, dass sie erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie. Die Ergebnisse werden standardmäßig als Mittel eingestuft.

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorschau) GKE_SUSPICIOUS_EXEC_ATTACH Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat die Befehle exec oder attach verwendet, um eine Shell zu erhalten oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird. Diese Methoden werden manchmal für legitime Debugging-Zwecke verwendet. Der Namespace kube-system ist jedoch für Systemobjekte vorgesehen, die von Kubernetes erstellt werden. Daher sollten Sie unerwartete Befehlsausführungen oder Shell-Erstellungen überprüfen. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorschau) GKE_SENSITIVE_HOSTPATH Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast erstellt, die eine hostPath-Volumebereitstellung für einen sensiblen Pfad im Dateisystem des Hostknotens enthält. Der Zugriff auf diese Pfade im Dateisystem des Hosts kann verwendet werden, um auf privilegierte oder vertrauliche Informationen auf dem Knoten zuzugreifen und um aus Containern auszubrechen. Lassen Sie nach Möglichkeit keine hostPath-Volumes in Ihrem Cluster zu. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorschau) GKE_SHAREPROCESSNAMESPACE_POD Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast mit der Option shareProcessNamespace auf true bereitgestellt, sodass alle Container denselben Linux-Prozess-Namespace verwenden können. Dadurch könnte ein nicht vertrauenswürdiger oder kompromittierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift und diese steuert, die in anderen Containern ausgeführt werden. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: ClusterRole mit privilegierten Verben (Vorschau) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine RBAC-ClusterRole erstellt, die die Verben bind, escalate oder impersonate enthält. Ein Subjekt, das an eine Rolle mit diesen Verben gebunden ist, kann andere Nutzer mit höheren Berechtigungen imitieren, an zusätzliche Roles oder ClusterRoles mit zusätzlichen Berechtigungen gebunden werden oder die Berechtigungen seiner eigenen ClusterRole ändern. Dies kann dazu führen, dass diese Subjekte Clusteradministratorberechtigungen erhalten. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Rechteausweitung: ClusterRoleBinding für privilegierte Rolle GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf die Standard-system:controller:clusterrole-aggregation-controller ClusterRole verweist. Diese Standard-ClusterRole hat das Verb escalate, mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was zu einer Rechteausweitung führt. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Defense Evasion: Manually Deleted Certificate Signing Request (CSR) GKE_MANUALLY_DELETED_CSR Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) wurde manuell gelöscht. CSRs werden automatisch von einem Garbage Collection-Controller entfernt, aber böswillige Akteure können sie manuell löschen, um einer Erkennung zu entgehen. Wenn die gelöschte CSR für ein genehmigtes und ausgestelltes Zertifikat war, hat der potenziell böswillige Akteur jetzt eine zusätzliche Authentifizierungsmethode für den Zugriff auf den Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nachdem, welche Subjekte enthalten sind, können aber sehr privilegiert sein. Kubernetes unterstützt keinen Zertifikatsperrung. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden GKE_APPROVE_CSR_FORBIDDEN Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode für Angreifer, um dauerhaften Zugriff auf einen kompromittierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach enthaltenem Betreff, können aber sehr privilegiert sein. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorschau) GKE_CSR_APPROVED Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell genehmigt. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode für Angreifer, um dauerhaften Zugriff auf einen kompromittierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach enthaltenem Betreff, können aber sehr privilegiert sein. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt GKE_REVERSE_SHELL_POD Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die häufig mit einer Reverse Shell in Verbindung gebracht werden. Angreifer verwenden Reverse Shells, um ihren anfänglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und beliebige Befehle auszuführen. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Umgehung von Abwehrmaßnahmen: Mögliches Kubernetes-Pod-Masquerading GKE_POD_MASQUERADING Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die den Standardarbeitslasten ähnelt, die GKE für den regulären Clusterbetrieb erstellt. Diese Technik wird als Masquerading bezeichnet. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorschau) GKE_SUSPICIOUS_EXPLOIT_POD Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die ähnelt der von gängigen Tools, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Persistenz: Dienstkonto in sensiblem Namespace erstellt GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat ein Dienstkonto in einem sensiblen Namespace erstellt. Die Namespaces kube-system und kube-public sind für GKE-Clustervorgänge von entscheidender Bedeutung. Unautorisierte Dienstkonten können die Stabilität und Sicherheit von Clustern beeinträchtigen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der von gängigen Kryptowährungs-Coin-Minern ähnelt. Dies kann ein Versuch eines Angreifers sein, der sich bereits Zugriff auf den Cluster verschafft hat, die Ressourcen des Clusters für das Mining von Kryptowährungen zu nutzen. Ergebnisse werden standardmäßig als Hoch eingestuft.
Ausführung: Arbeitslast in sensiblem Namespace ausgelöst GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast (z. B. einen Pod oder ein Deployment) in den Namespaces kube-system oder kube-public bereitgestellt. Diese Namespaces sind für den Betrieb von GKE-Cluster von entscheidender Bedeutung. Unautorisierte Arbeitslasten können die Stabilität oder Sicherheit des Clusters beeinträchtigen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Ausführung: Äußerst leistungsfähigen Container in GKE starten (Vorschau) GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Container mit einer oder mehreren der folgenden Funktionen in einem Cluster mit einem erhöhten Sicherheitskontext erstellt:
  • CAP_SYS_MODULE
  • CAP_SYS_RAWIO
  • CAP_SYS_PTRACE
  • CAP_SYS_BOOT
  • CAP_DAC_READ_SEARCH
  • CAP_NET_ADMIN
  • CAP_BPF
Diese Funktionen können verwendet werden, um aus Containern auszubrechen. Seien Sie vorsichtig, wenn Sie diese Funktionen bereitstellen. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Persistenz: GKE-Webhook-Konfiguration erkannt GKE_WEBHOOK_CONFIG_CREATED Cloud-Audit-Logs:
GKE Admin Activity-Logs 		In Ihrem GKE-Cluster wurde eine Webhook-Konfiguration erkannt. Webhooks können Kubernetes API-Anfragen abfangen und ändern. Dadurch können Angreifer möglicherweise in Ihrem Cluster bleiben oder Ressourcen manipulieren. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Umgehung von Abwehrmaßnahmen: Statischer Pod erstellt GKE_STATIC_POD_CREATED Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen statischen Pod in Ihrem GKE-Cluster erstellt. Statische Pods werden direkt auf dem Knoten ausgeführt und umgehen den Kubernetes API-Server. Daher sind sie schwieriger zu überwachen und zu steuern. Angreifer können statische Pods verwenden, um der Erkennung zu entgehen oder die Persistenz aufrechtzuerhalten. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erster Zugriff: Erfolgreicher API-Aufruf über eine TOR-Proxy-IP-Adresse GKE_TOR_PROXY_IP_REQUEST Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Es wurde ein erfolgreicher API-Aufruf an Ihren GKE-Cluster von einer IP-Adresse aus durchgeführt, die mit dem Tor-Netzwerk verknüpft ist. Tor bietet Anonymität, die Angreifer oft nutzen, um ihre Identität zu verbergen. Ergebnisse werden standardmäßig als Hoch eingestuft.
Anfänglicher Zugriff: GKE-NodePort-Dienst erstellt GKE_NODEPORT_SERVICE_CREATED Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen NodePort-Dienst erstellt. NodePort-Dienste machen Pods direkt über die IP-Adresse und den statischen Port eines Knotens verfügbar, sodass die Pods von außerhalb des Clusters aus erreichbar sind. Dies kann ein erhebliches Sicherheitsrisiko darstellen, da ein Angreifer Sicherheitslücken im bereitgestellten Dienst ausnutzen könnte, um Zugriff auf den Cluster oder sensible Daten zu erhalten. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Auswirkung: GKE-kube-dns-Änderung erkannt (Vorschau) GKE_KUBE_DNS_MODIFICATION Cloud-Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat die kube-dns-Konfiguration in Ihrem GKE-Cluster geändert. kube-dns in GKE ist eine kritische Komponente des Netzwerks Ihres Clusters. Eine falsche Konfiguration kann zu einer Sicherheitslücke führen. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Auswirkungen: Cryptomining-Befehle CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS Cloud-Audit-Logs:
IAM System Event-Audit-Logs 		Während der Ausführung wurden einem Cloud Run-Job bestimmte Cryptomining-Befehle angehängt. Ergebnisse werden standardmäßig als Hoch eingestuft.
Ausführung: Docker-Image für Cryptomining CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES Cloud-Audit-Logs:
IAM System Event-Audit-Logs 		Bestimmte bekannte fehlerhafte Docker-Images wurden an einen neuen oder vorhandenen Cloud Run-Dienst oder -Job angehängt. Ergebnisse werden standardmäßig als Hoch eingestuft.
Rechteausweitung: Standarddienstkonto für Compute Engine SetIAMPolicy CLOUD_RUN_SERVICES_SET_IAM_POLICY Cloud-Audit-Logs:
Administratoraktivitätslogs 		Das Compute Engine-Standarddienstkonto wurde verwendet, um die IAM-Richtlinie für einen Cloud Run-Dienst festzulegen. Dies ist eine mögliche Aktion nach einem Exploit, wenn ein Compute Engine-Token von einem serverlosen Dienst kompromittiert wurde. Die Ergebnisse werden standardmäßig als Gering eingestuft.
Erstzugriff: CloudDB: Erfolgreiche Anmeldung über IP-Adresse des Anonymisierungs-Proxys CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Cloud SQL for PostgreSQL-Datenzugriffslogs
Cloud SQL for MySQL-Datenzugriffslogs
Hinweis: Sie müssen die IP-Protokollierung in PostgreSQL aktivieren, um diese Regel für AlloyDB und Postgres zu verwenden. 		In Ihrer Datenbankinstanz wurde eine erfolgreiche Anmeldung über eine bekannte anonymisierende IP-Adresse erkannt. Dies könnte darauf hindeuten, dass ein Angreifer sich zum ersten Mal Zugriff auf Ihre Instanz verschafft hat. Ergebnisse werden standardmäßig als Hoch eingestuft.
Zugriff auf Anmeldedaten: CloudDB: Fehlgeschlagene Anmeldung über IP-Adresse des Anonymisierungs-Proxys CLOUD_DB_LOGIN_FAILED_ANON_IP Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Cloud SQL for PostgreSQL-Datenzugriffslogs
Cloud SQL for MySQL-Datenzugriffslogs
Hinweis: Sie müssen die IP-Protokollierung in PostgreSQL aktivieren, um diese Regel für AlloyDB und Postgres zu verwenden. 		In Ihrer Datenbankinstanz wurde eine fehlgeschlagene Anmeldung über eine bekannte IP-Adresse des Anonymisierungs-Proxys erkannt. Dies könnte darauf hindeuten, dass ein Angreifer versucht, unbefugten Zugriff auf Ihre Instanz zu erhalten. Die Ergebnisse werden standardmäßig als Mittel eingestuft.
Informationen zu eingestellten und deaktivierten Regeln finden Sie unter Einstellung.

Benutzerdefinierte Module für Event Threat Detection

Zusätzlich zu den integrierten Erkennungsregeln bietet Event Threat Detection Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.

Wenn Sie Erkennungsregeln erstellen möchten, für die keine benutzerdefinierten Modulvorlagen verfügbar sind, können Sie Ihre Logdaten nach BigQuery exportieren und dann einmalige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.

Unsichere Änderungen an Google-Gruppen

In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Das Erkennen von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Google Cloud -Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.

Obwohl Google-Gruppen eine bequeme Möglichkeit sind, die Zugriffssteuerung in großem Umfang zu verwalten, kann das ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.

In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.

Wenn Sie Ihre Google Workspace-Logs für Google Cloudfreigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Logs auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Logs nur scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Logs nicht scannen, wenn Sie Security Command Center auf Projektebene aktivieren.

Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:

  • Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
  • Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
  • Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann

Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.

Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.

Vertrauliche IAM-Rollen und -Berechtigungen

In diesem Abschnitt wird erläutert, wie Event Threat Detection sensible IAM-Rollen definiert. Erkennungen wie „IAM Anomalous Grant“ und „Unsafe Google Group changes“ generieren Ergebnisse nur, wenn Änderungen Rollen mit hoher oder mittlerer Vertraulichkeit beinhalten. Die Vertraulichkeit von Rollen wirkt sich auf die Bewertung der Ergebnisse aus.

  • Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
  • Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud -Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
    • Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
    • Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.

Das Zuweisen dieser sensiblen Rollen gilt als gefährlich, wenn der Empfänger ein externes Mitglied oder eine ungewöhnliche Identität ist, z. B. ein Prinzipal, der seit Langem inaktiv ist.

Das Zuweisen sensibler Rollen an externe Mitglieder birgt ein potenzielles Risiko, da diese für Konto-Hacking und Daten-Exfiltration missbraucht werden können.

Zu den Kategorien, in denen diese sensiblen Rollen verwendet werden, gehören:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Unterregel: external_service_account_added_to_policy
    • Unterregel: external_member_added_to_policy
  • Rechteausweitung: Sensible Rolle der Hybridgruppe gewährt
  • Berechtigungseskalierung: Inaktives Dienstkonto mit vertraulicher Rolle

Zu den Kategorien, für die eine Teilmenge der sensiblen Rollen verwendet wird, gehören:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Unterregel: service_account_granted_sensitive_role_to_member

Die service_account_granted_sensitive_role_to_member-Unterregel ist im Allgemeinen auf externe und interne Mitglieder ausgerichtet und verwendet daher nur eine Teilmenge vertraulicher Rollen, wie in Event Threat Detection-Regeln beschrieben.

Kategorie Rolle Beschreibung
Einfache Rollen: umfassen Tausende von Berechtigungen für alle Google Cloud -Dienste. roles/owner Einfache Rollen
roles/editor
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen roles/cloudkms.* Alle Cloud Key Management Service-Rollen
roles/cloudsecurityscanner.* Alle Web Security Scanner-Rollen
roles/dlp.* Alle Sensitive Data Protection-Rollen
roles/iam.* Alle IAM-Rollen
roles/secretmanager.* Alle Secret Manager-Rollen
roles/securitycenter.* Alle Security Command Center-Rollen
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation roles/errorreporting.* Alle Error Reporting-Rollen
roles/logging.* Alle Cloud Logging-Rollen
roles/stackdriver.* Alle Cloud Monitoring-Rollen
Rollen mit personenbezogenen Daten: Steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen. roles/billing.* Alle Cloud Billing-Rollen
roles/healthcare.* Alle Cloud Healthcare API-Rollen
roles/essentialcontacts.* Alle Rollen für wichtige Kontakte
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation roles/dns.* Alle Cloud DNS-Rollen
roles/domains.* Alle Cloud Domains-Rollen
roles/networkconnectivity.* Alle Network Connectivity Center-Rollen
roles/networkmanagement.* Alle Network Connectivity Center-Rollen
roles/privateca.* Alle Certificate Authority Service-Rollen
Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud roles/cloudasset.* Alle Cloud Asset Inventory-Rollen
roles/servicedirectory.* Alle Service Directory-Rollen
roles/servicemanagement.* Alle Service Management-Rollen
roles/servicenetworking.* Alle Service Networking-Rollen
roles/serviceusage.* Alle Service Usage-Rollen
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Alle Compute Engine-Rollen: Administrator und Bearbeiter
Kategorie Rolle Beschreibung
Rollen bearbeiten: IAM-Rollen mit Berechtigungen zum Ändern von Google Cloud Ressourcen

Beispiele:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor.

Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.

Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten

Beispiele:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.
Alle Rollen mit mittlerer Vertraulichkeit

Zugriffsgenehmigung

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Aktionen

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Binärautorisierung

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Cloud Run-Funktionen

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artefaktanalyse

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops Config Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

Organisationsrichtliniendienst

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Weitere Rollen

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity-Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Empfehlungen

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Recommender

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Ressourceneinstellungen

  • roles/resourcesettings.admin

Serverloser VPC-Zugriff

  • roles/vpcaccess.admin

Dienstnutzerverwaltung

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench: Nutzerverwaltete Notebooks

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Logtypen und Aktivierungsvoraussetzungen

In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.

Sie müssen einen Log für Event Threat Detection nur aktivieren, wenn alle folgenden Bedingungen erfüllt sind:

  • Sie verwenden das Produkt oder den Dienst, der in das Log schreibt.
  • Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, die von der Event Threat Detection im Log erkannt werden.
  • Das Log ist ein Audit-Log zum Datenzugriff oder ein anderes Log, das standardmäßig deaktiviert ist.

Bestimmte Bedrohungen können in mehreren Logs erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem Log erkennen kann, das bereits aktiviert ist, müssen Sie kein weiteres Log aktivieren, um dieselbe Bedrohung zu erkennen.

Wenn ein Log in diesem Abschnitt nicht aufgeführt ist, wird es von Event Threat Detection nicht gescannt, auch wenn die Funktion aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Log-Scans.

Wie in der folgenden Tabelle beschrieben, sind einige Logtypen nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center auf Projektebene aktivieren, werden diese Logs nicht von Event Threat Detection gescannt und es werden keine Ergebnisse generiert.

Grundlegende Logquellen

Event Threat Detection verwendet grundlegende Datenquellen, um potenziell schädliche Aktivitäten in Ihrem Netzwerk zu erkennen.

  • Wenn Sie Event Threat Detection ohne VPC-Flusslogs aktivieren, beginnt Event Threat Detection sofort mit der Analyse eines unabhängigen, duplizierten und internen Streams von VPC-Flusslogs. Wenn Sie ein vorhandenes Event Threat Detection-Ergebnis genauer untersuchen möchten, müssen Sie VPC-Flusslogs aktivieren und manuell zum Log-Explorer und Flow Analyzer navigieren. Wenn Sie VPC-Flusslogs zu einem späteren Zeitpunkt aktivieren, enthalten nur zukünftige Ergebnisse die relevanten Links für weitere Untersuchungen.

  • Wenn Sie Event Threat Detection mit VPC-Flusslogs aktivieren, werden die VPC-Flusslogs in Ihrer Bereitstellung sofort analysiert. Außerdem werden Links zum Log-Explorer und zum Flow Analyzer bereitgestellt, damit Sie die Ergebnisse weiter untersuchen können.

Protokolle für die Netzwerkerkennung von Malware

Event Threat Detection kann Malware im Netzwerk erkennen, indem eines der folgenden Logs gescannt wird:

  • Cloud DNS-Logging
  • Cloud NAT-Logging
  • Logging von Firewallregeln
  • VPC-Flusslogs

Sie müssen nicht mehr als eine der folgenden Optionen aktivieren: Cloud NAT-Logging, Logging von Firewallregeln oder VPC-Flusslogs.

Wenn Sie Cloud DNS-Logging bereits verwenden, kann Event Threat Detection Malware mithilfe der Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Logs für die Netzwerkerkennung von Malware aus.

Wenn Sie über die Domainauflösung hinaus eine weitere Ebene der Sichtbarkeit benötigen, können Sie VPC-Flusslogs aktivieren. Für VPC-Flusslogs können jedoch Kosten anfallen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Stichprobenrate auf 5% bis 10 % zu reduzieren. Dies ist jedoch ein Kompromiss zwischen Recall (höhere Stichprobenrate) und Kostenmanagement (niedrigere Stichprobenrate). Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT-Logging verwenden, sind diese Logs anstelle von VPC-Flusslogs nützlich.

Unterstützte Protokolldaten und erkannte Bedrohungen

In diesem Abschnitt werden die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der Bedrohungen zu erhöhen, die von Event Threat Detection erkannt werden können.

Bestimmte Bedrohungen, z. B. durch die anomale Identitätsübernahme oder Delegation eines Dienstkontos, sind in den meisten Audit-Logs zu finden. Bei diesen Arten von Bedrohungen legen Sie anhand der von Ihnen verwendeten Produkte und Dienste fest, welche Logs Sie aktivieren müssen.

In der folgenden Tabelle sind bestimmte Protokolle aufgeführt, die Sie aktivieren können, sowie die Arten von Bedrohungen, die erkannt werden können.

Logtyp Erkannte Bedrohungen Konfiguration erforderlich
Cloud DNS-Logging

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Cloud DNS-Logging aktivieren

Siehe auch Logs für die Netzwerkerkennung von Malware.
Cloud NAT-Logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Cloud NAT-Logging aktivieren

Weitere Informationen finden Sie unter Logs für die Netzwerkerkennung von Malware.
Logging von Firewallregeln

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Logging von Firewallregeln aktivieren

Weitere Informationen finden Sie unter Logs für die Netzwerkerkennung von Malware.
Google Kubernetes Engine (GKE) Data Access-Audit-Logs

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Audit-Logs zum Datenzugriff für GKE aktivieren
Audit-Logs für Google Workspace-Administratoren

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Persistence: Strong Authentication Disabled

Persistence: Two Step Verification Disabled

Privilege Escalation: Privileged Group Opened To Public

Admin-Audit-Logs von Google Workspace für Cloud Logging freigeben

Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden.
Audit-Logs von Google Workspace Login

Credential Access: External Member Added To Privileged Group

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Persistence: Two Step Verification Disabled

Audit-Logs von Google Workspace Login für Cloud Logging freigeben

Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden.
Logs für Backend-Dienste von externen Application Load Balancern Initial Access: Log4j Compromise Attempt Logging für externe Application Load Balancer aktivieren
Cloud SQL MySQL-Audit-Logs für Datenzugriff

Exfiltration: Cloud SQL Data Exfiltration

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Credential Access: CloudDB Failed login from Anonymizing Proxy IP

 Audit-Logs zum Datenzugriff für Cloud SQL for MySQL aktivieren
Cloud SQL PostgreSQL-Audit-Logs für Datenzugriff

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Credential Access: CloudDB Failed login from Anonymizing Proxy IP
AlloyDB for PostgreSQL-Audit-Logs für den Datenzugriff

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Credential Access: CloudDB Failed login from Anonymizing Proxy IP
IAM-Audit-Logs zum Datenzugriff Discovery: Service Account Self-Investigation Audit-Logs zum Datenzugriff für Resource Manager aktivieren
Audit-Logs zum SQL Server-Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Audit-Logs zum Datenzugriff für Cloud SQL for SQL Server aktivieren
Allgemeine Audit-Logs zum Datenzugriff

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Audit-Logs zum Datenzugriff für das Logging aktivieren
authlogs/authlog auf virtuellen Maschinen Brute force SSH Installieren Sie den Ops-Agent oder den alten Logging-Agent auf Ihren VM-Hosts.
VPC-Flusslogs

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 VPC-Flusslogs aktivieren

Weitere Informationen finden Sie unter Logs für die Netzwerkerkennung von Malware.

Logs, die immer aktiviert sind

In der folgenden Tabelle sind die Cloud Logging-Logs aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.

Logtyp Erkannte Bedrohungen Konfiguration erforderlich
Datenzugriffs-Logs für BigQueryAuditMetadata

Exfiltration: BigQuery-Daten-Exfiltration

Exfiltration: BigQuery-Datenextraktion

Exfiltration: BigQuery-Daten in Google Drive

Exfiltration: Move to Public BigQuery resource (Vorschau)

 Keine
Google Kubernetes Engine (GKE) Admin Activity-Audit-Logs

Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden

Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorschau)

Umgehung von Abwehrmaßnahmen: Anonymen Sitzungen wurde Clusteradministratorzugriff gewährt

Defense Evasion: Manually Deleted Certificate Signing Request (CSR)

Umgehung von Abwehrmaßnahmen: Mögliches Kubernetes-Pod-Masquerading

Umgehung von Abwehrmaßnahmen: Statischer Pod erstellt

Ausführung: Äußerst leistungsfähiger GKE-Container wird gestartet (Vorschau)

Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorschau)

Ausführung: Arbeitslast in sensiblem Namespace ausgelöst

Auswirkung: GKE-kube-dns-Änderung erkannt (Vorschau)

Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen

Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorschau)

Anfänglicher Zugriff: GKE-NodePort-Dienst erstellt

Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorschau)

Erster Zugriff: Erfolgreicher API-Aufruf über eine TOR-Proxy-IP-Adresse

Persistenz: GKE-Webhook-Konfiguration erkannt

Persistenz: Dienstkonto in sensiblem Namespace erstellt

Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten

Rechteausweitung: ClusterRole mit privilegierten Verben (Vorschau)

Rechteausweitung: ClusterRoleBinding für privilegierte Rolle

Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat

Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen

Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access

Rechteausweitung: Start eines privilegierten Kubernetes-Containers

Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorschau)

Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorschau)

Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorschau)

Keine
IAM Admin Activity-Audit-Logs

Persistenz: Ungewöhnliche IAM-Gewährung (Vorschau)

Persistenz: Sensible Rolle für nicht verwaltetes Konto gewährt

Rechteausweitung: Standarddienstkonto für Compute Engine SetIAMPolicy

Berechtigungseskalierung: Inaktives Dienstkonto mit vertraulicher Rolle

Berechtigungseskalierung: Rolle „Impersonation“ für inaktives Dienstkonto gewährt

Rechteausweitung: Sensible Rolle der Hybridgruppe gewährt

 Keine
MySQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
PostgreSQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
SQL Server-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
Allgemeine Audit-Logs zur Administratoraktivität

Umgehung von Abwehrmaßnahmen: Filterung der IP-Adressen von GCS-Buckets geändert

Umgehung von Abwehrmaßnahmen: HTTP-Richtlinienblockierung des Projekts deaktiviert

Anfänglicher Zugriff: Aktion über inaktives Dienstkonto

Anfänglicher Zugriff: Keine Dienstkontoaktivität im KI-Dienst

Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt

Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen

Erstzugriff: Gehackter Dienstkontoschlüssel verwendet

Lateral Movement: Geändertes Bootlaufwerk an Instanz angehängt (Vorschau)

Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt

Persistenz: GCE-Administrator hat Startskript hinzugefügt

Persistenz: Neue KI-API-Methode

Persistenz: Neue API-Methode

Persistenz: Neue Region

Persistenz: Neue geografische Region für KI-Dienst

Persistenz: Neuer User-Agent

Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos für Administratoraktivitäten

Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität

Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten

Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für KI-Administratoraktivitäten

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten

Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität

Keine
Audit-Logs von VPC Service Controls Defense Evasion: VPC Service Control modifizieren (Vorschau) Keine
Audit-Logs zur Administratoraktivität für Sicherung und Notfallwiederherstellung

Auswirkung: Alle Images in Google Cloud Backup & DR laufen ab

Auswirkung: Gelöschte Google Cloud Backup & DR-Sicherung

Auswirkung: Gelöschter Google Cloud Backup and DR-Host

Auswirkung: Verknüpfung des Google Cloud Backup & DR-Plans gelöscht

Auswirkungen: Gelöschter Google Cloud Backup and DR-Vault

Auswirkungen: Google Cloud Backup and DR delete policy

Auswirkungen: Google Cloud Backup & DR, Profil löschen

Auswirkungen: Google Cloud Backup & DR, Vorlage löschen

Auswirkung: Google Cloud Backup and DR, Image ablaufen lassen

Auswirkung: Ablauf von Sicherungen in Google Cloud Backup and DR verkürzen

Auswirkung: Google Cloud Backup & DR – Häufigkeit von Sicherungen verringern

Auswirkungen: Google Cloud-Sicherung und ‑Notfallwiederherstellung, Appliance entfernen

Auswirkung: Google Cloud Backup & DR – Plan entfernen

Systemwiederherstellung verhindern: Google Cloud Backup and DR löscht Speicherpool

Keine
Audit-Logs zu IAM-Systemereignissen

Ausführung: Docker-Image für Cryptomining

Auswirkungen: Cryptomining-Befehle

 Keine

Nächste Schritte