Présentation d'Event Threat Detection

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré au niveau Premium de Security Command Center qui surveille en permanence votre organisation ou vos projets, et identifie les menaces au sein de vos systèmes, quasiment en temps réel. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets au fur et à mesure de leur création, et Event Threat Detection peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.

Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.

Lorsqu'Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire des résultats dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter les résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Functions.

Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez également utiliser Chronicle pour examiner certains résultats. Chronicle est un service Google Cloud qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour obtenir des instructions sur l'envoi de résultats à Chronicle, consultez la page Examiner les résultats dans Chronicle.

Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.

Règles d'Event Threat Detection

Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher Nom de l'API Types de sources de journal Description
Analyse active : Log4j vulnérable à RCE Indisponible Journaux Cloud DNS
Remarque : Vous devez activer la journalisation Cloud DNS pour utiliser cette règle.
Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Attaques par force brute SSH BRUTE_FORCE_SSH authlog Détection d'une attaque par force brute SSH réussie sur un hôte
Accès aux identifiants : membre externe ajouté au groupe privilégié EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ

Détecte les événements lorsqu'un membre externe est ajouté à un groupe Google privilégié (un groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Accès aux identifiants : groupe privilégié ouvert au public PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace :
Audit d'administration
Autorisations :
DATA_READ

Détecte les événements pour lesquels un groupe Google privilégié (un groupe doté de rôles ou d'autorisations sensibles) est modifié de sorte qu'il soit accessible au grand public. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Accès aux identifiants : rôle sensible attribué au groupe hybride SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Détecte les événements pour lesquels des rôles sensibles sont attribués à un groupe Google comportant des membres externes. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Défense Evasion: création d'un déploiement de charges de travail en mode "bris de glace"Preview BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte le déploiement des charges de travail déployées à l'aide de l'option de bris de glace afin de remplacer les contrôles d'autorisation binaire.
Défense Evasion: mise à jour du déploiement de charges de travail en mode "bris de glace"Preview BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte le moment où les charges de travail sont mises à jour à l'aide de l'option de bris de glace afin de remplacer les contrôles d'autorisation binaire.
Defense Evasion : Modifier VPC Service Controls DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Journaux d'audit Cloud Journaux d'audit de VPC Service Controls

Détecte une modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection proposée par ce périmètre.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Détection: peut obtenir une vérification des objets Kubernetes sensibles GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Journaux d'audit Cloud:
Journaux d'accès aux données GKE

Un acteur potentiellement malveillant a tenté de déterminer les objets sensibles de GKE qu'il peut interroger à l'aide de la commande kubectl auth can-i get. Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants :

Découverte : Auto-enquête sur le compte de service SERVICE_ACCOUNT_SELF_INVESTIGATION Journaux d'audit Cloud:
Journaux d'audit pour l'accès aux données IAM
Autorisations:
DATA_READ

Détection des identifiants de compte de service IAM permettant d'examiner les rôles et les autorisations associés à ce même compte de service.

Rôles sensibles

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Fuite : accès depuis le proxy d'anonymisation ANOMALOUS_ACCESS Journaux d'audit Cloud :
Journaux des activités d'administration
Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery DATA_EXFILTRATION_BIG_QUERY Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations :
DATA_READ
Détecte les cas suivants :

  • Ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert.

    Ce scénario est indiqué par une sous-règle exfil_to_external_table et un niveau de gravité HIGH.

  • Tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.

    Ce scénario est indiqué par une sous-règle vpc_perimeter_violation et un niveau de gravité LOW.

Exfiltration : extraction de données BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations :
DATA_READ
Détecte les cas suivants :

  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation.
  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage accessible au public et appartenant à cette organisation.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Exfiltration : données BigQuery vers Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations :
DATA_READ
Détecte les éléments suivants :

  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive.
Exfiltration : exfiltration de données Cloud SQL
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud Audit Logs : Journaux d'accès aux données MySQL
Journaux d'accès aux données PostgreSQL
Journaux d'accès aux données SQL Server
Détecte les cas suivants :

  • Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation.
  • Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs : Journaux des activités d'administration MySQL
Journaux des activités d'administration PostgreSQL
Journaux des activités d'administration SQL Server

Détecte les événements où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance externe à l'organisation.

Exfiltration : octroi de privilèges Cloud SQL trop élevés CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs : Journaux d'accès aux données PostgreSQL
Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle.

Détecte les événements pour lesquels un utilisateur ou un rôle Cloud SQL pour PostgreSQL a reçu tous les droits sur une base de données, ou sur l'ensemble des tables, procédures ou fonctions d'un schéma.

Accès initial: le super-utilisateur de base de données écrit dans les tables d'utilisateurs CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Journaux d'audit Cloud : Journaux d'accès aux données Cloud SQL pour PostgreSQL
Journaux d'accès aux données Cloud SQL pour MySQL
Remarque:Pour utiliser cette règle, vous devez activer l'extension pgAudit pour PostgreSQL ou l'audit de base de données pour MySQL.

Détecte les événements où un super-utilisateur Cloud SQL (postgres pour les serveurs PostgreSQL ou root pour les utilisateurs MySQL) écrit dans des tables non système.

Accès initial: action sur un compte de service inactif DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs : journaux des activités d'administration

Détecte les événements pour lesquels un compte de service géré par l'utilisateur inactif a déclenché une action. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.

Escalade des privilèges: rôle sensible attribué à un compte de service inactif DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs : journaux d'audit pour les activités d'administration IAM

Détecte les événements pour lesquels un compte de service géré par l'utilisateur inactif a reçu un ou plusieurs rôles IAM sensibles. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.

Rôles sensibles

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Persistance: rôle d'emprunt d'identité attribué à un compte de service inactif DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit Logs : journaux d'audit pour les activités d'administration IAM

Détecte les événements pour lesquels un compte principal se voit accorder des autorisations pour emprunter l'identité d'un compte de service inactif géré par l'utilisateur. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.

Accès initial: clé de compte de service inactif créée DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit Logs : journaux des activités d'administration

Détecte les événements pour lesquels une clé est créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.

Accès initial: clé de compte de service divulguée utilisée LEAKED_SA_KEY_USED Cloud Audit Logs : journaux des activités d'administration
Journaux d'accès aux données

Détecte les événements où une clé de compte de service divulguée est utilisée pour authentifier l'action. Dans ce contexte, une clé de compte de service divulguée est une clé publiée sur l'Internet public.

Accès initial: actions refusées en raison d'autorisations excessives EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs : journaux des activités d'administration

Détecte les événements pour lesquels un compte principal déclenche à plusieurs reprises des erreurs autorisation refusée en tentant de modifier plusieurs méthodes et services.

Défenses diminuées : authentification forte - désactivé ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit d'administration
La validation en deux étapes a été désactivée pour l'organisation.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Défenses diminuées : Vérification en deux étapes - désactivé 2SV_DISABLE Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ
Un utilisateur a désactivé la validation en deux étapes.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Accès initial : piratage - compte désactivé ACCOUNT_DISABLED_HIJACKED Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ
Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Accès initial : fuite de mot de passe - désactivé ACCOUNT_DISABLED_PASSWORD_LEAK Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ
Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement GOV_ATTACK_WARNING Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ
Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Accès initial : tentative de compromis Log4j Indisponible Journaux Cloud Load Balancing:
Équilibreur de charge HTTP Cloud
Remarque:Vous devez activer la journalisation de l'équilibreur de charge d'application externe pour utiliser cette règle.
Détecte les recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage.
Cette règle est toujours activée.
Accès initial : connexion suspecte - bloqué SUSPICIOUS_LOGIN Journaux Google Workspace :
Audit des connexions
Autorisations :
DATA_READ
Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Logiciel malveillant Log4j : domaine incorrect LOG4J_BAD_DOMAIN Journaux Cloud DNS:
Journaux Cloud DNS
Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte LOG4J_BAD_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT
Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine incorrect MALWARE_BAD_DOMAIN Journaux Cloud DNS:
Journaux Cloud DNS
Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu
Logiciel malveillant : adresse IP incorrecte MALWARE_BAD_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT
Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie CRYPTOMINING_POOL_DOMAIN Journaux Cloud DNS:
Journaux Cloud DNS
Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie CRYPTOMINING_POOL_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT
Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue
DoS sortant OUTGOING_DOS Journaux de flux VPC Détection du trafic de déni de service sortant
Persistance: clé SSH ajoutée par l'administrateur GCE GCE_ADMIN_ADD_SSH_KEY Journaux d'audit Cloud:
Journaux d'audit Compute Engine
Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance: l'administrateur GCE a ajouté un script de démarrage GCE_ADMIN_ADD_STARTUP_SCRIPT Journaux d'audit Cloud:
Journaux d'audit Compute Engine
Détection d'une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : octroi anormal d'autorisations IAM IAM_ANOMALOUS_GRANT Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Ce résultat inclut des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de ce résultat.

La liste suivante répertorie toutes les sous-règles possibles:

  • external_service_account_added_to_policy, external_member_added_to_policy : détection des droits accordés aux utilisateurs IAM et aux comptes de service qui ne sont pas membres de votre organisation ou, si Security Command Center n'est activé qu'au niveau du projet, à votre projet. Remarque:Si Security Command Center est activé au niveau de l'organisation à n'importe quel niveau, ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si l'activation de Security Command Center se fait uniquement au niveau du projet, le détecteur n'utilise que les stratégies IAM du projet comme contexte. Si une attribution IAM sensible à un membre externe se produit et que moins de trois stratégies IAM existantes lui sont similaires, ce détecteur génère un résultat.

    Rôles sensibles

    Les résultats sont classés par niveau de gravité Élevée ou Moyenne, en fonction du degré de sensibilité des rôles attribués. Pour en savoir plus, consultez la page Rôles et autorisations IAM sensibles.

  • external_member_invited_to_policy: détecte lorsqu'un membre externe est invité en tant que propriétaire du projet via l'API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: détecte le moment où l'autorisation setIAMPolicy est ajoutée à un rôle personnalisé.
  • service_account_granted_sensitive_role_to_member: détecte quand des rôles privilégiés sont accordés aux membres via un compte de service. Cette sous-règle est déclenchée par un sous-ensemble de rôles sensibles qui n'inclut que les rôles IAM de base et certains rôles de stockage de données. Pour en savoir plus, consultez la page Rôles et autorisations IAM sensibles.
  • policy_modified_by_default_compute_service_account: détecte les cas où un compte de service Compute Engine par défaut est utilisé pour modifier les paramètres IAM du projet
Persistance: nouvelle méthode API
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Journaux d'audit Cloud :
Journaux des activités d'administration
Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Journaux d'audit Cloud :
Journaux des activités d'administration
Détection des comptes utilisateur de service et utilisateur IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Persistance : nouvel agent utilisateur IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Journaux d'audit Cloud :
Journaux des activités d'administration
Détection des comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux ou suspects.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Persistance : activer/désactiver l'authentification unique TOGGLE_SSO_ENABLED Google Workspace:
Audit d'administration
Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Persistance : paramètres SSO modifiés CHANGE_SSO_SETTINGS Google Workspace:
Audit d'administration
Les paramètres SSO du compte administrateur ont été modifiés.

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Escalade des privilèges: usurpation d'identité anormale d'un compte de service pour les activités d'administration ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte lorsqu'un compte de service dont l'identité a été emprunté et qui peut présenter des anomalies est utilisé pour une activité d'administration.
Escalade des privilèges: délégation de compte de service multi-étapes anormale pour les activités d'administration ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte lorsqu'une requête déléguée en plusieurs étapes présente des anomalies pour une activité d'administration.
Escalade des privilèges: délégation de compte de service multi-étapes anormale pour l'accès aux données ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
Journaux d'accès aux données
Détecte lorsqu'une demande déléguée en plusieurs étapes anormale est détectée pour une activité d'accès aux données.
Escalade des privilèges: emprunt d'identité anormal d'un compte de service pour les activités d'administration ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Journaux d'audit Cloud :
Journaux des activités d'administration
Détecte l'utilisation d'un appelant ou d'un emprunt d'identité potentiellement anormal dans une chaîne de délégation pour une activité d'administration.
Escalade des privilèges: emprunt d'identité anormal d'un compte de service pour l'accès aux données ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs:
Journaux d'accès aux données
Détecte les cas où un appelant ou un emprunt d'identité potentiellement anormal dans une chaîne de délégation est utilisé pour une activité d'accès aux données.
Escalade des privilèges: modifications apportées aux objets Kubernetes RBAC sensibles GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Journaux d'audit Cloud:
Journaux des activités d'administration de GKE
Pour escalader un privilège, un acteur potentiellement malveillant a tenté de modifier un objet de contrôle des accès basé sur les rôles (RBAC) ClusterRole ou ClusterRoleBinding du rôle cluster-admin sensible à l'aide d'une requête PUT ou PATCH.
Escalade des privilèges: créer une requête de signature de certificat Kubernetes pour le certificat principal GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Journaux d'audit Cloud:
Journaux des activités d'administration de GKE
Un acteur potentiellement malveillant a créé une demande de signature de certificat (CSR) maître Kubernetes, qui lui donne un accès cluster-admin .
Escalade des privilèges: création de liaisons Kubernetes sensibles GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Pour escalader un privilège, un acteur potentiellement malveillant a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle cluster-admin.
Élévation des privilèges: obtenir la demande de signature de certificat pour Kubernetes avec des identifiants d'amorçage compromis GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Journaux d'audit Cloud:
Journaux d'accès aux données GKE
Un acteur potentiellement malveillant a envoyé une requête de demande de signature de certificat (CSR) à l'aide de la commande kubectl à l'aide d'identifiants d'amorçage compromis.
Escalade des privilèges: lancement d'un conteneur Kubernetes privilégié GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Journaux d'audit Cloud:
Journaux des activités d'administration de GKE

Un acteur potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou des conteneurs dotés de fonctionnalités d'élévation des privilèges.

Le champ privileged d'un conteneur privilégié est défini sur true. Le champ allowPrivilegeEscalation d'un conteneur doté de fonctionnalités d'élévation des privilèges.est défini sur true. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.

Modules personnalisés pour Event Threat Detection

En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de module que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour en savoir plus, consultez la page Présentation des modules personnalisés pour Event Threat Detection.

Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journal vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menaces.

Modifications non sécurisées apportées aux groupes Google

Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est possible que lorsque vous activez Security Command Center au niveau de l'organisation.

Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations personnelles, et ne sont pas recommandés pour les membres de groupe externes.

Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Les journaux d'audit Cloud enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.

Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux se trouvent au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que si vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center au niveau du projet.

Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :

  • Membres de groupe externes ajoutés aux groupes privilégiés
  • Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
  • Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder

Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.

Rôles et autorisations IAM sensibles

Cette section explique comment Event Threat Detection définit les rôles IAM sensibles. Les détections telles que les modifications de l'octroi anormal d'IAM et les modifications non sécurisées des groupes Google ne génèrent des résultats que si les modifications impliquent des rôles ayant un degré de sensibilité élevé ou moyen. La sensibilité des rôles a une incidence sur le niveau de gravité attribué aux résultats.

  • Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
  • Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud, et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
    • Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
    • Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.

L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est un membre externe ou une identité anormale, comme un compte principal inactif depuis longtemps. L'attribution de rôles sensibles à des membres externes constitue une menace potentielle, car ils peuvent faire l'objet d'un piratage de compte et d'une exfiltration de données.

Les catégories de résultats qui utilisent ces rôles sensibles sont les suivantes:

  • Persistance: attribution anormale d'IAM
    • Sous-règle: external_service_account_added_to_policy
    • Sous-règle: external_member_added_to_policy
  • Accès aux identifiants : rôle sensible attribué au groupe hybride
  • Escalade des privilèges: rôle sensible attribué à un compte de service inactif

Les catégories de résultats qui utilisent un sous-ensemble des rôles sensibles sont les suivantes:

  • Persistance: attribution anormale d'IAM
    • Sous-règle: service_account_granted_sensitive_role_to_member

La sous-règle service_account_granted_sensitive_role_to_member cible généralement les membres externes et internes et n'utilise donc qu'un sous-ensemble de rôles sensibles, comme expliqué dans la section Règles Event Threat Detection.

Tableau 1. Rôles à sensibilité élevée
Catégorie Rôle Description
Les rôles de base contiennent des milliers d'autorisations pour tous les services Google Cloud. roles/owner Rôles de base
roles/editor
Les rôles de sécurité contrôlent l'accès aux paramètres de sécurité. roles/cloudkms.* Tous les rôles Cloud Key Management Service
roles/cloudsecurityscanner.* Tous les rôles Web Security Scanner
roles/dlp.* Tous les rôles de protection des données sensibles
roles/iam.* Tous les rôles IAM
roles/secretmanager.* Tous les rôles Secret Manager
roles/securitycenter.* Tous les rôles Security Command Center
Les rôles de journalisation contrôlent l'accès aux journaux d'une organisation. roles/errorreporting.* Tous les rôles Error Reporting
roles/logging.* Tous les rôles Cloud Logging
roles/stackdriver.* Tous les rôles Cloud Monitoring
Les rôles d'informations personnelles contrôlent l'accès aux ressources contenant des informations personnelles, y compris des coordonnées bancaires et des coordonnées. roles/billing.* Tous les rôles Cloud Billing
roles/healthcare.* Tous les rôles de l'API Cloud Healthcare
roles/essentialcontacts.* Tous les rôles Essential Contacts
Les rôles de mise en réseau contrôlent l'accès aux paramètres réseau d'une organisation. roles/dns.* Tous les rôles Cloud DNS
roles/domains.* Tous les rôles Cloud Domains
roles/networkconnectivity.* Tous les rôles Network Connectivity Center
roles/networkmanagement.* Tous les rôles Network Connectivity Center
roles/privateca.* Tous les rôles Certificate Authority Service
Les rôles de service contrôlent l'accès aux ressources de service dans Google Cloud. roles/cloudasset.* Tous les rôles de l'inventaire des éléments cloud
roles/servicedirectory.* Tous les rôles de l'annuaire des services
roles/servicemanagement.* Tous les rôles Service Management
roles/servicenetworking.* Tous les rôles Service Networking
roles/serviceusage.* Tous les rôles Service Usage
Les rôles Compute Engine contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Tous les rôles Administrateur et Éditeur de Compute Engine
Tableau 2. Rôles à sensibilité moyenne
Catégorie Rôle Description
Rôles de modification : rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud.

Par exemple :

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur.

Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.

Rôles de stockage des données : rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données

Exemples :

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Tous les rôles à sensibilité moyenne

Access Approval
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Actions
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorisation binaire
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBêta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Artifact Analysis
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
{19/2/2}
/20/}
}


roles/firebaseperformance.adminroles/firebasepredictions.adminroles/firebaserules.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Service géré pour Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore pour Redis
roles/redis.admin
roles/redis.editor

API On-Demand Scanning
roles/ondemandscanning.admin

Ops Config Monitoring
roles/opsconfigmonitoring.resourceMetadata.writer

Service de règles d'administration
roles/axt.admin
roles/orgpolicy.policyAdmin

Autres rôles
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Balise de proximité
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recommendations AI
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Outil de recommandation
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Paramètres des ressources
roles/resourcesettings.admin

Accès au VPC sans serveur
roles/vpcaccess.admin

Service Consumer Management
roles/serviceconsumermanagement.tenancyUnitsAdmin

Service de transfert de stockage
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebooks Vertex AI Workbench gérés par l'utilisateur
roles/notebooks.admin
roles/notebooks.legacyAdmin

Processus
roles/workflows.admin
roles/workflows.editor

Types de journaux et conditions requises pour l'activation

Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'Event Threat Detection recherche dans chaque journal et ce que vous devez faire, le cas échéant, pour activer chaque journal.

Vous ne devez activer une ouverture de session pour Event Threat Detection que si toutes les conditions suivantes sont remplies:

  • Vous utilisez le produit ou le service qui écrit dans le journal.
  • Vous devez protéger le produit ou le service contre les menaces détectées par Event Threat Detection dans le journal.
  • Il s'agit d'un journal d'audit des accès aux données ou d'un autre journal qui est désactivé par défaut.

Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter cette même menace.

Si un journal ne figure pas dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.

Comme décrit dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau du projet, Event Threat Detection n'analyse pas ces journaux et ne génère aucun résultat.

Analyses de journaux potentiellement redondantes

Event Threat Detection peut détecter les logiciels malveillants sur le réseau en analysant l'un des journaux suivants:

  • Journaux d'audit pour les activités d'administration Cloud DNS
  • Journalisation Cloud NAT
  • Journalisation des règles de pare-feu
  • Journaux de flux VPC

Si vous utilisez déjà Cloud DNS, les journaux d'audit pour les activités d'administration Cloud DNS sont déjà activés et n'engendrent aucun coût de génération. Pour la plupart des utilisateurs, les journaux d'audit pour les activités d'administration de Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.

Si vous avez besoin d'un niveau de visibilité supérieur à la résolution du domaine, vous pouvez activer les journaux de flux VPC, mais ceux-ci peuvent entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5% et 10%, mais il existe un compromis entre le rappel (échantillon plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible).

Si vous utilisez déjà la journalisation des règles de pare-feu ou la journalisation Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.

Il n'est pas nécessaire d'activer plusieurs fonctionnalités de journalisation Cloud NAT, de journalisation des règles de pare-feu ou de journaux de flux VPC.

Journaux que vous devez activer

Cette section liste les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces qu'Event Threat Detection peut détecter.

Certaines menaces, telles que celles liées à l'usurpation d'identité anormale ou à la délégation d'un compte de service, figurent dans la plupart des journaux d'audit. Pour ces types de menaces, vous déterminez les journaux à activer en fonction des produits et services que vous utilisez.

Le tableau suivant présente les journaux spécifiques que vous devez activer pour les menaces ne pouvant être détectées que dans certains types de journaux spécifiques.

Type de journal Menaces détectées Configuration obligatoire
Journaux d'audit pour l'accès aux données Cloud DNS Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed
Activer les journaux d'audit des accès aux données Logging pour Cloud DNS
Journalisation Cloud NAT Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Activer la journalisation Cloud NAT
Journalisation des règles de pare-feu Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Activez la journalisation des règles de pare-feu.
Journaux d'audit des accès aux données Google Kubernetes Engine (GKE) Discovery: Can get sensitive Kubernetes object check
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials
Activer les journaux d'audit des accès aux données Logging pour GKE
Journaux d'audit des administrateurs Google Workspace Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed
Partager les journaux d'audit d'administration Google Workspace avec Cloud Logging

Impossible d'analyser ce type de journal dans les activations au niveau du projet.

Journaux d'audit de connexion à Google Workspace Credential Access: External Member Added To Privileged Group
Impair Defenses: Two Step Verification Disabled
Initial Access: Account Disabled Hijacked
Initial Access: Disabled Password Leak
Initial Access: Government Based Attack
Initial Access: Suspicious Login Blocked
Partager les journaux d'audit de connexion Google Workspace avec Cloud Logging

Impossible d'analyser ce type de journal dans les activations au niveau du projet.

Journaux du service de backend de l'équilibreur de charge d'application externe Initial Access: Log4j Compromise Attempt Activer la journalisation de l'équilibreur de charge d'application externe
Journaux d'audit pour l'accès aux données MySQL Exfiltration: Cloud SQL Data Exfiltration Activer les journaux d'audit d'accès aux données Logging pour Cloud SQL pour MySQL
Équilibreur de charge d'application externe d'accès aux données PostgreSQL Exfiltration: Cloud SQL Data Exfiltration
Exfiltration: Cloud SQL Over-Privileged Grant
Journaux d'audit pour l'accès aux données Resource Manager Discovery: Service Account Self-Investigation Activer les journaux d'audit des accès aux données Logging pour Resource Manager
Journaux d'audit pour l'accès aux données SQL Server Exfiltration: Cloud SQL Data Exfiltration Activer les journaux d'audit des accès aux données Logging pour Cloud SQL pour SQL Server
Journaux d'audit génériques pour l'accès aux données Initial Access: Leaked Service Account Key Used
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
Activez les journaux d'audit pour l'accès aux données Logging.
authlogs/authlog sur les machines virtuelles Brute force SSH Installez l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM.
Journaux de flux VPC Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Outgoing DoS
Activez les journaux de flux VPC.

Journaux toujours activés

Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés, et Event Threat Detection les analyse automatiquement.

Type de journal Menaces détectées Configuration obligatoire
Journaux d'accès aux données BigQueryAuditMetadata Exfiltration: exfiltration de données BigQuery
Exfiltration: extraction de données BigQuery
Exfiltration: données BigQuery vers Google Drive
Aucune
Journaux d'audit pour les activités d'administration de Cloud DNS Logiciel malveillant Log4j: domaine incorrect
Logiciel malveillant: domaine incorrect
Logiciel malveillant: minage de chiffrement d'un domaine incorrect
Aucune
Journaux d'audit pour les activités d'administration de Google Kubernetes Engine (GKE) Escalade des privilèges: modifications apportées aux objets Kubernetes RBAC sensibles
Escalade des privilèges: création de liaisons Kubernetes sensibles
Augmentation des privilèges: lancement d'un conteneur Kubernetes privilégié
Escalade des privilèges: créer une demande de signature de certificat Kubernetes pour le certificat principal
Aucune
Journaux d'audit pour les activités d'administration IAM Accès aux identifiants: rôle sensible attribué à un groupe hybride
élévation des privilèges: rôle sensible attribué à un compte de service inactif
Persistance: rôle d'emprunt d'identité accordé à un compte de service inactif
Persistance: attribution anormale d'IAM
Aucune
Journaux d'activité d'administration MySQL Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucune
Journaux pour les activités d'administration PostgreSQL Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucune
Journaux pour les activités d'administration SQL Server Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucune
Journaux d'audit génériques pour les activités d'administration Accès initial : action de compte de service inactif >
Accès initial : clé de compte de service inactif créée
Accès initial : droits d'administrateur multiples : actions refusées
Accès initial : clé de compte de service fuite utilisée
Persistance : Clé SSH ajoutée par l'administrateur Compute Engine
Persistance : escalade d'une clé de compte de service Compute Engine ajoutée
Persistance : nouvelle méthode d'escalade des droits d'utilisateur : nouvelle méthode d'escalade des droits d'utilisateur





Aucune
Journaux d'audit de VPC Service Controls Defense Evasion : Modifier VPC Service Controls Aucune

Étapes suivantes