Cette page a été traduite par l'API Cloud Translation.

Présentation d'Event Threat Detection

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging et les journaux Google Workspace de votre entreprise, et utilise les journaux de vos projets dès qu'ils deviennent disponibles. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.

Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.

Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center et dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Functions.

Vous pouvez également utiliser Chronicle pour examiner certains résultats. Chronicle est un service Google Cloud qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour obtenir des instructions sur l'envoi de résultats à Chronicle, consultez la page Examiner les résultats dans Chronicle.

Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.

Règles d'Event Threat Detection

Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher	Nom de l'API	Types de sources de journal	Description
Analyse active : Log4j vulnérable à RCE	Indisponible	Journaux Cloud DNS Remarque : Vous devez activer la journalisation Cloud DNS pour utiliser cette règle.	Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Attaques par force brute SSH	`BRUTE_FORCE_SSH`	syslog	Détection d'une attaque par force brute SSH réussie sur un hôte
Accès aux identifiants : membre externe ajouté au groupe privilégié	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Détecte lorsqu'un membre externe est ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Accès aux identifiants : groupe privilégié ouvert au public	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace : Audit d'administration Autorisations : `DATA_READ`	Détecte lorsqu'un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) est modifié pour devenir accessible au grand public. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Accès aux identifiants : rôle sensible attribué au groupe hybride	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Journaux d'audit Cloud : Journaux des activités d'administration	Détecte quand des rôles sensibles sont attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Defense Evasion : Modifier VPC Service Controls	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud Audit Logs Journaux d'audit de VPC Service Controls	Détecte une modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection proposée par ce périmètre.
Découverte : Vérification des objets sensibles Kubernetes^Preview	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud Audit Logs : Journaux d'accès aux données GKE	Un individu malveillant a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande `kubectl auth can-i get`. Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants : `*` (tous) `cluster-admin` `ClusterRole` `cluster-admin` `ClusterRoleBinding` `Secret`
Découverte : Auto-enquête sur le compte de service	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Cloud Audit Logs : Journaux d'accès aux données Resource Manager Autorisations : `DATA_READ`	Détection des identifiants de compte de service IAM permettant d'examiner les rôles et les autorisations associés à ce même compte de service. Rôles sensibles^Bêta Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Fuite : accès depuis le proxy d'anonymisation	`ANOMALOUS_ACCESS`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata Autorisations : `DATA_READ`	Détecte les cas suivants : Ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert. Tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls.
Exfiltration : extraction de données BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata Autorisations : `DATA_READ`	Détecte les cas suivants : Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation. Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage accessible au public et appartenant à cette organisation.
Exfiltration : données BigQuery vers Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata Autorisations : `DATA_READ`	Détecte les éléments suivants : Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive.
Exfiltration : exfiltration de données Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud Audit Logs : Journaux d'accès aux données MySQL Journaux d'accès aux données PostgreSQL Journaux d'accès aux données SQL Server	Détecte les cas suivants : Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation. Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud Audit Logs : Journaux des activités d'administration MySQL Journaux des activités d'administration PostgreSQL Journaux des activités d'administration SQL Server	Détecte le moment où la sauvegarde d'une instance CloudSQL est restaurée sur une instance à l'extérieur de l'organisation.
Exfiltration : octroi de privilèges Cloud SQL trop élevés	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs : Journaux d'accès aux données PostgreSQL Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle.	Détecte lorsqu'un utilisateur ou un rôle CloudSQL Postgres s'est vu attribué tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Défenses diminuées : authentification forte - désactivé	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Audit d'administration	La validation en deux étapes a été désactivée pour l'organisation.
Défenses diminuées : Vérification en deux étapes - désactivé	`2SV_DISABLE`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Un utilisateur a désactivé la validation en deux étapes.
Accès initial : piratage - compte désactivé	`ACCOUNT_DISABLED_HIJACKED`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte.
Accès initial : fuite de mot de passe - désactivé	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée.
Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement	`GOV_ATTACK_WARNING`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur.
Accès initial : tentative de compromis Log4j	Indisponible	Journaux d'équilibrage de charge Cloud : Équilibreur de charge HTTP Cloud Remarque : Vous devez activer la journalisation de l'équilibrage de charge HTTP(S) pour utiliser cette règle.	Détecte les recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage. Cette règle est toujours activée.
Accès initial : connexion suspecte - bloqué	`SUSPICIOUS_LOGIN`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée.
Logiciel malveillant Log4j : domaine incorrect	`LOG4J_BAD_DOMAIN`	Journaux Cloud DNS : Journaux des activités d'administration	Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte	`LOG4J_BAD_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine incorrect	`MALWARE_BAD_DOMAIN`	Journaux Cloud DNS : Journal d'activité d'administration	Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu
Logiciel malveillant : adresse IP incorrecte	`MALWARE_BAD_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie	`CRYPTOMINING_POOL_DOMAIN`	Journaux Cloud DNS : Journaux des activités d'administration	Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie	`CRYPTOMINING_POOL_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue
DoS sortant	`OUTGOING_DOS`	Journaux de flux VPC	Détection du trafic de déni de service sortant
Persistance : ajout d'une clé SSH par l'administrateur Compute Engine	`GCE_ADMIN_ADD_SSH_KEY`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : ajout d'un script de démarrage par l'administrateur Compute Engine	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection d'une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : Octroi anormal d'autorisations IAM	`IAM_ANOMALOUS_GRANT`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des privilèges accordés aux utilisateurs et aux comptes de service IAM qui ne sont pas membres de l'organisation. Remarque : Ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si une autorisation IAM sensible est accordée à un membre externe et que moins de trois stratégies IAM existantes sont similaires, ce détecteur génère un résultat. Rôles sensibles^Bêta Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Persistance : Nouvelle méthode d'API^Preview	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des comptes utilisateur de service et utilisateur IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes.
Persistance : Nouvel agent utilisateur	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux ou suspects.
Persistance : activer/désactiver l'authentification unique	`TOGGLE_SSO_ENABLED`	Google Workspace: Audit d'administration	Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.
Persistance : paramètres SSO modifiés	`CHANGE_SSO_SETTINGS`	Google Workspace : Audit d'administration	Les paramètres SSO du compte administrateur ont été modifiés.
Élévation des privilèges : Modifications apportées à des objets sensibles Kubernetes RBAC^Preview	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Journaux d'audit Cloud : Journaux des activités d'administration	Pour élever un privilège, un individu malveillant a tenté de modifier les objets `cluster-admin` `ClusterRole` et `ClusterRoleBinding` en utilisant une requête `PUT` ou `PATCH`.
Élévation des privilèges : Création d'une requête de signature de certificat Kubernetes pour le certificat principal^Preview	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud Audit Logs : Journaux d'accès aux données GKE	Un individu malveillant a créé un certificat principal Kubernetes, qui lui permet de disposer de l'accès `cluster-admin`.
Élévation des privilèges : Création de liaisons Kubernetes sensibles^Preview	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Journaux d'audit Cloud : Journaux des activités d'administration	Un acteur malveillant a tenté de créer des objets `cluster-admin` `RoleBinding` ou `ClusterRoleBinding` pour élever le privilège.
Élévation des privilèges : Obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis^Preview	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud Audit Logs : Journaux d'accès aux données GKE	Un individu malveillant a émis une requête de signature de certificat (CSR) à l'aide de la commande `kubectl`, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges : Exécution d'un conteneur Kubernetes privilégié^Preview	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Journaux d'audit Cloud : Journaux des activités d'administration	Un individu malveillant a créé des pods contenant des conteneurs privilégiés ou des conteneurs dotés de fonctionnalités d'élévation des privilèges. Le champ `privileged` d'un conteneur privilégié est défini sur `true`. Le champ `allowPrivilegeEscalation` d'un conteneur doté de fonctionnalités d'élévation des privilèges.est défini sur `true`. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.

Pour créer des règles de détection personnalisées, vous pouvez exporter vos données de journal vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.

Modifications non sécurisées apportées aux groupes Google

Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM.

Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations personnelles, et ne sont pas recommandés pour les membres de groupe externes.

Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Les journaux d'audit Cloud enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.

Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation.

Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :

Membres de groupe externes ajoutés aux groupes privilégiés
Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder

Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.

Rôles et autorisations IAM sensibles

Les modifications non sécurisées apportées aux groupes Google ne génèrent des résultats que si elles impliquent des rôles à sensibilité élevée ou moyenne. La sensibilité des rôles a un impact sur le niveau de gravité attribué aux résultats.

Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud, et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
- Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
- Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.

Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google qui correspondent aux rôles à sensibilité élevée et moyenne suivants.

Tableau 1. Rôles à sensibilité élevée
Catégorie	Rôle	Description
Les rôles de base contiennent des milliers d'autorisations pour tous les services Google Cloud.	`roles/owner`	Rôles de base
	`roles/editor`	Rôles de base
Les rôles de sécurité contrôlent l'accès aux paramètres de sécurité.	`roles/cloudkms.*`	Tous les rôles Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Tous les rôles Web Security Scanner
	`roles/dlp.*`	Tous les rôles Cloud Data Loss Prevention.
	`roles/iam.*`	Tous les rôles IAM
	`roles/secretmanager.*`	Tous les rôles Secret Manager
	`roles/securitycenter.*`	Tous les rôles Security Command Center
Les rôles de journalisation contrôlent l'accès aux journaux d'une organisation.	`roles/errorreporting.*`	Tous les rôles Error Reporting
	`roles/logging.*`	Tous les rôles Cloud Logging
	`roles/stackdriver.*`	Tous les rôles Cloud Monitoring
Les rôles d'informations personnelles contrôlent l'accès aux ressources contenant des informations personnelles, y compris des coordonnées bancaires et des coordonnées.	`roles/billing.*`	Tous les rôles Cloud Billing
	`roles/healthcare.*`	Tous les rôles de l'API Cloud Healthcare
	`roles/essentialcontacts.*`	Tous les rôles Essential Contacts
Les rôles de mise en réseau contrôlent l'accès aux paramètres réseau d'une organisation.	`roles/dns.*`	Tous les rôles Cloud DNS
	`roles/domains.*`	Tous les rôles Cloud Domains
	`roles/networkconnectivity.*`	Tous les rôles Network Connectivity Center
	`roles/networkmanagement.*`	Tous les rôles Network Connectivity Center
	`roles/privateca.*`	Tous les rôles Certificate Authority Service
Les rôles de service contrôlent l'accès aux ressources de service dans Google Cloud.	`roles/cloudasset.*`	Tous les rôles de l'inventaire des éléments cloud
	`roles/servicedirectory.*`	Tous les rôles de l'annuaire des services
	`roles/servicemanagement.*`	Tous les rôles Service Management
	`roles/servicenetworking.*`	Tous les rôles Service Networking
	`roles/serviceusage.*`	Tous les rôles Service Usage
Les rôles Compute Engine contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu.	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Tous les rôles Administrateur et Éditeur de Compute Engine

Tableau 2. Rôles à sensibilité moyenne
Catégorie	Rôle	Description
Rôles de modification : rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud.	Par exemple : `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur. Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Rôles de stockage des données : rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données	Exemples : `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Tous les rôles à sensibilité moyenne Approbation d'accès `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Actions `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API Gateway `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorisation binaire `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Cloud Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Bêta Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Cloud Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Analyse de conteneurs `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Metastore Dataproc `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebasepredictions.admin` `roles/firebasepredictions.admin` } Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Service géré pour Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore pour Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Ops Config Monitoring `roles/opsconfigmonitoring.resourceMetadata.writer` Service de règles d'administration `roles/axt.admin` `roles/orgpolicy.policyAdmin` Autres rôles `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Balise de proximité `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA Enterprise `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recommendations AI `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Outil de recommandation `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Paramètres des ressources `roles/resourcesettings.admin` Accès au VPC sans serveur `roles/vpcaccess.admin` Gestion des clients du service `roles/serviceconsumermanagement.tenancyUnitsAdmin` Service de transfert de stockage `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebooks gérés par l'utilisateur dans Vertex AI Workbench `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

Types de journaux et conditions d'activation

Cette section répertorie les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'Event Threat Detection recherche dans chaque journal et, le cas échéant, ce que vous devez faire pour activer chaque journal.

Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'en activer un autre pour détecter la même menace.

Si un journal ne figure pas dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.

Analyses de journaux potentiellement redondantes

Event Threat Detection peut permettre la détection de logiciels malveillants sur le réseau en analysant l'un des journaux suivants:

Journaux d'audit pour les activités d'administration Cloud DNS
Journalisation Cloud NAT
Journalisation des règles de pare-feu
Journaux de flux VPC

Si vous utilisez déjà Cloud DNS, les journaux d'audit pour les activités d'administration de Cloud DNS sont déjà activés et n'ont pas de coût de génération. Pour la plupart des utilisateurs, les journaux d'audit pour les activités d'administration de Cloud DNS sont suffisants pour détecter les logiciels malveillants sur le réseau.

Si vous avez besoin d'un niveau de visibilité supérieur à la résolution de domaine, vous pouvez activer les journaux de flux VPC, mais ceux-ci peuvent entraîner des coûts. Pour gérer ces coûts, nous vous recommandons de faire passer l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage à 5% à 10 %. Toutefois, il existe un compromis entre le rappel (échantillon supérieur) et la gestion des coûts (taux d'échantillonnage plus faible).

Si vous utilisez déjà la journalisation des règles de pare-feu ou la journalisation Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.

Vous n'avez pas besoin d'activer plusieurs journaux Cloud NAT, journaux de règles de pare-feu ou journaux de flux VPC.

Journaux que vous devez activer

Le tableau suivant répertorie les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces que Event Threat Detection peut détecter.

Type de journal	Menaces détectées	Configuration obligatoire
Journaux d'audit pour l'accès aux données Cloud DNS	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Activer les journaux d'audit pour l'accès aux données Logging pour Cloud DNS
Journalisation Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activer la journalisation Cloud NAT
Journalisation des règles de pare-feu	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activez la journalisation des règles de pare-feu.
Journaux d'audit pour l'accès aux données de Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check`^Aperçu `Privilege Escalation: Create Kubernetes CSR for master cert`^Aperçu `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`^Aperçu `Privilege Escalation: Launch of privileged Kubernetes container`^Aperçu	Activer les journaux d'audit de Logging pour l'accès aux données pour GKE
Journaux d'audit de la console d'administration Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Partager les journaux d'audit de la console d'administration Google Workspace avec Cloud Logging
Journaux d'audit de connexion Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked<`/td>	Partager les journaux d'audit de connexion Google Workspace avec Cloud Logging
Journaux de service de backend d'équilibrage de charge HTTP(S)	`Initial Access: Log4j Compromise Attempt`	Activer la journalisation de l'équilibrage de charge HTTP(S)
Journaux d'audit pour l'accès aux données MySQL	`Exfiltration: Cloud SQL Data Exfiltration`	Activer les journaux d'audit pour l'accès aux données Logging pour Cloud SQL pour MySQL
Journaux d'audit pour l'accès aux données PostgreSQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Activez les journaux d'audit pour l'accès aux données Logging pour Cloud SQL pour PostgreSQL. Pour détecter la menace `Exfiltration: Cloud SQL Over-Privileged Grant`, vous devez également activer l'extension pgAudit
Journaux d'audit pour l'accès aux données Resource Manager	`Discovery: Service Account Self-Investigation`	Activer les journaux d'audit pour l'accès aux données Logging pour Resource Manager
Journaux d'audit pour l'accès aux données SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Activer les journaux d'audit pour l'accès aux données Logging pour Cloud SQL pour SQL Server
Journaux SSH/syslog sur les machines virtuelles	`Brute force SSH`	Installez l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM
Journaux de flux VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activez les journaux de flux VPC.

Journaux toujours activés

Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés, et Event Threat Detection les analyse automatiquement.

Type de journal	Menaces détectées	Configuration obligatoire
Journaux d'accès aux données BigQueryAuditMetadata	Exfiltration: exfiltration de données BigQuery exfiltration: extraction des données BigQuery exfiltration: données BigQuery vers Google Drive	Aucun
Journaux d'audit pour les activités d'administration Cloud DNS	Évasion: accès depuis un proxy anonymisé Log4j Logiciels malveillants: Domaine incorrect Logiciels malveillants: domaine incorrect Logiciels malveillants: Chiffrement de domaine incorrect	Aucun
Journaux d'audit des activités d'administration IAM	Accès aux identifiants : rôle sensible accordé au groupe hybride Persistance : clé SSH ajoutée par l'administrateur Compute Engine Persistance : script administrateur de démarrage ajouté à Compute Engine Persistance : anomalie IAM	Aucun
Journaux d'activité d'administration MySQL	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucun
Journaux d'activité de l'administrateur PostgreSQL	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucun
Journaux d'activité d'administration SQL Server	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucun
Journaux d'audit de VPC Service Controls	Defense Evasion : Modifier VPC Service Controls	Aucun

Étapes suivantes

Découvrez comment utiliser Event Threat Detection.
Découvrez comment examiner et développer des plans d'intervention sur les menaces.