Présentation d'Event Threat Detection

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré au niveau Premium de Security Command Center. Il surveille en permanence votre organisation ou vos projets, et identifie les menaces qui pèsent sur vos systèmes en temps quasi réel. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets au fur et à mesure de leur création, et Event Threat Detection peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.

Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.

Lorsqu'Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire les résultats dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter les résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Functions.

Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez également utiliser Chronicle pour examiner certains résultats. Chronicle est un service Google Cloud qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour obtenir des instructions sur l'envoi de résultats à Chronicle, consultez la page Examiner les résultats dans Chronicle.

Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.

Règles d'Event Threat Detection

Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher	Nom de l'API	Types de sources de journal	Description
Analyse active : Log4j vulnérable à RCE	Indisponible	Journaux Cloud DNS	Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Empêcher la récupération du système: hôte de sauvegarde et de reprise après sinistre Google Cloud supprimé	`BACKUP_HOSTS_DELETE_HOST`	Journaux d'audit Cloud: Journaux pour l'accès aux données du service de sauvegarde et de reprise après sinistre	Un hôte a été supprimé du service de sauvegarde et de reprise après sinistre. Les applications associées à l'hôte supprimé peuvent ne pas être protégées.
Destruction de données: image arrivée à expiration de la sauvegarde et de la reprise après sinistre Google Cloud	`BACKUP_EXPIRE_IMAGE`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un utilisateur a demandé la suppression d'une image de back-up à partir de la sauvegarde et de la reprise après sinistre. La suppression d'une image de back-up n'empêche pas les futures sauvegardes.
Empêcher la récupération du système: supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud	`BACKUP_REMOVE_PLAN`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un plan de sauvegarde contenant plusieurs règles pour une application a été supprimé de la sauvegarde et de la reprise après sinistre. La suppression d'un plan de sauvegarde peut empêcher les sauvegardes futures.
Destruction de données: la sauvegarde et la reprise après sinistre Google Cloud expirent toutes les images	`BACKUP_EXPIRE_IMAGES_ALL`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un utilisateur a demandé la suppression de toutes les images de back-up d'une application protégée à partir de la sauvegarde et de la reprise après sinistre. La suppression d'images de back-up n'empêche pas les futures sauvegardes.
Empêcher la récupération du système: modèle de sauvegarde et de reprise après sinistre Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un modèle de sauvegarde prédéfini, utilisé pour configurer les sauvegardes de plusieurs applications, a été supprimé. La possibilité de configurer des sauvegardes à l'avenir pourrait être affectée.
Empêcher la récupération du système: stratégie de sauvegarde et de suppression pour reprise après sinistre Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Une stratégie de sauvegarde et de reprise après sinistre, qui définit la manière dont une sauvegarde est effectuée et où elle est stockée, a été supprimée. Les futures sauvegardes qui utilisent cette règle risquent d'échouer.
Empêcher la récupération du système: profil de sauvegarde et de suppression de reprise après sinistre Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un profil de sauvegarde et de reprise après sinistre, qui définit les pools de stockage à utiliser pour stocker les sauvegardes, a été supprimé. Les futures sauvegardes qui utilisent le profil risquent d'échouer.
Destruction de données: suppression du dispositif de sauvegarde et de reprise après sinistre Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un dispositif de sauvegarde a été supprimé du service de sauvegarde et de reprise après sinistre. Il est possible que les applications associées à ce dispositif de sauvegarde ne soient pas protégées.
Empêcher la récupération du système: suppression du pool de stockage par la sauvegarde et la reprise après sinistre Google Cloud	`BACKUP_STORAGE_POOLS_DELETE`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Un pool de stockage, qui associe un bucket Cloud Storage à la sauvegarde et à la reprise après sinistre, a été supprimé de la sauvegarde et de la reprise après sinistre. Les futures sauvegardes vers cette cible de stockage échoueront.
Impact: la sauvegarde Google Cloud et la reprise après sinistre ont réduit l'expiration de la sauvegarde	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	La date d'expiration d'une sauvegarde protégée par la sauvegarde et la reprise après sinistre a été réduite.
Impact: la sauvegarde et la reprise après sinistre Google Cloud réduisent la fréquence des sauvegardes	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Journaux d'audit Cloud: Journaux de sauvegarde et d'accès aux données de reprise après sinistre	Le calendrier des sauvegardes pour la sauvegarde et la reprise après sinistre a été modifié afin de réduire la fréquence des sauvegardes.
Attaques par force brute SSH	`BRUTE_FORCE_SSH`	Journaux d'authentification	Détection d'une attaque par force brute SSH réussie sur un hôte
Cloud IDS: `THREAT_IDENTIFIER` ^Preview	`CLOUD_IDS_THREAT_ACTIVITY`	Journaux Cloud IDS	Événements détectés par Cloud IDS Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'un événement est détecté, envoie un résultat à Security Command Center. Les noms de catégories de résultats commencent par "Cloud IDS", suivi de l'identifiant de menace Cloud IDS. Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur Cloud IDS Logging.
Accès aux identifiants : membre externe ajouté au groupe privilégié	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Détecte les événements lorsqu'un membre externe est ajouté à un groupe Google privilégié (c'est-à-dire un groupe disposant de rôles ou d'autorisations sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès aux identifiants : groupe privilégié ouvert au public	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace : Audit d'administration Autorisations : `DATA_READ`	Détecte les événements où un groupe Google privilégié (c'est-à-dire un groupe disposant de rôles ou d'autorisations sensibles) est modifié de manière à être accessible au grand public. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès aux identifiants : rôle sensible attribué au groupe hybride	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Détecte les événements pour lesquels des rôles sensibles sont attribués à un groupe Google comportant des membres externes. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Defense Evasion: Déploiement de charges de travail en mode "bris de glace" créé^Bêta	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Journaux d'audit Cloud : Journaux des activités d'administration	Détecte le déploiement de charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Defense Evasion: Déploiement de charges de travail en mode "bris de glace" créé^Bêta	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Journaux d'audit Cloud : Journaux des activités d'administration	Détecte les mises à jour de charge de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Defense Evasion : Modifier VPC Service Controls	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud Audit Logs Journaux d'audit de VPC Service Controls	Détecte une modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection proposée par ce périmètre. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Découverte : vérification des objets Kubernetes sensibles	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud Audit Logs: Journaux d'accès aux données GKE	Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande `kubectl auth can-i get`. Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants : `*` (tous) `cluster-admin` `ClusterRole` `Secret`
Découverte : Auto-enquête sur le compte de service	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Journaux d'audit Cloud: Journaux d'audit pour l'accès aux données IAM Autorisations: `DATA_READ`	Détection des identifiants de compte de service IAM permettant d'examiner les rôles et les autorisations associés à ce même compte de service. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Evasion: accès depuis le proxy anonymisé	`ANOMALOUS_ACCESS`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata Autorisations : `DATA_READ`	Détecte les cas suivants : Ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert. Ce scénario est indiqué par une sous-règle `exfil_to_external_table` et un niveau de gravité `HIGH`. Tenter d'accéder aux ressources BigQuery protégées par VPC Service Controls. Ce scénario est indiqué par une sous-règle `vpc_perimeter_violation` et un niveau de gravité `LOW`.
Exfiltration : extraction de données BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata Autorisations : `DATA_READ`	Détecte les cas suivants : Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation. Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage accessible au public et appartenant à cette organisation. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.
Exfiltration : données BigQuery vers Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Cloud Audit Logs : Journaux d'accès aux données BigQueryAuditMetadata Autorisations : `DATA_READ`	Détecte les éléments suivants : Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive.
Exfiltration : exfiltration de données Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud Audit Logs : Journaux d'accès aux données MySQL Journaux d'accès aux données PostgreSQL Journaux d'accès aux données SQL Server	Détecte les cas suivants : Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation. Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public. Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud Audit Logs : Journaux des activités d'administration MySQL Journaux des activités d'administration PostgreSQL Journaux des activités d'administration SQL Server	Détecte les événements où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance externe à l'organisation.
Exfiltration : octroi de privilèges Cloud SQL trop élevés	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs : Journaux d'accès aux données PostgreSQL Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle.	Détecte les événements pour lesquels un utilisateur ou un rôle Cloud SQL pour PostgreSQL a reçu tous les droits sur une base de données, ou sur l'ensemble des tables, procédures ou fonctions d'un schéma.
Accès initial: le super-utilisateur de la base de données écrit dans les tables utilisateur	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Journaux d'audit Cloud : Journaux d'accès aux données Cloud SQL pour PostgreSQL Journaux d'accès aux données Cloud SQL pour MySQL Remarque:Pour utiliser cette règle, vous devez activer l'extension pgAudit pour PostgreSQL ou l'audit de base de données pour MySQL.	Détecte les événements où un super-utilisateur Cloud SQL (`postgres` pour les serveurs PostgreSQL ou `root` pour les utilisateurs MySQL) écrit dans des tables non système.
^PreviewÉlévation des privilèges: autorisation excessive d'AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Journaux d'audit Cloud : Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque:Vous devez activer l'extension pgAudit pour utiliser cette règle.	Détecte les événements pour lesquels un utilisateur ou un rôle AlloyDB pour PostgreSQL a reçu tous les droits sur une base de données, ou sur l'ensemble des tables, procédures ou fonctions d'un schéma.
^PreviewÉlévation des privilèges: le super-utilisateur de base de données AlloyDB écrit dans les tables utilisateur	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Journaux d'audit Cloud : Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque:Vous devez activer l'extension pgAudit pour utiliser cette règle.	Détecte les événements où un super-utilisateur AlloyDB pour PostgreSQL (`postgres`) écrit dans des tables non système.
Accès initial: action sur un compte de service inactif	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud Audit Logs : journaux des activités d'administration	Détecte les événements pour lesquels un compte de service géré par l'utilisateur inactif a déclenché une action. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.
Élévation des privilèges: rôle sensible attribué à un compte de service inactif	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs : journaux d'audit pour les activités d'administration IAM	Détecte les événements pour lesquels un compte de service géré par l'utilisateur dormant a reçu un ou plusieurs rôles IAM sensibles. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Persistance: rôle d'emprunt d'identité attribué à un compte de service inactif	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Cloud Audit Logs : journaux d'audit pour les activités d'administration IAM	Détecte les événements pour lesquels un compte principal se voit accorder des autorisations pour emprunter l'identité d'un compte de service inactif géré par l'utilisateur. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.
Accès initial: clé de compte de service inactif créée	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Cloud Audit Logs : journaux des activités d'administration	Détecte les événements pour lesquels une clé est créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme inactif s'il est inactif depuis plus de 180 jours.
Accès initial: utilisation d'une clé de compte de service divulguée	`LEAKED_SA_KEY_USED`	Cloud Audit Logs : journaux des activités d'administration journaux des accès aux données	Détecte les événements où une clé de compte de service divulguée est utilisée pour authentifier l'action. Dans ce contexte, une clé de compte de service divulguée est publiée sur l'Internet public.
Accès initial: actions refusées en cas d'autorisation excessive	`EXCESSIVE_FAILED_ATTEMPT`	Cloud Audit Logs : journaux des activités d'administration	Détecte les événements pour lesquels un compte principal déclenche à plusieurs reprises des erreurs d'autorisation refusée en tentant de modifier plusieurs méthodes et services.
Défenses diminuées : authentification forte - désactivé	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Audit d'administration	La validation en deux étapes a été désactivée pour l'organisation. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Défenses diminuées : Vérification en deux étapes - désactivé	`2SV_DISABLE`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Un utilisateur a désactivé la validation en deux étapes. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : piratage - compte désactivé	`ACCOUNT_DISABLED_HIJACKED`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : fuite de mot de passe - désactivé	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement	`GOV_ATTACK_WARNING`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : tentative de compromis Log4j	Indisponible	Journaux Cloud Load Balancing: Équilibreur de charge HTTP Cloud Remarque:Vous devez activer la journalisation externe de l'équilibreur de charge d'application pour utiliser cette règle.	Détecte les lookups Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage. Cette règle est toujours activée.
Accès initial : connexion suspecte - bloqué	`SUSPICIOUS_LOGIN`	Journaux Google Workspace : Audit des connexions Autorisations : `DATA_READ`	Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Logiciel malveillant Log4j : domaine incorrect	`LOG4J_BAD_DOMAIN`	Journaux Cloud DNS	Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte	`LOG4J_BAD_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine incorrect	`MALWARE_BAD_DOMAIN`	Journaux Cloud DNS	Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu
Logiciel malveillant : adresse IP incorrecte	`MALWARE_BAD_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie	`CRYPTOMINING_POOL_DOMAIN`	Journaux Cloud DNS	Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie	`CRYPTOMINING_POOL_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue
DoS sortant	`OUTGOING_DOS`	Journaux de flux VPC	Détection du trafic de déni de service sortant
Persistance: l'administrateur GCE a ajouté une clé SSH	`GCE_ADMIN_ADD_SSH_KEY`	Journaux d'audit Cloud: Journaux d'audit Compute Engine	Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance: l'administrateur GCE a ajouté le script de démarrage	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Journaux d'audit Cloud: Journaux d'audit Compute Engine	Détection d'une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : octroi anormal d'autorisations IAM	`IAM_ANOMALOUS_GRANT`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Ce résultat inclut des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de ce résultat. La liste suivante présente toutes les sous-règles possibles: `external_service_account_added_to_policy`, `external_member_added_to_policy` : détection des droits accordés aux utilisateurs et comptes de service IAM qui ne sont pas membres de votre organisation ou, si Security Command Center n'est activé qu'au niveau du projet, de votre projet. Remarque:Si Security Command Center est activé au niveau de l'organisation à n'importe quel niveau, ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si l'activation de Security Command Center ne s'effectue qu'au niveau du projet, le détecteur n'utilise que les stratégies IAM du projet comme contexte. Si une autorisation IAM sensible est accordée à un membre externe et qu'il existe moins de trois stratégies IAM semblables à celle-ci, ce détecteur génère un résultat. Rôles sensibles Les résultats sont classés dans les catégories de gravité Élevée ou Moyenne en fonction du degré de sensibilité des rôles attribués. Pour en savoir plus, consultez la page Rôles et autorisations IAM sensibles. `external_member_invited_to_policy`: détecte lorsqu'un membre externe est invité en tant que propriétaire du projet via l'API `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: détecte le moment où l'autorisation `setIAMPolicy` est ajoutée à un rôle personnalisé. `service_account_granted_sensitive_role_to_member`: détecte quand des rôles privilégiés sont attribués aux membres via un compte de service. Cette sous-règle est déclenchée par un sous-ensemble de rôles sensibles qui n'inclut que les rôles IAM de base et certains rôles pour le stockage de données. Pour en savoir plus, consultez la page Rôles et autorisations IAM sensibles. `policy_modified_by_default_compute_service_account`: détecte l'utilisation d'un compte de service Compute Engine par défaut pour modifier les paramètres IAM du projet.
^Preview Persistance: rôle sensible attribué à un compte non géré	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Détection de l'attribution d'un rôle sensible à un compte non géré
Persistance: nouvelle méthode API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des comptes utilisateur de service et utilisateur IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : nouvel agent utilisateur	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Journaux d'audit Cloud : Journaux des activités d'administration	Détection des comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux ou suspects. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : activer/désactiver l'authentification unique	`TOGGLE_SSO_ENABLED`	Google Workspace: Audit d'administration	Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : paramètres SSO modifiés	`CHANGE_SSO_SETTINGS`	Google Workspace: Audit d'administration	Les paramètres SSO du compte administrateur ont été modifiés. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: usurpation d'identité anormale de compte de service pour les activités d'administration	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Journaux d'audit Cloud : Journaux des activités d'administration	Détecte l'utilisation d'un compte de service dont l'identité a été empruntée pour une activité d'administration.
Élévation des privilèges: délégation de compte de service multi-étapes anormale pour les activités d'administration	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Journaux d'audit Cloud : Journaux des activités d'administration	Détecte lorsqu'une demande déléguée anormale en plusieurs étapes est détectée pour une activité d'administration.
Élévation des privilèges: délégation de compte de service multi-étapes anormale pour l'accès aux données	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud Audit Logs: Journaux d'accès aux données	Détecte lorsqu'une demande déléguée anormale en plusieurs étapes est détectée pour une activité d'accès aux données.
Élévation des privilèges: emprunt d'identité de compte de service anormal pour les activités d'administration	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Journaux d'audit Cloud : Journaux des activités d'administration	Détecte les cas où un appelant ou un emprunt d'identité potentiellement anormaux appartenant à une chaîne de délégation est utilisé pour une activité d'administration.
Élévation des privilèges: emprunt d'identité de compte de service anormal pour l'accès aux données	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud Audit Logs: Journaux d'accès aux données	Détecte les cas où un appelant ou un emprunt d'identité potentiellement anormaux appartenant à une chaîne de délégation est utilisé pour une activité d'accès aux données.
Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Cloud Audit Logs: Journaux des activités d'administration GKE	Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) `ClusterRole` ou `ClusterRoleBinding` du rôle sensible `cluster-admin` à l'aide d'une requête `PUT` ou `PATCH`.
Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud Audit Logs: Journaux des activités d'administration GKE	Une personne potentiellement malveillante a créé une requête de signature de certificat (CSR) maître Kubernetes, qui lui permet de disposer de l'accès `cluster-admin`.
Élévation des privilèges : création de liaisons Kubernetes sensibles	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet `RoleBinding` ou `ClusterRoleBinding` pour le rôle `cluster-admin`.
Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud Audit Logs : Journaux d'accès aux données GKE	Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande `kubectl`, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Cloud Audit Logs: Journaux des activités d'administration GKE	Une personne potentiellement malveillante a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits. Le champ `privileged` d'un conteneur privilégié est défini sur `true`. Le champ `allowPrivilegeEscalation` d'un conteneur doté de fonctionnalités d'élévation des privilèges.est défini sur `true`. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.
Persistance: clé de compte de service créée	`SERVICE_ACCOUNT_KEY_CREATION`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte la création d'une clé de compte de service. Les clés de compte de service sont des identifiants de longue durée qui augmentent le risque d'accès non autorisé aux ressources Google Cloud.
Élévation des privilèges: ajout d’un script d’arrêt global	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte quand un script d'arrêt global est ajouté à un projet.
Persistance: script de démarrage global ajouté	`GLOBAL_STARTUP_SCRIPT_ADDED`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte lorsqu'un script de démarrage global est ajouté à un projet.
Contournement par défense: ajout du rôle de créateur de jetons dans un compte de service au niveau de l'organisation	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte quand le rôle IAM Créateur de jetons du compte de service est attribué au niveau de l'organisation.
Contournement des systèmes de défense: ajout du rôle de créateur de jetons dans un compte de service au niveau du projet	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte quand le rôle IAM Créateur de jetons du compte de service est attribué au niveau du projet.
Déplacement latéral: exécution d'un correctif OS à partir d'un compte de service	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte lorsqu'un compte de service utilise la fonctionnalité d'application de correctifs Compute Engine pour mettre à jour le système d'exploitation de toute instance Compute Engine en cours d'exécution.
Déplacement latéral: disque de démarrage modifié associé à l'instance ^Preview	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Cloud Audit Logs: Journaux d'audit Compute Engine	Détecte lorsqu'un disque de démarrage est dissocié d'une instance Compute Engine et associé à une autre, ce qui peut indiquer une tentative malveillante de compromettre le système à l'aide d'un disque de démarrage modifié.
Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Cloud Audit Logs : Journaux d'accès aux données GKE	Détecte l'accès à des secrets ou des jetons de compte de service par un compte de service dans l'espace de noms Kubernetes actuel.
Développement de ressources: activité de distribution offensive	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte les manipulations de ressources Google Cloud réussies à partir de tests d'intrusion connus ou de distributions de sécurité choquantes.
Élévation des privilèges: le nouveau compte de service est propriétaire ou éditeur	`SERVICE_ACCOUNT_EDITOR_OWNER`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte lorsqu'un compte de service est créé avec les rôles Éditeur ou Propriétaire sur un projet.
Découverte: outil de collecte d'informations utilisé	`INFORMATION_GATHERING_TOOL_USED`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte l'utilisation de ScoutSuite, un outil d'audit de la sécurité cloud connu pour être utilisé par les attaquants.
Élévation des privilèges: génération suspecte de jetons	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte les cas d'utilisation abusive de l'autorisation `iam.serviceAccounts.implicitDelegation` pour générer des jetons d'accès à partir d'un compte de service plus privilégié.
Élévation des privilèges: génération suspecte de jetons	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte les cas où un compte de service utilise la méthode `serviceAccounts.signJwt` afin de générer un jeton d'accès pour un autre compte de service.
Élévation des privilèges: génération suspecte de jetons	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte l'utilisation de l'autorisation IAM `iam.serviceAccounts.getOpenIdToken` entre plusieurs projets. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: génération suspecte de jetons	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte l'utilisation de l'autorisation IAM `iam.serviceAccounts.getAccessToken` entre plusieurs projets. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: utilisation suspecte d'une autorisation inter-projets	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte l'utilisation de l'autorisation IAM `datafusion.instances.create` entre plusieurs projets. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Commande et contrôle: tunneling DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Journaux Cloud DNS	Détecte le handshake de l'outil de tunnelisation DNS Iodine.
Contournement par défense: tentative de masquage de route VPC	`VPC_ROUTE_MASQUERADE`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte la création manuelle de routes VPC se faisant passer pour des routes Google Cloud par défaut, ce qui autorise le trafic de sortie vers des adresses IP externes.
Impact: facturation désactivée	`BILLING_DISABLED_SINGLE_PROJECT`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte quand la facturation a été désactivée pour un projet.
Impact: facturation désactivée	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte les cas où la facturation a été désactivée pour plusieurs projets d'une organisation sur une courte période.
Impact: bloc à priorité élevée du pare-feu VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte lorsqu'une règle de pare-feu VPC qui bloque tout le trafic est ajoutée avec la priorité 0.
Impact: suppression de règles de masse de pare-feu VPC	`VPC_FIREWALL_MASS_RULE_DELETION`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte la suppression en masse de règles de pare-feu VPC par des comptes autres que des comptes de service.
Impact: API de service désactivée	`SERVICE_API_DISABLED`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte quand une API de service Google Cloud est désactivée dans un environnement de production.
Impact: autoscaling des groupes d'instances gérés défini sur la valeur maximale	`MIG_AUTOSCALING_SET_TO_MAX`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte les cas où un groupe d'instances géré est configuré pour l'autoscaling maximal.
Découverte: appel d'API de compte de service non autorisé	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Cloud Audit Logs: journaux d'audit pour les activités d'administration IAM	Détecte quand un compte de service effectue un appel d'API non autorisé entre plusieurs projets.
Contournement par défense: accès administrateur de cluster accordé aux sessions anonymes	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Cloud Audit Logs: Journaux des activités d'administration GKE	Détecte la création d'un objet `ClusterRoleBinding` de contrôle des accès basé sur les rôles (RBAC) ajoutant le comportement `root-cluster-admin-binding` aux utilisateurs anonymes.
Accès initial : ressource GKE anonyme créée à partir d'Internet ^Bêta	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: Journaux des activités d'administration GKE	Détecte les événements de création de ressources provenant d'utilisateurs Internet anonymes.
Accès initial : ressource GKE modifiée anonymement à partir d'Internet ^Bêta	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: Journaux des activités d'administration GKE	Détecte les événements de manipulation de ressources provenant d'utilisateurs Internet anonymes.

Modules personnalisés pour Event Threat Detection

En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de module que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour en savoir plus, consultez la page Présentation des modules personnalisés pour Event Threat Detection.

Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journaux vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menaces.

Modifications non sécurisées apportées aux groupes Google

Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est possible que lorsque vous activez Security Command Center au niveau de l'organisation.

Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations personnelles, et ne sont pas recommandés pour les membres de groupe externes.

Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Les journaux d'audit Cloud enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.

Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux se trouvent au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que si vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center au niveau du projet.

Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :

Membres de groupe externes ajoutés aux groupes privilégiés
Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder

Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.

Rôles et autorisations IAM sensibles

Cette section explique comment Event Threat Detection définit les rôles IAM sensibles. Les détections telles que les modifications de l'autorisation IAM anormale et des groupes Google non sécurisés ne génèrent des résultats que si les modifications impliquent des rôles de sensibilité élevée ou moyenne. La sensibilité des rôles a une incidence sur le niveau de gravité attribué aux résultats.

Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud, et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
- Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
- Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.

L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est un membre externe ou une identité anormale, comme un compte principal inactif depuis longtemps. Attribuer des rôles sensibles à des membres externes crée une menace potentielle, car ils peuvent être détournés pour compromettre des comptes et exfiltration de données.

Les catégories de résultats qui utilisent ces rôles sensibles sont les suivantes:

Persistance: autorisation d'attribution anormale IAM
- Sous-règle: external_service_account_added_to_policy
- Sous-règle: external_member_added_to_policy
Accès aux identifiants : rôle sensible attribué au groupe hybride
Élévation des privilèges: rôle sensible attribué à un compte de service inactif

Les catégories de résultats qui utilisent un sous-ensemble des rôles sensibles sont les suivantes:

Persistance: autorisation d'attribution anormale IAM
- Sous-règle: service_account_granted_sensitive_role_to_member

La sous-règle service_account_granted_sensitive_role_to_member cible généralement les membres externes et internes, et n'utilise donc qu'un sous-ensemble de rôles sensibles, comme expliqué dans la section Règles Event Threat Detection.

Tableau 1. Rôles à sensibilité élevée
Catégorie	Rôle	Description
Les rôles de base contiennent des milliers d'autorisations pour tous les services Google Cloud.	`roles/owner`	Rôles de base
	`roles/editor`	Rôles de base
Les rôles de sécurité contrôlent l'accès aux paramètres de sécurité.	`roles/cloudkms.*`	Tous les rôles Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Tous les rôles Web Security Scanner
	`roles/dlp.*`	Tous les rôles de protection des données sensibles
	`roles/iam.*`	Tous les rôles IAM
	`roles/secretmanager.*`	Tous les rôles Secret Manager
	`roles/securitycenter.*`	Tous les rôles Security Command Center
Les rôles de journalisation contrôlent l'accès aux journaux d'une organisation.	`roles/errorreporting.*`	Tous les rôles Error Reporting
	`roles/logging.*`	Tous les rôles Cloud Logging
	`roles/stackdriver.*`	Tous les rôles Cloud Monitoring
Les rôles d'informations personnelles contrôlent l'accès aux ressources contenant des informations personnelles, y compris des coordonnées bancaires et des coordonnées.	`roles/billing.*`	Tous les rôles Cloud Billing
	`roles/healthcare.*`	Tous les rôles de l'API Cloud Healthcare
	`roles/essentialcontacts.*`	Tous les rôles Essential Contacts
Les rôles de mise en réseau contrôlent l'accès aux paramètres réseau d'une organisation.	`roles/dns.*`	Tous les rôles Cloud DNS
	`roles/domains.*`	Tous les rôles Cloud Domains
	`roles/networkconnectivity.*`	Tous les rôles Network Connectivity Center
	`roles/networkmanagement.*`	Tous les rôles Network Connectivity Center
	`roles/privateca.*`	Tous les rôles Certificate Authority Service
Les rôles de service contrôlent l'accès aux ressources de service dans Google Cloud.	`roles/cloudasset.*`	Tous les rôles de l'inventaire des éléments cloud
	`roles/servicedirectory.*`	Tous les rôles de l'annuaire des services
	`roles/servicemanagement.*`	Tous les rôles Service Management
	`roles/servicenetworking.*`	Tous les rôles Service Networking
	`roles/serviceusage.*`	Tous les rôles Service Usage
Les rôles Compute Engine contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu.	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Tous les rôles Administrateur et Éditeur de Compute Engine

Tableau 2. Rôles à sensibilité moyenne
Catégorie	Rôle	Description
Rôles de modification : rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud.	Par exemple : `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur. Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Rôles de stockage des données : rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données	Exemples : `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Tous les rôles à sensibilité moyenne Access Approval `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Actions `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API Gateway `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorisation binaire `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Bêta Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Artifact Analysis `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin`2 `roles/firebasenotifications.admin` {20/3} {2/1} {2/1} {2/1} {2/1} `roles/firebaseperformance.adminroles/firebasepredictions.adminroles/firebaserules.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Service géré pour Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore pour Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Surveillance de la configuration des opérations `roles/opsconfigmonitoring.resourceMetadata.writer` Service de règles d'administration `roles/axt.admin` `roles/orgpolicy.policyAdmin` Autres rôles `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Balise de proximité `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA Enterprise `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recommandations `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Outil de recommandation `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Paramètres des ressources `roles/resourcesettings.admin` Accès au VPC sans serveur `roles/vpcaccess.admin` Gestion des clients du service `roles/serviceconsumermanagement.tenancyUnitsAdmin` Service de transfert de stockage `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebooks Vertex AI Workbench gérés par l'utilisateur `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

Types de journaux et exigences d'activation

Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'Event Threat Detection recherche dans chaque journal et, le cas échéant, ce que vous devez faire pour activer chaque journal.

Vous ne devez activer un journal pour Event Threat Detection que si toutes les conditions suivantes sont remplies:

Vous utilisez le produit ou le service qui écrit dans le journal.
Vous devez protéger le produit ou le service contre les menaces qu'Event Threat Detection détecte dans le journal.
Il s'agit d'un journal d'audit des accès aux données ou d'un autre journal qui est désactivé par défaut.

Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter cette même menace.

Si un journal n'est pas répertorié dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.

Comme décrit dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau du projet, Event Threat Detection n'analyse pas ces journaux et ne génère aucun résultat.

Analyses de journaux potentiellement redondantes

Event Threat Detection peut détecter les logiciels malveillants sur le réseau en analysant l'un des journaux suivants:

Journalisation Cloud DNS
Journalisation Cloud NAT
Journalisation des règles de pare-feu
Journaux de flux VPC

Si vous utilisez déjà la journalisation Cloud DNS, Event Threat Detection peut détecter les logiciels malveillants à l'aide de la résolution de domaine. Pour la plupart des utilisateurs, les journaux Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.

Si vous avez besoin d'un niveau de visibilité supérieur à la résolution du domaine, vous pouvez activer les journaux de flux VPC, mais ceux-ci peuvent entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5% et 10 %. Toutefois, il existe un compromis entre le rappel (échantillon plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible).

Si vous utilisez déjà la journalisation des règles de pare-feu ou Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.

Il n'est pas nécessaire d'activer plusieurs journaux Cloud NAT, de règles de pare-feu ou de flux VPC.

Journaux à activer

Cette section liste les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces qu'Event Threat Detection peut détecter.

Certaines menaces, telles que les menaces liées à l'usurpation d'identité anormale ou à la délégation d'un compte de service, se trouvent dans la plupart des journaux d'audit. Pour ces types de menaces, vous déterminez les journaux à activer en fonction des produits et services que vous utilisez.

Le tableau suivant présente les journaux spécifiques à activer pour les menaces qui ne peuvent être détectées que dans certains types de journaux spécifiques.

Privilege Escalation: AlloyDB Over-Privileged Grant

Type de journal	Menaces détectées	Configuration obligatoire
Journalisation Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Activer la journalisation Cloud DNS
Journalisation Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activer la journalisation Cloud NAT
Journalisation des règles de pare-feu	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activez la journalisation des règles de pare-feu.
Journaux d'audit des accès aux données Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Activer les journaux d'audit des accès aux données Logging pour GKE
Journaux d'audit des administrateurs Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Partager les journaux d'audit de la console d'administration Google Workspace avec Cloud Logging Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.
Journaux d'audit des connexions Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Partager les journaux d'audit des connexions Google Workspace avec Cloud Logging Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.
Journaux du service de backend de l'équilibreur de charge d'application externe	`Initial Access: Log4j Compromise Attempt`	Activer la journalisation externe de l'équilibreur de charge d'application
Journaux d'audit des accès aux données MySQL dans Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration`	Activer les journaux d'audit des accès aux données Logging pour Cloud SQL pour MySQL
Journaux d'audit des accès aux données PostgreSQL Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Activez les journaux d'audit des accès aux données Logging pour Cloud SQL pour PostgreSQL. Pour détecter la menace `Exfiltration: Cloud SQL Over-Privileged Grant`, vous devez également activer l' extension pgAudit.
Journaux d'audit des accès aux données AlloyDB pour PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables`	Activez les journaux d'audit des accès aux données Logging pour AlloyDB pour PostgreSQL. Pour détecter les menaces `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` et `Privilege Escalation: AlloyDB Over-Privileged Grant`, vous devez également activer l'extension pgAudit
Journaux d'audit des accès aux données IAM	`Discovery: Service Account Self-Investigation`	Activer les journaux d'audit des accès aux données Logging pour Resource Manager
Journaux d'audit pour l'accès aux données SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Activer les journaux d'audit des accès aux données Logging pour Cloud SQL pour SQL Server
Journaux d'audit génériques pour l'accès aux données	`Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Activez les journaux d'audit des accès aux données Logging.
authlogs/authlog sur les machines virtuelles	`Brute force SSH`	Installez l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM.
Journaux de flux VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP Outgoing DoS`	Activez les journaux de flux VPC.
Journaux d'audit de sauvegarde et de reprise après sinistre	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	Activer les journaux d'audit des sauvegardes et de la reprise après sinistre

Journaux toujours activés

Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés, et Event Threat Detection les analyse automatiquement.

Type de journal	Menaces détectées	Configuration obligatoire
Journaux des accès aux données BigQueryAuditMetadata	exfiltration: exfiltration de données BigQuery exfiltration: extraction de données BigQuery exfiltration: données BigQuery vers Google Drive	Aucune
Journaux d'audit pour les activités d'administration de Google Kubernetes Engine (GKE)	Élévation des privilèges : modifications apportées aux objets Kubernetes RBAC sensibles Élévation des privilèges : création de liaisons Kubernetes sensibles Élévation des privilèges : lancement d'un conteneur Kubernetes privilégié	Aucune
Journaux d'audit pour les activités d'administration IAM	Accès aux identifiants: rôle sensible attribué au groupe hybride Élévation des privilèges: rôle sensible attribué au compte de service inactif Persistance: rôle d'emprunt d'identité attribué à un compte de service inactif Persistance: attribution anormal d'autorisations IAM ^Preview Persistance: rôle sensible attribué à un compte non géré	Aucune
Journaux pour les activités d'administration MySQL	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucune
Journaux des activités d'administration PostgreSQL	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucune
Journaux des activités d'administration SQL Server	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucune
Journaux d'audit génériques pour les activités d'administration	Accès initial : action de compte de service inactif > Accès initial : clé de compte de service inactif créée Accès initial : actions refusées en excès : autorisations excessives Accès initial : clé de compte de service volée utilisée Persistance : Clé SSH ajoutée : Clé SSH d'administrateur Compute Engine créée	Aucune
Journaux d'audit de VPC Service Controls	Defense Evasion: modifier VPC Service Controls ^Preview	Aucune

Étapes suivantes

Découvrez comment utiliser Event Threat Detection.
Découvrez comment examiner et développer des plans d'intervention sur les menaces.