Che cos'è Event Threat Detection?
Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora costantemente l'organizzazione o i progetti e identifica le minacce all'interno dei tuoi sistemi quasi in tempo reale. Event Threat Detection viene aggiornato regolarmente con nuovi rilevatori per identificare le minacce emergenti su scala cloud.
Come funziona Event Threat Detection
Event Threat Detection monitora il flusso di Cloud Logging per l'organizzazione o i progetti. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Event Threat Detection utilizza i log per i tuoi progetti man mano che vengono creati e Event Threat Detection può monitorare i log di Google Workspace. Cloud Logging contiene voci di log delle chiamate API e altre azioni che creano, leggono o modificano la configurazione o i metadati delle tue risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono un record delle azioni eseguite nella Console di amministrazione Google Workspace.
Le voci di log contengono informazioni su stato ed eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica una logica di rilevamento e l'intelligence sulle minacce proprietarie, tra cui la corrispondenza degli indicatori di triplo, la profilazione con finestre, la profilazione avanzata, il machine learning e il rilevamento di anomalie, per identificare le minacce quasi in tempo reale.
Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Security Command Center può scrivere i risultati in un progetto Cloud Logging. Da Cloud Logging e dal logging di Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub ed elaborarli con Cloud Functions.
Se attivi il livello Premium di Security Command Center a livello di organizzazione, puoi utilizzare anche Chronicle per analizzare alcuni risultati. Chronicle è un servizio Google Cloud che ti consente di esaminare le minacce ed esplorare le entità correlate in una sequenza temporale unificata. Per istruzioni sull'invio dei risultati a Chronicle, consulta Esaminare i risultati in Chronicle.
La tua capacità di visualizzare e modificare risultati e log è determinata dai ruoli IAM (Identity and Access Management) che ti sono stati concessi. Per maggiori informazioni sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.
Regole di Event Threat Detection
Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere abilitati affinché i rilevatori possano funzionare. Gli audit log delle attività di amministrazione vengono sempre scritti e non puoi configurarli o disabilitarli.
Event Threat Detection include le seguenti regole predefinite:
Nome visualizzato | Nome API | Tipi di origini log | Descrizione |
---|---|---|---|
Scansione attiva: Log4j vulnerabile a RCE | Non disponibile | Log di Cloud DNS | Rileva le vulnerabilità Log4j attive identificando le query DNS per i domini non offuscati avviati dagli scanner di vulnerabilità Log4j supportati. |
Inibizione del recupero del sistema: host di backup e RE di Google Cloud eliminati | BACKUP_HOSTS_DELETE_HOST |
Audit log di Cloud: Log degli accessi ai dati del servizio di backup e RE |
Un host è stato eliminato da backup ed RE. Le applicazioni associate all'host eliminato potrebbero non essere protette. |
Distruzione dei dati: immagine con scadenza per backup ed RE di Google Cloud | BACKUP_EXPIRE_IMAGE |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
Un utente ha richiesto l'eliminazione di un'immagine di backup da backup ed RE. L'eliminazione di un'immagine di backup non impedisce i backup futuri. |
Inibizione del recupero del sistema: piano di rimozione di backup ed RE di Google Cloud | BACKUP_REMOVE_PLAN |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
Un piano di backup con più criteri per un'applicazione è stato eliminato da Backup e RE. L'eliminazione di un piano di backup può impedire backup futuri. |
Distruzione dei dati: backup e RE di Google Cloud fanno scadere tutte le immagini | BACKUP_EXPIRE_IMAGES_ALL |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
Un utente ha richiesto l'eliminazione di tutte le immagini di backup per un'applicazione protetta da backup e RE. L'eliminazione delle immagini di backup non impedisce i backup futuri. |
Inibizione del recupero del sistema: modello di eliminazione di backup ed RE di Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
È stato eliminato un modello di backup predefinito, che viene utilizzato per impostare i backup per più applicazioni. La possibilità di configurare i backup in futuro potrebbe essere compromessa. |
Inibizione del recupero del sistema: criterio di eliminazione di backup ed RE di Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
È stato eliminato un criterio di backup e RE, che definisce le modalità di esecuzione del backup e la posizione in cui viene archiviato. I backup futuri che utilizzano il criterio potrebbero non riuscire. |
Inibizione del recupero del sistema: eliminazione del profilo di backup ed RE di Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
È stato eliminato un profilo di backup e RE, che definisce i pool di archiviazione da utilizzare per archiviare i backup. I backup futuri che utilizzano il profilo potrebbero non riuscire. |
Distruzione dei dati: rimozione dell'appliance di Google Cloud Backup e RE | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
Un'appliance di backup è stata eliminata da Backup ed RE. Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette. |
Inibizione del recupero del sistema: eliminazione del pool di archiviazione di backup ed RE di Google Cloud | BACKUP_STORAGE_POOLS_DELETE |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
Un pool di archiviazione, che associa un bucket Cloud Storage a backup e RE, è stato rimosso da Backup e RE. I backup futuri in questa destinazione di archiviazione non andranno a buon fine. |
Impatto: backup ed RE di Google Cloud ridotti la scadenza del backup | BACKUP_REDUCE_BACKUP_EXPIRATION |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
La data di scadenza di un backup protetto da backup e RE è stata ridotta. |
Impatto: frequenza dei backup ridotta per backup ed RE di Google Cloud | BACKUP_REDUCE_BACKUP_FREQUENCY |
Audit log di Cloud: Log degli accessi ai dati di backup e RE |
La pianificazione dei backup di backup e RE è stata modificata per ridurre la frequenza dei backup. |
Forza bruta SSH | BRUTE_FORCE_SSH |
authlog | Rilevamento della forza bruta di SSH su un host riuscito. |
Cloud IDS: THREAT_IDENTIFIER Anteprima | CLOUD_IDS_THREAT_ACTIVITY |
Log di Cloud IDS | Eventi rilevati da Cloud IDS.
Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti con mirroring
e, quando viene rilevato un evento, invia un risultato a Security Command Center. I nomi delle categorie iniziano con "Cloud IDS" seguito dall'identificatore di minaccia Cloud IDS. Per scoprire di più sui rilevamenti di Cloud IDS, consulta le informazioni sul logging di Cloud IDS.
|
Accesso alle credenziali: membro esterno aggiunto al gruppo con privilegi |
EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Log di Google Workspace: Controllo dell'accesso Autorizzazioni: DATA_READ
|
Rileva gli eventi in cui un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili). Un risultato viene generato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso alle credenziali: gruppo con privilegi aperto al pubblico |
PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Controllo amministratore Autorizzazioni: DATA_READ
|
Rileva gli eventi in cui un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) viene modificato per essere accessibile al pubblico. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido |
SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER
|
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva gli eventi in cui vengono concessi ruoli sensibili a un gruppo Google con membri esterni. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Defense Evasion: deployment del carico di lavoro deployment di emergenza creatoanteprima | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva il deployment dei carichi di lavoro di cui è stato eseguito il deployment utilizzando il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
Defense Evasion: deployment del carico di lavoro per deployment di emergenza aggiornatoanteprima | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva quando i carichi di lavoro vengono aggiornati utilizzando il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
evasione di difesa: modifica dei controlli di servizio VPC | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Audit log Cloud Audit log dei Controlli di servizio VPC | Rileva una modifica a un perimetro dei Controlli di servizio VPC esistente che porterebbe a una riduzione della protezione offerta da tale perimetro. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Audit log Cloud: Log degli accessi ai dati di GKE |
Un utente potenzialmente malintenzionato ha tentato di determinare per quali oggetti sensibili all'interno di GKE può eseguire query utilizzando il comando
|
Rilevamento: auto-indagine sull'account di servizio | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Audit log di Cloud: Audit log degli accessi ai dati IAM Autorizzazioni: DATA_READ
|
Rilevamento delle credenziali di un account di servizio IAM utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. Ruoli sensibili I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. |
Evasione: accesso da proxy con anonimizzazione | ANOMALOUS_ACCESS |
Audit log di Cloud: Log delle attività di amministrazione |
Rilevamento delle modifiche ai servizi Google Cloud provenienti da indirizzi IP proxy anonimi, come gli indirizzi IP Tor. |
Esfiltrazione: esfiltrazione di dati BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Audit log di Cloud:
Log degli accessi ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva i seguenti scenari:
|
Esfiltrazione: estrazione dei dati BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Audit log di Cloud:
Log degli accessi ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva i seguenti scenari:
Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. |
Esfiltrazione: dati BigQuery su Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Audit log di Cloud:
Log degli accessi ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva quanto segue:
|
Esfiltrazione: esfiltrazione dei dati di Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS |
Audit log di Cloud:
Log di accesso ai dati MySQL Log di accesso ai dati PostgreSQL Log di accesso ai dati SQL Server |
Rileva i seguenti scenari:
Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. |
Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Audit log di Cloud:
Log delle attività di amministrazione MySQL Log delle attività di amministrazione PostgreSQL Log delle attività di amministrazione di SQL Server |
Rileva gli eventi in cui il backup di un'istanza Cloud SQL viene ripristinato in un'istanza esterna all'organizzazione. |
Esfiltrazione: concessione di privilegi in eccesso di Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Audit log Cloud:
Log degli accessi ai dati PostgreSQL Nota: devi abilitare l'estensione pgAudit per utilizzare questa regola. |
Rileva gli eventi in cui a un utente o un ruolo di Cloud SQL per PostgreSQL sono stati concessi tutti i privilegi per un database oppure per tutte le tabelle, le procedure o le funzioni in uno schema. |
Accesso iniziale: super user del database scrive nelle tabelle degli utenti | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Audit log di Cloud:
Log degli accessi ai dati di Cloud SQL per PostgreSQL Log degli accessi ai dati di Cloud SQL per MySQL Nota: per utilizzare questa regola devi attivare l'estensione pgAudit per PostgreSQL o il controllo del database per MySQL per utilizzare questa regola. |
Rileva gli eventi in cui un super user Cloud SQL ( |
Anteprima Escalation dei privilegi: concessione con privilegi in eccesso di AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs:
log degli accessi ai dati di AlloyDB per PostgreSQL Nota: devi abilitare pgAudit l'estensione per utilizzare questa regola. |
Rileva gli eventi in cui a un utente o un ruolo di AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database oppure per tutte le tabelle, le procedure o le funzioni in uno schema. |
Anteprima Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle degli utenti | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs:
log degli accessi ai dati di AlloyDB per PostgreSQL Nota: devi abilitare pgAudit l'estensione per utilizzare questa regola. |
Rileva gli eventi in cui un super user di AlloyDB per PostgreSQL ( |
Accesso iniziale: azione sull'account di servizio inattivo | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Audit log di Cloud: log delle attività di amministrazione |
Rileva gli eventi in cui un account di servizio gestito dall'utente inattivo ha attivato un'azione. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. |
Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Audit log Cloud: audit log dell'attività di amministrazione IAM |
Rileva gli eventi in cui a un account di servizio gestito dall'utente inattivo sono stati concessi uno o più ruoli IAM sensibili. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. Ruoli sensibili I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. |
Persistenza: ruolo per furto d'identità concesso per account di servizio inattivo | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Audit log Cloud: audit log dell'attività di amministrazione IAM |
Rileva gli eventi in cui a un'entità vengono concesse autorizzazioni per impersonare un account di servizio inattivo gestito dall'utente. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. |
Accesso iniziale: creazione della chiave dell'account di servizio inattivo | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Audit log di Cloud: log delle attività di amministrazione |
Rileva gli eventi in cui viene creata una chiave per un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. |
Accesso iniziale: chiave dell'account di servizio divulgata utilizzata | LEAKED_SA_KEY_USED |
Audit log Cloud:
Log delle attività di amministrazione Log degli accessi ai dati |
Rileva gli eventi in cui una chiave dell'account di servizio divulgata viene utilizzata per autenticare l'azione. In questo contesto, una chiave dell'account di servizio divulgata è una chiave che è stata pubblicata sulla rete internet pubblica. |
Accesso iniziale: azioni negate per autorizzazioni eccessive | EXCESSIVE_FAILED_ATTEMPT |
Audit log di Cloud: log delle attività di amministrazione |
Rileva gli eventi in cui un'entità attiva ripetutamente errori di autorizzazione negata tentando di apportare modifiche in più metodi e servizi. |
Indebolimento difese: autenticazione avanzata disabilitata |
ENFORCE_STRONG_AUTHENTICATION |
Google Workspace: Controllo della Console di amministrazione |
La verifica in due passaggi è stata disattivata per l'organizzazione. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Indebolimento difese: verifica in due passaggi disattivata |
2SV_DISABLE |
Log di Google Workspace: Controllo dell'accesso Autorizzazioni: DATA_READ
|
Un utente ha disattivato la verifica in due passaggi. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: compromissione account disattivato |
ACCOUNT_DISABLED_HIJACKED |
Log di Google Workspace: Controllo dell'accesso Autorizzazioni: DATA_READ
|
L'account di un utente è stato sospeso a causa di attività sospetta. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: fuga di password disabilitata |
ACCOUNT_DISABLED_PASSWORD_LEAK |
Log di Google Workspace: Controllo dell'accesso Autorizzazioni: DATA_READ
|
L'account di un utente è stato disattivato a causa di una fuga di password. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: attacco governativo |
GOV_ATTACK_WARNING |
Log di Google Workspace: Controllo dell'accesso Autorizzazioni: DATA_READ
|
Gli hacker sostenuti da un governo potrebbero aver tentato di compromettere un account utente o un computer. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: tentativo di compromissione di Log4j | Non disponibile | Log di Cloud Load Balancing: Bilanciatore del carico HTTP Cloud Nota: devi abilitare il logging del bilanciatore del carico delle applicazioni esterno per utilizzare questa regola. |
Rileva le lookups JNDI (Java Naming and Directory Interface) all'interno delle intestazioni o dei parametri URL. Queste ricerche possono indicare tentativi di sfruttamento di Log4Shell.
Questi risultati hanno una gravità bassa, perché indicano solo un tentativo di rilevamento o di exploit, non una vulnerabilità o una compromissione. Questa regola è sempre attiva. |
Accesso iniziale: accesso sospetto bloccato |
SUSPICIOUS_LOGIN |
Log di Google Workspace: Controllo dell'accesso Autorizzazioni: DATA_READ
|
È stato rilevato un accesso sospetto all'account di un utente che è stato bloccato. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Malware Log4j: dominio non valido | LOG4J_BAD_DOMAIN |
Log di Cloud DNS | Rilevamento dell'exploit del traffico di Log4j in base a una connessione a, o una ricerca di, un dominio noto utilizzato negli attacchi Log4j. |
Malware Log4j: IP non valido | LOG4J_BAD_IP |
Log di flusso VPC Log delle regole firewall Log di Cloud NAT |
Rilevamento del traffico degli exploit di Log4j basato su una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j. |
Malware: dominio non valido | MALWARE_BAD_DOMAIN |
Log di Cloud DNS | Rilevamento del malware basato su una connessione o una ricerca di un dominio dannoso noto. |
Malware: indirizzo IP errato | MALWARE_BAD_IP |
Log di flusso VPC Log delle regole firewall Log di Cloud NAT |
Rilevamento del malware basato sulla connessione a un indirizzo IP non valido noto. |
Malware: dominio non valido per il cryptomining | CRYPTOMINING_POOL_DOMAIN |
Log di Cloud DNS | Rilevamento del cryptomining basato su una connessione a un dominio di mining noto o su una ricerca di tale dominio. |
Malware: IP non valido per il cryptomining | CRYPTOMINING_POOL_IP |
Log di flusso VPC Log delle regole firewall Log di Cloud NAT |
Rilevamento del cryptomining basato sulla connessione a un indirizzo IP di mining noto. |
DoS in uscita | OUTGOING_DOS |
Log di flusso VPC | Rilevamento del traffico denial of service in uscita. |
Persistenza: chiave SSH aggiunta amministratore GCE | GCE_ADMIN_ADD_SSH_KEY |
Audit log di Cloud: Audit log di Compute Engine |
Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su
un'istanza stabilita (meno di 1 settimana). |
Persistenza: script di avvio aggiunto dall'amministratore GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Audit log di Cloud: Audit log di Compute Engine |
Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (meno di 1 settimana). |
Persistenza: concessione anomala IAM | IAM_ANOMALOUS_GRANT |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Questo risultato include regole secondarie che forniscono informazioni più specifiche su ogni istanza del risultato. Il seguente elenco mostra tutte le possibili regole secondarie:
|
AnteprimaPersistenza: ruolo sensibile concesso all'account non gestito |
UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rilevamento di un ruolo sensibile concesso a un account non gestito. |
Persistenza: nuovo metodo dell'API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Audit log di Cloud: Log delle attività di amministrazione |
Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM. |
Persistenza: nuova area geografica |
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Audit log di Cloud: Log delle attività di amministrazione |
Rilevamento degli account utente e di servizio IAM che accedono a Google Cloud da località anomale, in base alla geolocalizzazione degli indirizzi IP richiedente. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistenza: nuovo user agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Audit log di Cloud: Log delle attività di amministrazione |
Rilevamento degli account di servizio IAM che accedono a Google Cloud da user agent anomali o sospetti. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistenza: attivazione/disattivazione di abilitazione SSO |
TOGGLE_SSO_ENABLED |
Google Workspace: Controllo della Console di amministrazione |
L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistenza: impostazioni SSO modificate |
CHANGE_SSO_SETTINGS |
Google Workspace: Controllo della Console di amministrazione |
Le impostazioni SSO per l'account amministratore sono state modificate. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Escalation dei privilegi: furto d'identità anomala dell'account di servizio per l'attività di amministrazione | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva quando un account di servizio impersonato potenzialmente anomalo viene utilizzato per un'attività amministrativa. |
Escalation dei privilegi: delega anomala dell'account di servizio con più passaggi per l'attività di amministrazione | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva quando viene rilevata una richiesta delegata anomala in più passaggi per un'attività amministrativa. |
Escalation dei privilegi: delega anomala dell'account di servizio con più passaggi per l'accesso ai dati | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Audit log di Cloud: Log degli accessi ai dati |
Rileva quando viene rilevata una richiesta delegata anomala in più passaggi per un'attività di accesso ai dati. |
Escalation dei privilegi: rappresentazione anomala dell'account di servizio per l'attività di amministrazione | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Audit log di Cloud: Log delle attività di amministrazione |
Rileva quando un chiamante/impersona potenzialmente anomalo in una catena di delega viene utilizzato per un'attività amministrativa. |
Escalation dei privilegi: rappresentazione anomalo dell'account di servizio per l'accesso ai dati | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Audit log di Cloud: Log degli accessi ai dati |
Rileva quando un chiamante/impersona potenzialmente anomalo in una catena di delega viene utilizzato per un'attività di accesso ai dati. |
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto
ClusterRole o ClusterRoleBinding di controllo dell'accesso basato sui ruoli (RBAC) del ruolo sensibile cluster-admin
utilizzando una richiesta PUT o PATCH .
|
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente dannoso ha creato una richiesta di firma del certificato (CSR) master Kubernetes, che gli consente di accedere a cluster-admin
. |
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin .
|
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Audit log Cloud: Log degli accessi ai dati di GKE |
Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando kubectl , utilizzando credenziali di bootstrap compromesse. |
Escalation dei privilegi: avvia un container Kubernetes con privilegi | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente dannoso ha creato un pod che contiene container con privilegi o container con funzionalità di escalation dei privilegi. Il campo |
Persistenza: chiave dell'account di servizio creata | SERVICE_ACCOUNT_KEY_CREATION |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva la creazione di una chiave dell'account di servizio. Le chiavi dell'account di servizio sono credenziali di lunga durata che aumentano il rischio di accessi non autorizzati alle risorse Google Cloud. |
Escalation dei privilegi: script di arresto globale aggiunto | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando uno script di chiusura globale viene aggiunto a un progetto. |
Persistenza: script di avvio globale aggiunto | GLOBAL_STARTUP_SCRIPT_ADDED |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando uno script di avvio globale viene aggiunto a un progetto. |
Defense Evasion: Ruolo di Creatore token account di servizio a livello di organizzazione aggiunto | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di organizzazione. |
Evasione di Defense: ruolo Creatore token account di servizio a livello di progetto aggiunto | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di progetto. |
Spostamento laterale: esecuzione della patch del sistema operativo dall'account di servizio | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un account di servizio utilizza la funzionalità Patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza di Compute Engine attualmente in esecuzione. |
Spostamento laterale: disco di avvio modificato collegato all'istanza Anteprima | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Audit log di Cloud: Audit log di Compute Engine |
Rileva quando un disco di avvio viene scollegato da un'istanza Compute Engine e collegato a un'altra, il che potrebbe indicare un tentativo dannoso di compromettere il sistema utilizzando un disco di avvio modificato. |
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Audit log Cloud: Log degli accessi ai dati di GKE |
Rileva l'accesso ai secret o ai token degli account di servizio da parte di un account di servizio nell'attuale spazio dei nomi Kubernetes. |
Sviluppo risorse: attività di distribuzione offensiva di sicurezza | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva le manipolazioni riuscite delle risorse di Google Cloud da test di penetrazione noti o distribuzioni della sicurezza offensive. |
Escalation dei privilegi: il nuovo account di servizio è Proprietario o Editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva la creazione di un nuovo account di servizio con i ruoli di Editor o Proprietario per un progetto. |
Scoperta: strumento di raccolta delle informazioni utilizzato | INFORMATION_GATHERING_TOOL_USED |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'uso di ScoutSuite, uno strumento di controllo della sicurezza su cloud noto per essere utilizzato dagli attori delle minacce. |
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando viene utilizzata in modo illecito l'autorizzazione iam.serviceAccounts.implicitDelegation per generare token di accesso da un account di servizio con privilegi più elevati. |
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un account di servizio utilizza il metodo serviceAccounts.signJwt per generare un token di accesso per un altro account di servizio. |
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'uso tra progetti dell'autorizzazione IAM iam.serviceAccounts.getOpenIdToken .
Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'uso tra progetti dell'autorizzazione IAM iam.serviceAccounts.getAccessToken .
Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Escalation dei privilegi: uso sospetto di autorizzazioni tra progetti | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'uso tra progetti dell'autorizzazione IAM datafusion.instances.create .
Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Comando e controllo: tunneling DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Log di Cloud DNS | Rileva l'handshake dello strumento di tunneling DNS Iodine. |
Evasione di difesa: tentativo di mascheramento della route VPC | VPC_ROUTE_MASQUERADE |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva la creazione manuale di route VPC che si mascherano come route predefinite di Google Cloud, consentendo il traffico in uscita verso indirizzi IP esterni. |
Impatto: fatturazione disattivata | BILLING_DISABLED_SINGLE_PROJECT |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando la fatturazione è stata disabilitata per un progetto. |
Impatto: fatturazione disattivata | BILLING_DISABLED_MULTIPLE_PROJECTS |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando la fatturazione è stata disabilitata per più progetti di un'organizzazione in un breve periodo di tempo. |
Impatto: blocco ad alta priorità del firewall VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando una regola firewall VPC che blocca tutto il traffico viene aggiunta con priorità 0. |
Impatto: eliminazione delle regole di massa del firewall VPC | VPC_FIREWALL_MASS_RULE_DELETION |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'eliminazione di massa delle regole firewall VPC da parte di account non di servizio. |
Impatto: API di servizio disabilitata | SERVICE_API_DISABLED |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un'API del servizio Google Cloud è disabilitata in un ambiente di produzione. |
Impatto: scalabilità automatica del gruppo di istanze gestite impostata su massimo | MIG_AUTOSCALING_SET_TO_MAX |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un gruppo di istanze gestite è configurato per la massima scalabilità automatica. |
Rilevamento: chiamata API dell'account di servizio non autorizzata | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Audit log Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un account di servizio effettua una chiamata API tra progetti non autorizzata. |
Evasione della difesa: accesso amministrativo al cluster con sessioni anonime | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Rileva la creazione di un oggetto ClusterRoleBinding di controllo dell'accesso dell'accesso basato sui ruoli (RBAC) che aggiunge il comportamento root-cluster-admin-binding agli utenti anonimi.
|
Accesso iniziale: risorsa GKE anonima creata da internet Anteprima | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Rileva gli eventi di creazione di risorse da parte di utenti internet effettivamente anonimi. |
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet Anteprima | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Audit log Cloud: Log delle attività di amministrazione di GKE |
Rileva gli eventi di manipolazione delle risorse da parte di utenti internet effettivamente anonimi. |
Moduli personalizzati per Event Threat Detection
Oltre alle regole di rilevamento integrate, Event Threat Detection fornisce modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate. Per ulteriori informazioni, consulta la Panoramica dei moduli personalizzati per Event Threat Detection.
Per creare regole di rilevamento per le quali non sono disponibili modelli di moduli personalizzati, puoi esportare i dati di log in BigQuery ed eseguire query SQL univoche o ricorrenti che acquisiscono i tuoi modelli di minaccia.
Modifiche al gruppo Google non sicure
Questa sezione spiega in che modo Event Threat Detection utilizza i log di Google Workspace, i log di controllo di Cloud e i criteri IAM per rilevare modifiche non sicure di Google Gruppi. Il rilevamento delle modifiche di Google Gruppi è supportato solo quando attivi Security Command Center a livello di organizzazione.
I clienti Google Cloud possono utilizzare Google Gruppi per gestire i ruoli e le autorizzazioni per i membri delle loro organizzazioni o applicare criteri di accesso alle raccolte di utenti. Anziché concedere i ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni ai gruppi Google e quindi aggiungere membri a gruppi specifici. I membri del gruppo ereditano tutti i ruoli e le autorizzazioni di un gruppo, consentendo così ai membri di accedere a risorse e servizi specifici.
Sebbene Google Gruppi rappresenti un modo conveniente per gestire il controllo dell'accesso dell'accesso su larga scala, può rappresentare un rischio qualora utenti esterni all'organizzazione o al dominio vengano aggiunti a gruppi con privilegio, ovvero a gruppi a cui sono concessi ruoli o autorizzazioni sensibili. I ruoli sensibili controllano l'accesso a impostazioni di sicurezza e di rete, log e informazioni che consentono l'identificazione personale (PII) e non sono consigliati per i membri di gruppi esterni.
Nelle organizzazioni di grandi dimensioni, gli amministratori potrebbero non sapere quando vengono aggiunti membri esterni ai gruppi con privilegi. Gli audit log Cloud registrano le concessioni di ruoli ai gruppi, ma questi eventi dei log non contengono informazioni sui membri del gruppo, che possono nascondere il potenziale impatto di alcune modifiche ai gruppi.
Se condividi i tuoi log di Google Workspace con Google Cloud, Event Threat Detection monitora i tuoi flussi di log per rilevare la presenza di nuovi membri aggiunti ai gruppi Google della tua organizzazione. Poiché i log sono a livello di organizzazione, Event Threat Detection può analizzare i log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può analizzare questi log quando attivi Security Command Center a livello di progetto.
Event Threat Detection identifica i membri esterni dei gruppi e, utilizzando gli audit log di Cloud, esamina i ruoli IAM di ogni gruppo interessato per verificare se ai gruppi sono stati concessi ruoli sensibili. Queste informazioni vengono utilizzate per rilevare le seguenti modifiche non sicure per i gruppi Google con privilegi:
- Membri esterni del gruppo aggiunti a gruppi con privilegi
- Autorizzazioni o ruoli sensibili concessi a gruppi con membri esterni
- Gruppi con privilegi che vengono modificati per consentire a chiunque nel pubblico di partecipare
Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri interni di gruppi che avviano eventi, i nomi dei gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere membri esterni dai gruppi o revocare ruoli sensibili concessi ai gruppi.
Per ulteriori informazioni sui risultati di Event Threat Detection, consulta Regole di Event Threat Detection.
Autorizzazioni e ruoli IAM sensibili
Questa sezione spiega in che modo Event Threat Detection definisce i ruoli IAM sensibili. Rilevamenti come la concessione anomala di IAM e le modifiche di un gruppo Google non sicuro generano risultati solo se le modifiche coinvolgono ruoli ad alta o media sensibilità. La sensibilità dei ruoli influisce sulla valutazione di gravità assegnata ai risultati.
- I ruoli ad alta sensibilità controllano i servizi critici nelle organizzazioni, tra cui fatturazione, impostazioni del firewall e logging. I risultati che corrispondono a questi ruoli sono classificati con gravità Alta.
- I ruoli a sensibilità media dispongono di autorizzazioni di modifica che consentono alle entità di apportare modifiche alle risorse Google Cloud, nonché autorizzazioni di visualizzazione ed esecuzione sui servizi di archiviazione dati che spesso contengono dati sensibili. La gravità assegnata ai risultati dipende dalla risorsa:
- Se i ruoli con sensibilità media vengono concessi a livello di organizzazione, i risultati sono classificati con gravità Alta.
- Se vengono concessi ruoli a sensibilità media a livelli inferiori nella gerarchia delle risorse (cartelle, progetti e bucket, tra gli altri), i risultati vengono classificati come gravità Media.
La concessione di questi ruoli sensibili è considerata pericolosa se il beneficiario è un membro esterno o un'identità anomala, ad esempio un'entità inattiva da molto tempo. La concessione di ruoli sensibili a membri esterni crea una potenziale minaccia perché può essere utilizzata in modo illecito per la compromissione dell'account e l'esfiltrazione di dati.
Ecco le categorie che utilizzano questi ruoli sensibili:
- Persistenza: concessione anomala IAM
- Regola secondaria:
external_service_account_added_to_policy
- Regola secondaria:
external_member_added_to_policy
- Regola secondaria:
- Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido
- Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo
Le categorie che utilizzano un sottoinsieme di ruoli sensibili includono:
- Persistenza: concessione anomala IAM
- Regola secondaria:
service_account_granted_sensitive_role_to_member
- Regola secondaria:
La sottoregola service_account_granted_sensitive_role_to_member
ha come target i membri
esterni e interni in generale e, pertanto, utilizza solo un sottoinsieme di
ruoli sensibili, come spiegato nelle regole di rilevamento delle minacce per gli eventi.
Categoria | Ruolo | Descrizione |
---|---|---|
Ruoli di base: contengono migliaia di autorizzazioni per tutti i servizi Google Cloud. | roles/owner |
Ruoli di base |
roles/editor |
||
Ruoli di sicurezza:controllano l'accesso alle impostazioni di sicurezza | roles/cloudkms.* |
Tutti i ruoli di Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Tutti i ruoli di Web Security Scanner | |
roles/dlp.* |
Tutti i ruoli di Sensitive Data Protection | |
roles/iam.* |
Tutti i ruoli IAM | |
roles/secretmanager.* |
Tutti i ruoli di Secret Manager | |
roles/securitycenter.* |
Tutti i ruoli di Security Command Center | |
Ruoli di Logging:controllano l'accesso ai log di un'organizzazione | roles/errorreporting.* |
Tutti i ruoli di Error Reporting |
roles/logging.* |
Tutti i ruoli di Cloud Logging | |
roles/stackdriver.* |
Tutti i ruoli di Cloud Monitoring | |
Ruoli relativi alle informazioni personali: controllano l'accesso alle risorse che contengono informazioni che consentono l'identificazione personale, incluse informazioni bancarie e di contatto | roles/billing.* |
Tutti i ruoli Cloud Billing |
roles/healthcare.* |
Tutti i ruoli dell'API Cloud Healthcare | |
roles/essentialcontacts.* |
Tutti i ruoli relativi ai contatti necessari | |
Ruoli di rete: controllano l'accesso alle impostazioni di rete di un'organizzazione | roles/dns.* |
Tutti i ruoli di Cloud DNS |
roles/domains.* |
Tutti i ruoli di Cloud Domains | |
roles/networkconnectivity.* |
Tutti i ruoli di Network Connectivity Center | |
roles/networkmanagement.* |
Tutti i ruoli di Network Connectivity Center | |
roles/privateca.* |
Tutti i ruoli di Certificate Authority Service | |
Ruoli di servizio: controllano l'accesso alle risorse di servizio in Google Cloud | roles/cloudasset.* |
Tutti i ruoli di Cloud Asset Inventory |
roles/servicedirectory.* |
Tutti i ruoli di Service Directory | |
roles/servicemanagement.* |
Tutti i ruoli di Service Management | |
roles/servicenetworking.* |
Tutti i ruoli di Service Networking | |
roles/serviceusage.* |
Tutti i ruoli Service Usage | |
Ruoli di Compute Engine: controllano l'accesso alle macchine virtuali di Compute Engine, che svolgono job a lunga esecuzione e sono associate alle regole firewall |
|
Tutti i ruoli di Amministratore ed Editor di Compute Engine |
Categoria | Ruolo | Descrizione |
---|---|---|
Modifica dei ruoli: ruoli IAM che includono autorizzazioni per apportare modifiche alle risorse Google Cloud |
Esempi:
|
In genere, i nomi dei ruoli terminano con titoli quali Amministratore, Proprietario, Editor o Autore.
Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli a sensibilità media |
Ruoli di archiviazione dati: ruoli IAM che includono autorizzazioni per visualizzare ed eseguire i servizi di archiviazione dati |
Esempi:
|
Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli a sensibilità media |
Tutti i ruoli a media sensibilità
Approvazione accesso
Gestore contesto accesso
Azioni
Piattaforma IA
Gateway API
App Engine
AutoML
BigQuery
Autorizzazione binaria
Bigtable
Cloud Build
Cloud Deployment Manager
Cloud Endpoints
Cloud Functions
Cloud IoT
Cloud Life Sciences
Cloud Monitoring
Cloud Run
Cloud Scheduler
Cloud Source Repositories
Spanner
Cloud Storage
Cloud SQL
Cloud Tasks
Cloud TPU
Cloud Trace
Compute Engine
Analisi degli artefatti
Catalogo dati
Dataflow
Dataproc
Dataproc Metastore
Datastore
Eventarc
Filestore
Firebase
Server di gioco
Google Cloud VMware Engine
Google Kubernetes Engine
Hub di Google Kubernetes Engine
Google Workspace
Identity-Aware Proxy
Managed Service per Microsoft Active Directory
Memorystore per Redis
API On-Demand Scanning
Monitoraggio della configurazione delle operazioni
Servizio Criteri dell'organizzazione
Altri ruoli
Beacon di prossimità
Pub/Sub
Pub/Sub Lite
reCAPTCHA Enterprise
Consigli
Motore per suggerimenti
Resource Manager
Impostazioni delle risorse
Accesso VPC serverless
Gestione consumer di servizi
Storage Transfer Service
Vertex AI
Blocchi note gestiti dall'utente di Vertex AI Workbench
Flussi di lavoro |
Tipi di log e requisiti di attivazione
In questa sezione sono elencati i log utilizzati da Event Threat Detection, insieme alle minacce che Event Threat Detection cerca in ogni log e cosa, se necessario, devi fare per attivare ogni log.
Devi attivare un log per Event Threat Detection solo se sono vere tutte le seguenti condizioni:
- Stai utilizzando il prodotto o il servizio che scrive nel log.
- Devi proteggere il prodotto o il servizio dalle minacce rilevate da Event Threat Detection nel log.
- Il log è un audit log dell'accesso ai dati o un altro log disattivato per impostazione predefinita.
Alcune minacce possono essere rilevate in più log. Se Event Threat Detection riesce a rilevare una minaccia in un log già attivato, non è necessario attivare un altro log per rilevare la stessa minaccia.
Se un log non è elencato in questa sezione, Event Threat Detection non lo analizza, anche se è attivato. Per ulteriori informazioni, consulta Scansioni dei log potenzialmente ridondanti.
Come descritto nella tabella seguente, alcuni tipi di log sono disponibili solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non analizza questi log e non restituisce alcun risultato.
Scansioni dei log potenzialmente ridondanti
Event Threat Detection può fornire il rilevamento della rete del malware mediante la scansione di uno dei seguenti log:
- Logging di Cloud DNS
- Log di Cloud NAT
- Logging delle regole firewall
- Log di flusso VPC
Se utilizzi già il logging di Cloud DNS, Event Threat Detection può rilevare il malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log di Cloud DNS sono sufficienti per il rilevamento di malware da parte della rete.
Se hai bisogno di un altro livello di visibilità oltre alla risoluzione del dominio, puoi attivare i log di flusso VPC, ma questa funzionalità potrebbe comportare dei costi. Per gestire questi costi, consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e di ridurre la frequenza di campionamento tra il 5% e il 10%, ma esiste un compromesso tra richiamo (campione più elevato) e gestione dei costi (frequenza di campionamento inferiore).
Se utilizzi già il logging delle regole firewall o il logging di Cloud NAT, questi log sono utili al posto dei log di flusso VPC.
Non è necessario abilitare più di un logging di Cloud NAT, del logging delle regole firewall o dei log di flusso VPC.
Log che devi attivare
Questa sezione elenca i log di Cloud Logging e Google Workspace che puoi attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection può rilevare.
Alcune minacce, come quelle rappresentate dall'impersonificazione o dalla delega anomala di un account di servizio, sono disponibili nella maggior parte degli audit log. Per questi tipi di minacce, puoi determinare quali log devi attivare in base ai prodotti e ai servizi che usi.
La tabella seguente mostra i log specifici che devi attivare per le minacce che possono essere rilevate solo in determinati tipi di log specifici.
Privilege Escalation: AlloyDB Over-Privileged Grant
Tipo di log | Minacce rilevate | Configurazione necessaria | |
---|---|---|---|
Logging di Cloud DNS |
Log4j Malware: Bad Domain Malware: bad domain Malware: Cryptomining Bad Domain |
Attiva il logging di Cloud DNS | |
Logging di Cloud NAT |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Attiva il logging di Cloud NAT | |
Logging delle regole firewall |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Attiva il logging delle regole firewall. | |
Audit log degli accessi ai dati di Google Kubernetes Engine (GKE) |
Discovery: Can get sensitive Kubernetes object check Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Attiva gli audit log di accesso ai dati di Logging per GKE | |
Log di controllo dell'amministratore di Google Workspace |
Credential Access: Privileged Group Opened To Public Impair Defenses: Strong Authentication Disabled Impair Defenses: Two Step Verification Disabled Persistence: SSO Enablement Toggle Persistence: SSO Settings Changed |
Condividi gli audit log degli amministratori di Google Workspace con Cloud Logging
Impossibile analizzare questo tipo di log nelle attivazioni a livello di progetto. |
|
Log di controllo dell'accesso a Google Workspace |
Credential Access: External Member Added To Privileged Group Impair Defenses: Two Step Verification Disabled Initial Access: Account Disabled Hijacked Initial Access: Disabled Password Leak Initial Access: Government Based Attack Initial Access: Suspicious Login Blocked |
Condividi gli audit log degli accessi di Google Workspace con Cloud Logging
Impossibile analizzare questo tipo di log nelle attivazioni a livello di progetto. |
|
Log del servizio di backend del bilanciatore del carico delle applicazioni esterno |
Initial Access: Log4j Compromise Attempt |
Attiva il logging del bilanciatore del carico delle applicazioni esterno | |
Audit log degli accessi ai dati MySQL di Cloud SQL | Exfiltration: Cloud SQL Data Exfiltration |
Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per MySQL | |
Audit log degli accessi ai dati PostgreSQL di Cloud SQL |
Exfiltration: Cloud SQL Data Exfiltration Exfiltration: Cloud SQL Over-Privileged Grant |
||
Audit log degli accessi ai dati di AlloyDB per PostgreSQL |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
|
|
Audit log degli accessi ai dati IAM |
Discovery: Service Account Self-Investigation |
Attiva gli audit log di accesso ai dati di Logging per Resource Manager | |
Audit log degli accessi ai dati di SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per SQL Server | |
Audit log generici per l'accesso ai dati |
Initial Access: Leaked Service Account Key Used |
Attiva gli audit log di accesso ai dati di Logging. | |
authlog/authlog sulle macchine virtuali | Brute force SSH |
Installa l'Ops Agent o l'agente Logging legacy sui tuoi host VM | |
Log di flusso VPC |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Attiva i log di flusso VPC. | |
Log di controllo per backup ed RE |
Data destruction: Google Cloud Backup and DR expire all images Inhibit system recovery: Google Cloud Backup and DR delete policy Inhibit system recovery: Google Cloud Backup and DR delete template Inhibit system recovery: Google Cloud Backup and DR delete profile Inhibit system recovery: Google Cloud Backup and DR delete storage pool Inhibit system recovery: deleted Google Cloud Backup and DR host Data destruction: Google Cloud Backup and DR expire image Data destruction: Google Cloud Backup and DR remove appliance Inhibit system recovery: Google Cloud Backup and DR remove plan Impact: Google Cloud Backup and DR reduce backup expiration Impact: Google Cloud Backup and DR reduce backup frequency |
Abilita gli audit log per backup ed RE |
Log sempre attivi
Nella tabella seguente sono elencati i log di Cloud Logging che non è necessario attivare o configurare. Questi log sono sempre attivi e Event Threat Detection li analizza automaticamente.
Tipo di log | Minacce rilevate | Configurazione necessaria | |
---|---|---|---|
Log degli accessi ai dati di BigQueryAuditMetadata |
Esfiltrazione: esfiltrazione di dati BigQuery Esfiltrazione: estrazione dei dati BigQuery Esfiltrazione: dati di BigQuery su Google Drive |
Nessuna | |
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE) |
Escalation dei privilegi: modifiche agli oggetti Kubernetes RBAC sensibili Escalation dei privilegi: creazione di associazioni Kubernetes sensibili Escalation dei privilegi: lancio di un container Kubernetes con privilegi Escalation dei privilegi: creazione di una CSR Kubernetes per il certificato master |
Nessuna | |
Audit log delle attività di amministrazione IAM |
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo Persistenza: ruolo per furto d'identità concesso all'account di servizio inattivo Persistenza: concessione IAM anomala AnteprimaPersistenza: ruolo sensibile concesso all'account non gestito |
Nessuna | |
Log delle attività di amministrazione di MySQL | Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna | Nessuna | |
Log delle attività di amministrazione di PostgreSQL | Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna | Nessuna | |
Log delle attività di amministrazione di SQL Server | Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna | Nessuna | |
Audit log generici delle attività di amministrazione |
Accesso iniziale: assegnazione di autorizzazione all'account di servizio inattivo per attività di trasferimento del privilegio dell'account di servizio Accesso iniziale: autorizzazione di accesso all'account di servizio inattivo per modifica di un'istanza di servizio Accesso iniziale: azioni negate a autorizzazioni eccessive Accesso iniziale: chiave dell'account di servizio divulgata utilizzata Persistenza: chiave SSH aggiunta da amministratore Compute Engine Persistenza: nuovo script di avvio dell'amministratore di Compute Engine Persistenza: nuovo metodo API Persistenza dell'amministratore: |
Nessuna | |
Audit log dei Controlli di servizio VPC | evasione di difesa: modifica dei controlli di servizio VPC anteprima | Nessuna |
Passaggi successivi
Scopri di più sull'utilizzo di Event Threat Detection.
Scopri come indagare e sviluppare piani di risposta alle minacce.