Panoramica di Event Threat Detection

Che cos'è Event Threat Detection?

Event Threat Detection è un servizio integrato per il livello Security Command Center Premium che monitora continuamente la tua organizzazione o i tuoi progetti e identifica le minacce all'interno dei tuoi sistemi quasi in tempo reale. Event Threat Detection viene aggiornato regolarmente con nuovi rilevatori per identificare le minacce emergenti su scala cloud.

Come funziona Event Threat Detection

Event Threat Detection monitora il flusso di Cloud Logging per la tua organizzazione o i tuoi progetti. Se attivi il livello Security Command Center Premium a livello di organizzazione, Event Threat Detection utilizza i log dei tuoi progetti man mano che vengono creati ed è in grado di monitorare i log di Google Workspace. Cloud Logging contiene voci di log delle chiamate API e altre azioni che creano, leggono o modificano la configurazione o i metadati delle tue risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono un record delle azioni eseguite nella Console di amministrazione Google Workspace.

Le voci di log contengono informazioni su stato ed eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica la logica di rilevamento e l'intelligence sulle minacce proprietaria, tra cui la corrispondenza degli indicatori tripwire, la profilazione a finestre, la profilazione avanzata, il machine learning e il rilevamento delle anomalie, per identificare le minacce quasi in tempo reale.

Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Security Command Center Premium a livello di organizzazione, Security Command Center può scrivere i risultati in un progetto Cloud Logging. Da Cloud Logging e dalla registrazione di Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub ed elaborarli con le funzioni Cloud Run.

Se attivi il livello Premium di Security Command Center a livello di organizzazione, puoi utilizzare anche Google Security Operations per esaminare alcuni risultati. Google SecOps è un servizio che ti consente di esaminare le minacce e spostarti tra le entità correlate in una cronologia unificata. Google Cloud Per istruzioni sull'invio dei risultati a Google SecOps, vedi Esaminare i risultati in Google SecOps.

La tua capacità di visualizzare e modificare risultati e log è determinata dai ruoli IAM (Identity and Access Management) che ti vengono concessi. Per saperne di più sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.

Regole di Event Threat Detection

Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere attivati per il funzionamento dei rilevatori. Gli audit log relativi all'attività di amministrazione vengono sempre scritti; non puoi configurarli o disabilitarli.

Event Threat Detection include le seguenti regole predefinite:

Nome visualizzato Nome API Tipi di origini log Descrizione
Scansione attiva: Log4j vulnerabile all'esecuzione di codice remoto Non disponibile Log di Cloud DNS Gli scanner di vulnerabilità Log4j hanno avviato e identificato query DNS per domini non offuscati. Questa vulnerabilità può portare all'esecuzione di codice da remoto (RCE). Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Impatto: host di backup e RE di Google Cloud eliminato BACKUP_HOSTS_DELETE_HOST Audit log di Cloud:
Audit log dell'attività di amministrazione del servizio di backup e DR 		Un host è stato eliminato dalla console di gestione di Backup e RE. Le applicazioni associate all'host eliminato potrebbero non essere protette. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: Google Cloud Backup e RE - Scadenza immagine BACKUP_EXPIRE_IMAGE Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un utente ha richiesto l'eliminazione di un'immagine di backup dalla console di gestione di Backup e RE. L'eliminazione di un'immagine di backup non impedisce i backup futuri. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Impatto: rimozione del piano di backup e RE di Google Cloud BACKUP_REMOVE_PLAN Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un piano di backup con più criteri per un'applicazione è stato eliminato da Backup e DR. L'eliminazione di un piano di backup può impedire i backup futuri. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Impatto: backup e RE di Google Cloud scadono tutte le immagini BACKUP_EXPIRE_IMAGES_ALL Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un utente ha richiesto l'eliminazione di tutte le immagini di backup per un'applicazione protetta dalla console di gestione di Backup eRER. L'eliminazione delle immagini di backup non impedisce i backup futuri. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Impatto: modello di eliminazione di backup e RE di Google Cloud BACKUP_TEMPLATES_DELETE_TEMPLATE Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un modello di backup predefinito, utilizzato per configurare i backup per più applicazioni, è stato eliminato dalla console di gestione di Backup e RE. La possibilità di configurare i backup in futuro potrebbe essere interessata. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Impatto: policy di eliminazione di backup e RE di Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Una policy di backup e RE, che definisce come viene eseguito un backup e dove viene memorizzato, è stata eliminata dalla console di gestione di backup e RE. I backup futuri che utilizzano il criterio potrebbero non riuscire. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: eliminazione del profilo di backup e RE di Google Cloud BACKUP_PROFILES_DELETE_PROFILE Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un profilo Backup e RE, che definisce quali pool di archiviazione devono essere utilizzati per archiviare i backup, è stato eliminato dalla console di gestione di Backup eRER. I backup futuri che utilizzano il profilo potrebbero non riuscire. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: rimozione dell'appliance di backup e RE di Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un'appliance di backup è stata eliminata dalla console di gestione di Backup e RE. Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Impatto: eliminazione del pool di archiviazione di Google Cloud Backup e RE BACKUP_STORAGE_POOLS_DELETE Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un pool di archiviazione, che associa un bucket Cloud Storage a Backup e RE, è stato rimosso dalla console di gestione di Backup e RE. I backup futuri in questa destinazione di archiviazione non andranno a buon fine. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: il servizio di backup e RE di Google Cloud ha ridotto la scadenza del backup BACKUP_REDUCE_BACKUP_EXPIRATION Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		La data di scadenza di un backup protetto da Backup e RE è stata ridotta tramite la console di gestione di Backup e RE. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: backup e RE di Google Cloud hanno ridotto la frequenza dei backup BACKUP_REDUCE_BACKUP_FREQUENCY Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		La pianificazione dei backup di Backup e RE è stata modificata per ridurre la frequenza dei backup tramite la console di gestione di Backup e RE. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: eliminazione del vault di backup e DR di Google Cloud BACKUP_DELETE_VAULT Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un vault di backup è stato eliminato. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Impatto: backup di Google Cloud Backup e DR eliminato BACKUP_DELETE_VAULT_BACKUP Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un backup archiviato in un backup vault è stato eliminato manualmente. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Impatto: associazione del piano di backup e RE di Google Cloud eliminata BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION Audit log di Cloud:
Audit log dell'attività di amministrazione di Backup e DR 		Un piano di backup di Backup e RE è stato rimosso da un carico di lavoro. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Forza bruta SSH BRUTE_FORCE_SSH authlog Un attore ha ottenuto l'accesso SSH a un host tramite tecniche di forza bruta. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Log di Cloud IDS

Cloud IDS ha rilevato eventi di minaccia.

Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando viene rilevato un evento di minaccia, invia un risultato di classe di minaccia a Security Command Center. I nomi delle categorie iniziano con "Cloud IDS" seguito dall'identificatore della minaccia Cloud IDS.

L'integrazione di Cloud IDS con Event Threat Detection non include i rilevamenti delle vulnerabilità di Cloud IDS. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.

Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni sulla registrazione di Cloud IDS.

Rialzo dei privilegi: membro esterno aggiunto al gruppo con privilegi EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Log di Google Workspace:
Audit degli accessi
Autorizzazioni:
DATA_READ

Un membro esterno è stato aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili). Un risultato viene generato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per saperne di più, vedi Modifiche non sicure a Google Gruppi.

Questo risultato non è disponibile per le attivazioni a livello di progetto. I risultati vengono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Escalation dei privilegi: gruppo con privilegi aperto al pubblico PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Audit amministratore
Autorizzazioni:
DATA_READ

Un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) è stato modificato in modo che sia accessibile al pubblico. Per saperne di più, vedi Modifiche non sicure a Google Gruppi.

Questo risultato non è disponibile per le attivazioni a livello di progetto. I risultati vengono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Escalation dei privilegi: ruolo sensibile concesso al gruppo ibrido SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Audit log di Cloud:
Audit log dell'attività di amministrazione IAM

Sono stati concessi ruoli sensibili a un gruppo Google con membri esterni. Per saperne di più, vedi Modifiche non sicure a Google Gruppi.

Questo risultato non è disponibile per le attivazioni a livello di progetto. I risultati vengono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Evasione della difesa: deployment di emergenza del workload creato (anteprima) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Audit log di Cloud:
Log attività amministratore 		I workload sono stati sottoposti a deployment utilizzando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Evasione della difesa: deployment di emergenza del workload aggiornato (anteprima) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Audit log di Cloud:
Log attività amministratore 		I workload sono stati aggiornati utilizzando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Defense Evasion: GCS Bucket IP Filtering Modified (anteprima) GCS_BUCKET_IP_FILTERING_MODIFIED Audit log di Cloud:
Log attività amministratore 		Un utente o un account di servizio ha modificato la configurazione del filtro IP per un bucket Cloud Storage.
Defense Evasion: Modify VPC Service Control DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Audit log di Cloud Audit log dei controlli di servizio VPC

È stato modificato un perimetro dei Controlli di servizio VPC esistente che comporterebbe una riduzione della protezione offerta da quel perimetro.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Elusione della difesa: blocco di policy HTTP del progetto disabilitato (anteprima) PROJECT_HTTP_POLICY_BLOCK_DISABLED Audit log di Cloud:
Log attività amministratore 		Un utente o un account di servizio ha attivato correttamente un'azione per disattivare storage.secureHttpTransport in un progetto. Ciò vale anche quando l'azione viene eseguita a livello di organizzazione o cartella, poiché le policy applicate a questo livello vengono ereditate dai progetti secondari per impostazione predefinita.
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Audit log di Cloud:
Log di accesso ai dati di GKE

Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando kubectl auth can-i get. In particolare, la regola rileva se l'utente ha verificato l'accesso all'API per i seguenti oggetti:

Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.

Discovery: auto-indagine sul service account SERVICE_ACCOUNT_SELF_INVESTIGATION Audit log di Cloud:
Audit log di accesso ai dati IAM
Autorizzazioni:
DATA_READ

È stata utilizzata una credenziale del account di servizio IAM per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.

Ruoli sensibili

I risultati vengono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Evasione: accesso da proxy con anonimizzazione ANOMALOUS_ACCESS Audit log di Cloud:
Log attività amministratore 		Google Cloud modifiche al servizio originate da un indirizzo IP associato alla rete Tor. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Esfiltrazione: esfiltrazione dei dati di BigQuery DATA_EXFILTRATION_BIG_QUERY Cloud Audit Logs: Log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ

Rileva i seguenti scenari:

  • Le risorse di proprietà dell'organizzazione protetta sono state salvate al di fuori dell'organizzazione, incluse le operazioni di copia o trasferimento.

    Questo scenario è indicato da una regola secondaria di exfil_to_external_table e gravità Alta.

  • Sono stati effettuati tentativi di accesso alle risorse BigQuery protette da Controlli di servizio VPC.

    Questo scenario è indicato da una sottoregola di vpc_perimeter_violation e gravità Bassa.

Esfiltrazione: estrazione dei dati di BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud Audit Logs: Log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ

Rileva i seguenti scenari:

  • Una risorsa BigQuery di proprietà dell'organizzazione protetta è stata salvata, tramite operazioni di estrazione, in un bucket Cloud Storage al di fuori dell'organizzazione.
  • Una risorsa BigQuery di proprietà dell'organizzazione protetta è stata salvata, tramite operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà di questa organizzazione.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Esfiltrazione: dati BigQuery su Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud Audit Logs: Log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ 		Una risorsa BigQuery di proprietà dell'organizzazione protetta è stata salvata, tramite operazioni di estrazione, in una cartella Google Drive. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Esfiltrazione: spostamento alla risorsa BigQuery pubblica DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud Audit Logs: Log di accesso ai dati BigQueryAuditMetadata
Autorizzazioni:
DATA_READ

Una risorsa BigQuery è stata salvata in una risorsa pubblica di proprietà della tua organizzazione. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Esfiltrazione: esfiltrazione dei dati di Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		Cloud Audit Logs: Log di accesso ai dati MySQL
Log di accesso ai dati PostgreSQL
Log di accesso ai dati SQL Server

Rileva i seguenti scenari:

  • I dati dell'istanza live sono stati esportati in un bucket Cloud Storage al di fuori dell'organizzazione.
  • I dati dell'istanza live sono stati esportati in un bucket Cloud Storage di proprietà dell'organizzazione e accessibile pubblicamente.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.

Esfiltrazione: ripristino del backup di Cloud SQL in un'organizzazione esterna CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs: Log attività di amministrazione MySQL
Log attività di amministrazione PostgreSQL
Log attività di amministrazione SQL Server

Il backup di un'istanza Cloud SQL è stato ripristinato in un'istanza al di fuori dell'organizzazione. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.

Esfiltrazione: concessione di privilegi eccessivi di Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: Log di accesso ai dati PostgreSQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. 		A un utente o ruolo Cloud SQL per PostgreSQL sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: il super user del database scrive nelle tabelle utente CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Log di accesso ai dati di Cloud SQL per PostgreSQL
Log di accesso ai dati di Cloud SQL per MySQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit per PostgreSQL o l'audit del database per MySQL. 		Un superuser Cloud SQL (postgres per i server PostgreSQL o root per gli utenti MySQL) ha scritto in tabelle non di sistema. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: concessione di privilegi eccessivi di AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: Log di accesso ai dati di AlloyDB per PostgreSQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. 		A un utente o ruolo AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle utente ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Log di accesso ai dati di AlloyDB per PostgreSQL
Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. 		Un superuser AlloyDB per PostgreSQL (postgres) ha scritto in tabelle non di sistema. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: azione service account inattivo DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Audit log di Cloud: Log attività amministratore Un service account gestito dall'utente inattivo ha attivato un'azione. In questo contesto, un account di servizio è considerato inattivo se non è stato utilizzato per più di 180 giorni. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Privilege Escalation: Dormant Service Account Granted Sensitive Role DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Audit log di Cloud: Audit log delle attività di amministrazione IAM

A un service account gestito dall'utente inattivo sono stati concessi uno o più ruoli IAM sensibili. In questo contesto, un account di servizio è considerato inattivo se non è stato utilizzato per più di 180 giorni.

Ruoli sensibili

I risultati vengono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per impostazione predefinita, i risultati vengono classificati come gravità Media. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

Privilege Escalation: Impersonation Role Granted For Dormant Service Account DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Audit log di Cloud: Audit log delle attività di amministrazione IAM A un'entità sono state concesse autorizzazioni per simulare l'identità di un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se non è stato utilizzato per più di 180 giorni. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Accesso iniziale: chiave del service account inattivo creata DORMANT_SERVICE_ACCOUNT_KEY_CREATED Audit log di Cloud: Log attività amministratore È stata creata una chiave per un service account gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se non è stato utilizzato per più di 180 giorni. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Accesso iniziale: chiave service account divulgata utilizzata LEAKED_SA_KEY_USED Audit log di Cloud: Log attività amministratore
Log Accesso ai dati 		Per autenticare l'azione è stata utilizzata una chiave del account di servizio divulgata. In questo contesto, una chiave account di servizio divulgata è una chiave pubblicata su internet pubblico. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Accesso iniziale: azioni negate per autorizzazioni eccessive EXCESSIVE_FAILED_ATTEMPT Audit log di Cloud: Log attività amministratore Un principal ha attivato ripetutamente errori di autorizzazione negata tentando di apportare modifiche a più metodi e servizi. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Persistenza: autenticazione avanzata disattivata ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit amministratore

La verifica in due passaggi è stata disattivata per l'organizzazione.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Compromissione delle difese: verifica in due passaggi disattivata 2SV_DISABLE Log di Google Workspace:
Audit degli accessi
Autorizzazioni:
DATA_READ

Un utente ha disattivato la verifica in due passaggi.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: account compromesso disattivato ACCOUNT_DISABLED_HIJACKED Log di Google Workspace:
Audit degli accessi
Autorizzazioni:
DATA_READ

L'account di un utente è stato sospeso a causa di attività sospetta.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Accesso iniziale: perdita di password disattivata ACCOUNT_DISABLED_PASSWORD_LEAK Log di Google Workspace:
Audit degli accessi
Autorizzazioni:
DATA_READ

L'account di un utente è stato disattivato perché è stata rilevata una perdita di password.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: attacco supportato da enti governativi GOV_ATTACK_WARNING Log di Google Workspace:
Audit degli accessi
Autorizzazioni:
DATA_READ

Un attacco sostenuto da un governo potrebbe aver tentato di compromettere un account utente o un computer.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Accesso iniziale: tentativo di compromissione di Log4j Non disponibile Log del bilanciamento del carico Cloud:
Bilanciatore del carico HTTP Cloud
Nota: per utilizzare questa regola, devi attivare la registrazione del bilanciatore del carico delle applicazioni esterno.

Sono state rilevate ricerche Java Naming and Directory Interface (JNDI) all'interno di intestazioni o parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una gravità bassa, perché indicano solo un rilevamento o un tentativo di exploit, non una vulnerabilità o un compromesso.

Questa regola è sempre attiva. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: accesso sospetto bloccato SUSPICIOUS_LOGIN Log di Google Workspace:
Audit degli accessi
Autorizzazioni:
DATA_READ

È stato rilevato e bloccato un accesso sospetto all'account di un utente.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Malware Log4j: dominio non valido LOG4J_BAD_DOMAIN Log di Cloud DNS Il traffico di exploit Log4j è stato rilevato in base a una connessione a un dominio noto o a una ricerca di un dominio noto utilizzato negli attacchi Log4j. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Malware Log4j: IP non valido LOG4J_BAD_IP Log di flusso VPC
Log delle regole firewall
Log Cloud NAT		 Il traffico di exploit Log4j è stato rilevato in base a una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Malware: dominio non valido MALWARE_BAD_DOMAIN Log di Cloud DNS È stato rilevato malware in base a una connessione a un dominio dannoso noto o a una ricerca di questo dominio. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Malware: IP non valido MALWARE_BAD_IP Log di flusso VPC
Log delle regole firewall
Log Cloud NAT 		È stato rilevato un malware in base a una connessione a un indirizzo IP dannoso noto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Malware: dominio non valido per il cryptomining CRYPTOMINING_POOL_DOMAIN Log di Cloud DNS Il cryptomining è stato rilevato in base a una connessione a un dominio di mining noto o a una ricerca di questo dominio. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Malware: IP non valido per il cryptomining CRYPTOMINING_POOL_IP Log di flusso VPC
Log delle regole firewall
Log Cloud NAT 		Il cryptomining è stato rilevato in base a una connessione a un indirizzo IP di mining noto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: amministratore GCE ha aggiunto la chiave SSH GCE_ADMIN_ADD_SSH_KEY Audit log di Cloud:
Audit log dell'attività di amministrazione di Compute Engine 		Il valore della chiave SSH dei metadati dell'istanza Compute Engine è stato modificato su un'istanza stabilita (più vecchia di una settimana). Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: script di avvio aggiunto dall'amministratore GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Audit log di Cloud:
Audit log dell'attività di amministrazione di Compute Engine 		Il valore dello script di avvio dei metadati dell'istanza Compute Engine è stato modificato in un'istanza stabilita (più vecchia di una settimana). Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: concessione IAM anomala IAM_ANOMALOUS_GRANT Audit log di Cloud:
Audit log delle attività di amministrazione IAM

Questo risultato include regole secondarie che forniscono informazioni più specifiche su ogni istanza di questo risultato.

Il seguente elenco mostra tutte le possibili regole secondarie:

  • external_service_account_added_to_policy, external_member_added_to_policy: i privilegi sono stati concessi a utenti e service account IAM che non sono membri della tua organizzazione o, se Security Command Center è attivato solo a livello di progetto, del tuo progetto.

    Nota: se Security Command Center è attivato a livello di organizzazione in qualsiasi livello, questo rilevatore utilizza le policy IAM esistenti di un'organizzazione come contesto. Se l'attivazione di Security Command Center avviene solo a livello di progetto, il rilevatore utilizza solo i criteri IAM del progetto come contesto.

    Se si verifica una concessione IAM sensibile a un membro esterno e esistono meno di tre criteri IAM simili, questo rilevatore genera un risultato.

    Ruoli sensibili

    I risultati vengono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.

  • external_member_invited_to_policy: un membro esterno è stato invitato come proprietario del progetto tramite l'API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: l'autorizzazione setIAMPolicy è stata aggiunta a un ruolo personalizzato.
  • service_account_granted_sensitive_role_to_member: I ruoli con privilegi sono stati concessi ai membri tramite un account di servizio. Questa regola secondaria viene attivata da un sottoinsieme di ruoli sensibili che includono solo ruoli IAM di base e determinati ruoli di archiviazione dei dati. Per maggiori informazioni, consulta Ruoli e autorizzazioni IAM sensibili.
  • policy_modified_by_default_compute_service_account: è stato utilizzato un account di servizio Compute Engine predefinito per modificare le impostazioni IAM del progetto.
Persistenza: account non gestito a cui è stato concesso un ruolo sensibile (anteprima) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		A un account non gestito è stato concesso un ruolo sensibile. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Persistenza: nuovo metodo API
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Audit log di Cloud:
Log attività amministratore 		I service account IAM hanno utilizzato l'accesso anomalo ai servizi Google Cloud . Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: nuova regione IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Audit log di Cloud:
Log attività amministratore

Service account e utenti IAM a cui è stato eseguito l'accesso Google Cloud da località anomale, in base alla geolocalizzazione degli indirizzi IP richiedenti.

Questo risultato non è disponibile per le attivazioni a livello di progetto e viene classificato come gravità Bassa per impostazione predefinita.

Persistenza: nuovo user agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Audit log di Cloud:
Log attività amministratore

Service account IAM a cui è stato eseguito l'accesso Google Cloud da user agent anomali o sospetti.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: attivazione/disattivazione SSO TOGGLE_SSO_ENABLED Google Workspace:
Audit amministratore

L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Persistenza: impostazioni SSO modificate CHANGE_SSO_SETTINGS Google Workspace:
Audit amministratore

Le impostazioni del Single Sign-On per l'account amministratore sono state modificate.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Audit log di Cloud:
Log attività amministratore 		Un service account simulato potenzialmente anomalo è stato utilizzato per un'attività amministrativa. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Escalation dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Audit log di Cloud:
Log attività amministratore 		È stata rilevata una richiesta delegata anomala in più passaggi per un'attività amministrativa. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Audit log di Cloud:
Log di accesso ai dati 		È stata rilevata una richiesta delegata anomala con più passaggi per un'attività di accesso ai dati. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Privilegio Escalation: Anomalous Service Account Impersonator for Admin Activity ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Audit log di Cloud:
Log attività amministratore 		Un chiamante o simulatore potenzialmente anomalo in una catena di delega è stato utilizzato per un'attività amministrativa. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Privilege Escalation: Anomalous Service Account Impersonator for Data Access ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Audit log di Cloud:
Log di accesso ai dati 		Per un'attività di accesso ai dati è stato utilizzato un chiamante o un simulatore di identità potenzialmente anomalo in una catena di delega. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Audit log di Cloud:
Log attività di amministrazione di GKE 		Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo dell'accesso basato su ruoli (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del ruolo sensibile cluster-admin utilizzando una richiesta PUT o PATCH. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Audit log di Cloud:
Log attività di amministrazione di GKE 		Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) master di Kubernetes, che concede l'accesso con il ruolo cluster-admin. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo cluster-admin. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Audit log di Cloud:
Log di accesso ai dati di GKE 		Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato� (CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Escalation dei privilegi: avvia un container Kubernetes con privilegi GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Audit log di Cloud:
Log attività di amministrazione di GKE

Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o container con funzionalità di escalation dei privilegi.

Il campo privileged di un container con privilegi è impostato su true. Il campo allowPrivilegeEscalation di un container con funzionalità di escalation dei privilegi è impostato su true. Per ulteriori informazioni, consulta il riferimento dell'API principale SecurityContext v1 nella documentazione di Kubernetes. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.

Persistenza: chiave del service account creata SERVICE_ACCOUNT_KEY_CREATION Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		È stata creata una chiave del account di servizio. Le chiavi del service account sono credenziali di lunga durata che aumentano il rischio di accesso non autorizzato alle risorse di Google Cloud. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: script di arresto globale aggiunto GLOBAL_SHUTDOWN_SCRIPT_ADDED Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Uno script di arresto globale è stato aggiunto a un progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: script di avvio globale aggiunto GLOBAL_STARTUP_SCRIPT_ADDED Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Uno script di avvio globale è stato aggiunto a un progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Defense Evasion: ruolo Creatore token service account a livello di organizzazione aggiunto ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Il ruolo IAM Creatore token service account è stato concesso a livello di organizzazione. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Defense Evasion: ruolo Creatore token service account a livello di progetto aggiunto PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Il ruolo IAM Creatore token service account è stato concesso a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Movimento laterale: esecuzione patch del sistema operativo dal service account OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Audit log di Cloud.
Audit log delle attività di amministrazione IAM 		Un account di servizio ha utilizzato la funzionalità di patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza Compute Engine attualmente in esecuzione. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Movimento laterale: disco di avvio modificato collegato all'istanza (anteprima) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Audit log di Cloud:
Audit log di Compute Engine 		Un disco di avvio è stato scollegato da un'istanza Compute Engine e collegato a un'altra, il che potrebbe indicare un tentativo dannoso di compromettere il sistema utilizzando un disco di avvio modificato. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Audit log di Cloud:
Log di accesso ai dati di GKE 		È stato eseguito l'accesso a secret o token del account di servizio da parte di un account di servizio nello spazio dei nomi Kubernetes corrente. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Sviluppo delle risorse: attività distro di sicurezza non valida OFFENSIVE_SECURITY_DISTRO_ACTIVITY Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Una risorsa Google Cloud è stata manipolata correttamente tramite test di penetrazione noti o distribuzioni di sicurezza offensive. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: il nuovo service account è il proprietario o l'editor SERVICE_ACCOUNT_EDITOR_OWNER Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		È stato creato un nuovo account di servizio con ruoli Editor o Proprietario per un progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Discovery: Information Gathering Tool Used INFORMATION_GATHERING_TOOL_USED Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		È stato rilevato l'utilizzo di ScoutSuite. ScoutSuite è uno strumento di controllo della sicurezza cloud noto per essere utilizzato da autori di minacce. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: generazione token sospetta SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		L'autorizzazione iam.serviceAccounts.implicitDelegation è stata utilizzata in modo improprio per generare token di accesso da un account di servizio con privilegi superiori. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: generazione token sospetta SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Un account di servizio ha utilizzato il metodo serviceAccounts.signJwt per generare un token di accesso per un altro account di servizio. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: generazione token sospetta SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Audit log di Cloud:
Audit log dell'attività di amministrazione IAM

L'autorizzazione IAM iam.serviceAccounts.getOpenIdToken è stata utilizzata in tutti i progetti.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: generazione token sospetta SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Audit log di Cloud:
Audit log dell'attività di amministrazione IAM

L'autorizzazione IAM iam.serviceAccounts.getAccessToken è stata utilizzata in tutti i progetti.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: utilizzo sospetto delle autorizzazioni tra progetti SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Audit log di Cloud:
Audit log dell'attività di amministrazione IAM

L'autorizzazione IAM datafusion.instances.create è stata utilizzata in tutti i progetti.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Comando e controllo: tunneling DNS DNS_TUNNELING_IODINE_HANDSHAKE Log di Cloud DNS È stato rilevato l'handshake dello strumento di tunneling DNS Iodine. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Evasione della difesa: tentativo di accesso mascherato route VPC VPC_ROUTE_MASQUERADE Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Le route VPC che si spacciano per route Google Cloud predefinite sono state create manualmente, consentendo il traffico in uscita verso indirizzi IP esterni. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Impatto: fatturazione disabilitata BILLING_DISABLED_SINGLE_PROJECT Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		La fatturazione è stata disattivata per un progetto. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: fatturazione disabilitata BILLING_DISABLED_MULTIPLE_PROJECTS Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		La fatturazione è stata disattivata per più progetti in un'organizzazione in un breve periodo di tempo. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: blocco ad alta priorità per firewall VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		È stata aggiunta una regola firewall VPC che blocca tutto il traffico in uscita con priorità 0. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: eliminazione regola di massa per firewall VPCTemporaneamente non disponibile VPC_FIREWALL_MASS_RULE_DELETION Audit log di Cloud:
Audit log dell'attività di amministrazione IAM

Le regole firewall VPC sono state eliminate in blocco da account non di servizio.

Questa regola non è temporaneamente disponibile. Per monitorare gli aggiornamenti alle regole firewall, utilizza Cloud Audit Logs. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.

Impatto: API di servizio disabilitata SERVICE_API_DISABLED Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Un'API di servizio Google Cloud è stata disattivata in un ambiente di produzione. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: scalabilità automatica gruppo di istanze gestite impostata al massimo MIG_AUTOSCALING_SET_TO_MAX Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		È stato configurato un gruppo di istanze gestite per la scalabilità automatica massima. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Rilevamento: chiamata non autorizzata all'API del service account UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Audit log di Cloud:
Audit log dell'attività di amministrazione IAM 		Un account di servizio ha effettuato una chiamata API tra progetti non autorizzata. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Evasione di difesa: accesso amministrativo al cluster concesso da sessioni anonime ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Audit log di Cloud:
Log attività di amministrazione di GKE 		È stato creato un oggetto di controllo dell'accesso basato sui ruoli (RBAC) ClusterRoleBinding, che aggiunge il comportamento root-cluster-admin-binding agli utenti anonimi. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: nuova area geografica per il servizio AI AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Audit log di Cloud:
Log attività amministratore

Utenti IAM e service account che accedono ai servizi di AI da località anomale, in base alla geolocalizzazione degli indirizzi IP richiedenti. Google Cloud

Questo risultato non è disponibile per le attivazioni a livello di progetto e viene classificato come gravità Bassa per impostazione predefinita.
Elevazione dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione AI AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Audit log di Cloud:
Log attività amministratore 		È stata rilevata una richiesta delegata in più passaggi anomala per un'attività amministrativa di un servizio AI. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Audit log di Cloud:
Log di accesso ai dati 		È stata rilevata una richiesta delegata anomala con più passaggi per un'attività di accesso ai dati di un servizio AI. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Audit log di Cloud:
Log attività amministratore 		Un chiamante o simulatore potenzialmente anomalo in una catena di delega è stato utilizzato per un'attività amministrativa di un servizio AI. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Elevazione dei privilegi: simulatore anomalo dell'identità di un service account per l'accesso ai dati AI AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Audit log di Cloud:
Log di accesso ai dati 		Per un'attività di accesso ai dati di un servizio AI è stato utilizzato un chiamante o un simulatore potenzialmente anomalo in una catena di delega. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Elevazione dei privilegi: simulazione anomala dell'identità del service account per l'attività di amministrazione AI AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Audit log di Cloud:
Log attività amministratore 		Un service account simulato potenzialmente anomalo è stato utilizzato per un'attività amministrativa di un servizio AI. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Persistenza: nuovo metodo API AI
 AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD Audit log di Cloud:
Log attività amministratore 		Gli account di servizio IAM hanno utilizzato l'accesso anomalo ai servizi AI. Google Cloud Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: attività del service account inattivo nel servizio AI AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Audit log di Cloud: Log attività amministratore Un service account gestito dall'utente inattivo ha attivato un'azione nei servizi AI. In questo contesto, un account di servizio è considerato inattivo se non è stato utilizzato per più di 180 giorni. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Accesso iniziale: risorsa GKE anonima creata da internet (anteprima) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Audit log di Cloud:
Log attività di amministrazione di GKE. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta. 		Una risorsa è stata creata da un utente internet effettivamente anonimo.
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet (anteprima) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Audit log di Cloud:
Log attività di amministrazione di GKE 		Una risorsa è stata manipolata da un utente internet effettivamente anonimo. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Elevazione dei privilegi: accesso al cluster GKE concesso a utenti anonimi GKE_ANONYMOUS_USERS_GRANTED_ACCESS Audit log di Cloud:
Log attività di amministrazione di GKE

Qualcuno ha creato un binding RBAC che fa riferimento a uno dei seguenti utenti o gruppi:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Questi utenti e gruppi sono effettivamente anonimi e devono essere evitati quando si creano associazioni di ruoli o associazioni di ruoli del cluster a qualsiasi ruolo RBAC. Esamina il binding per assicurarti che sia necessario. Se l'associazione non è necessaria, rimuovila. Per impostazione predefinita, i risultati vengono classificati come gravità Media.

Esecuzione: esecuzione o collegamento sospetti a un pod di sistema (anteprima) GKE_SUSPICIOUS_EXEC_ATTACH Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha utilizzato i comandi exec o attach per ottenere una shell o eseguire un comando su un container in esecuzione nello spazio dei nomi kube-system. Questi metodi vengono a volte utilizzati per scopi di debug legittimi. Tuttavia, lo spazio dei nomi kube-system è destinato agli oggetti di sistema creati da Kubernetes e l'esecuzione imprevista di comandi o la creazione di shell deve essere esaminata. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Escalation dei privilegi: workload creato con un montaggio del percorso host sensibile (anteprima) GKE_SENSITIVE_HOSTPATH Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un workload che contiene un montaggio del volume hostPath in un percorso sensibile nel file system del nodo host. L'accesso a questi percorsi nel file system host può essere utilizzato per accedere a informazioni privilegiate o sensibili sul nodo e per l'escape dei container. Se possibile, non consentire volumi hostPath nel tuo cluster. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: workload con shareProcessNamespace abilitato (anteprima) GKE_SHAREPROCESSNAMESPACE_POD Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un workload con l'opzione shareProcessNamespace impostata su true, consentendo a tutti i container di condividere lo stesso spazio dei nomi di processo Linux. Ciò potrebbe consentire a un container non attendibile o compromesso di aumentare i privilegi accedendo e controllando le variabili di ambiente, la memoria e altri dati sensibili dei processi in esecuzione in altri container. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: ClusterRole con verbi con privilegi (anteprima) GKE_CLUSTERROLE_PRIVILEGED_VERBS Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un RBAC ClusterRole che contiene i verbi bind, escalate o impersonate. Un soggetto associato a un ruolo con questi verbi può impersonare altri utenti con privilegi più elevati, associarsi a Roles o ClusterRoles aggiuntivi che contengono autorizzazioni aggiuntive o modificare le proprie autorizzazioni ClusterRole. Ciò potrebbe portare a ottenere i privilegi di amministratore del cluster. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Escalation dei privilegi: ClusterRoleBinding a ruolo con privilegi GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un RBAC ClusterRoleBinding che fa riferimento a system:controller:clusterrole-aggregation-controller ClusterRole predefinito. Questo ClusterRole predefinito ha il verbo escalate, che consente ai soggetti di modificare i privilegi dei propri ruoli, consentendo l'escalation dei privilegi. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Evasione di difesa: richiesta di firma del certificato (CSR) eliminata manualmente GKE_MANUALLY_DELETED_CSR Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha eliminato manualmente una richiesta di firma del certificato (CSR). Le CSR vengono rimosse automaticamente da un controller di garbage collection, ma gli autori di attacchi informatici potrebbero eliminarle manualmente per evitare il rilevamento. Se la CSR eliminata riguardava un certificato approvato ed emesso, l'utente potenzialmente malintenzionato ora dispone di un metodo di autenticazione aggiuntivo per accedere al cluster. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere altamente privilegiate. Kubernetes non supporta la revoca dei certificati. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso con credenziali: tentativo di approvazione della richiesta di firma del certificato (CSR) di Kubernetes non riuscito GKE_APPROVE_CSR_FORBIDDEN Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha tentato di approvare manualmente una richiesta di firma del certificato (CSR), ma l'azione non è riuscita. La creazione di un certificato per l'autenticazione del cluster è un metodo comune per gli autori di attacchi per creare un accesso persistente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda del soggetto incluso, ma possono essere altamente privilegiate. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso con credenziali: richiesta di firma del certificato (CSR) Kubernetes approvata manualmente (Anteprima) GKE_CSR_APPROVED Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha approvato manualmente una richiesta di firma del certificato (CSR). La creazione di un certificato per l'autenticazione del cluster è un metodo comune per gli autori di attacchi per creare un accesso persistente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere altamente privilegiate. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Esecuzione: pod Kubernetes creato con potenziali argomenti reverse shell GKE_REVERSE_SHELL_POD Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un pod contenente comandi o argomenti comunemente associati a una shell inversa. Gli aggressori utilizzano shell inverse per espandere o mantenere l'accesso iniziale a un cluster ed eseguire comandi arbitrari. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Evasione delle difese: potenziale mascheramento di pod Kubernetes GKE_POD_MASQUERADING Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un pod con una convenzione di denominazione simile ai carichi di lavoro predefiniti che GKE crea per il normale funzionamento del cluster. Questa tecnica è chiamata mascheramento. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Escalation dei privilegi: nomi dei container Kubernetes sospetti - Exploit ed escape (anteprima) GKE_SUSPICIOUS_EXPLOIT_POD Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un pod con una convenzione di denominazione simile a strumenti comuni utilizzati per l'escape dei container o per eseguire altri attacchi al cluster. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Persistenza: service account creato nello spazio dei nomi sensibile GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un account di servizio in uno spazio dei nomi sensibile. Gli spazi dei nomi kube-system e kube-public sono fondamentali per le operazioni del cluster GKE e i service account non autorizzati potrebbero compromettere la stabilità e la sicurezza del cluster. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Impatto: Nomi dei container Kubernetes sospetti - Mining di criptovaluta GKE_SUSPICIOUS_CRYPTOMINING_POD Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un pod con una convenzione di denominazione simile a quella dei miner di criptovalute comuni. Potrebbe trattarsi di un tentativo da parte di un malintenzionato che ha ottenuto l'accesso iniziale al cluster di utilizzare le risorse del cluster per il mining di criptovalute. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Esecuzione: workload attivato nello spazio dei nomi sensibile GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha eseguito il deployment di un carico di lavoro (ad esempio un pod o un deployment) negli spazi dei nomi kube-system o kube-public. Questi spazi dei nomi sono fondamentali per le operazioni del cluster GKE e i carichi di lavoro non autorizzati potrebbero compromettere la stabilità o la sicurezza del cluster. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Esecuzione: avvio di un container con funzionalità eccessive GKE (anteprima) GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un container con una o più delle seguenti funzionalità in un cluster con un contesto di sicurezza elevato:
  • CAP_SYS_MODULE
  • CAP_SYS_RAWIO
  • CAP_SYS_PTRACE
  • CAP_SYS_BOOT
  • CAP_DAC_READ_SEARCH
  • CAP_NET_ADMIN
  • CAP_BPF
Queste funzionalità possono essere utilizzate per uscire dai container. Fai attenzione quando esegui il provisioning di queste funzionalità. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Persistenza: rilevata configurazione webhook GKE GKE_WEBHOOK_CONFIG_CREATED Audit log di Cloud:
Log attività di amministrazione di GKE 		Nel tuo cluster GKE è stata rilevata una configurazione webhook. I webhook possono intercettare e modificare le richieste API Kubernetes, consentendo potenzialmente agli autori degli attacchi di persistere all'interno del cluster o manipolare le risorse. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Evasione della difesa: pod statico creato GKE_STATIC_POD_CREATED Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un pod statico nel tuo cluster GKE. I pod statici vengono eseguiti direttamente sul nodo e bypassano il server API Kubernetes, il che li rende più difficili da monitorare e controllare. Gli autori degli attacchi possono utilizzare i pod statici per eludere il rilevamento o mantenere la persistenza. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: chiamata API riuscita effettuata da un IP proxy TOR GKE_TOR_PROXY_IP_REQUEST Audit log di Cloud:
Log attività di amministrazione di GKE 		È stata effettuata una chiamata API riuscita al tuo cluster GKE da un indirizzo IP associato alla rete Tor. Tor fornisce l'anonimato, che gli autori degli attacchi spesso sfruttano per nascondere la propria identità. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Accesso iniziale: servizio NodePort GKE creato GKE_NODEPORT_SERVICE_CREATED Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha creato un servizio NodePort. I servizi NodePort espongono i pod direttamente sull'indirizzo IP e sulla porta statica di un nodo, rendendoli accessibili dall'esterno del cluster. Ciò può introdurre un rischio significativo per la sicurezza perché potrebbe consentire a un malintenzionato di sfruttare le vulnerabilità del servizio esposto per ottenere l'accesso al cluster o a dati sensibili. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Impatto: rilevata modifica di kube-dns GKE (anteprima) GKE_KUBE_DNS_MODIFICATION Audit log di Cloud:
Log attività di amministrazione di GKE 		Qualcuno ha modificato la configurazione di kube-dns nel tuo cluster GKE. kube-dns di GKE è un componente fondamentale del networking del cluster e la sua configurazione errata potrebbe causare una violazione della sicurezza. Per impostazione predefinita, i risultati vengono classificati come gravità Media.
Impatto: comandi di cryptomining CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS Audit log di Cloud:
Audit log degli eventi di sistema IAM 		Durante l'esecuzione, a un job Cloud Run sono stati allegati comandi di cryptomining specifici. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Esecuzione: immagine Docker per il cryptomining CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES Audit log di Cloud:
Audit log degli eventi di sistema IAM 		Sono state allegate immagini Docker specifiche note come dannose a un servizio o un job Cloud Run nuovo o esistente. Per impostazione predefinita, i risultati vengono classificati come di gravità Alta.
Escalation dei privilegi: Default Compute Engine Service Account SetIAMPolicy CLOUD_RUN_SERVICES_SET_IAM_POLICY Audit log di Cloud:
Log attività amministratore 		L'account di servizio Compute Engine predefinito è stato utilizzato per impostare il criterio IAM per un servizio Cloud Run. Si tratta di una potenziale azione post-exploit quando un token Compute Engine viene compromesso da un servizio serverless. Per impostazione predefinita, i risultati vengono classificati come gravità Bassa.
Accesso iniziale: accesso riuscito a CloudDB dall'IP del proxy con anonimizzazione CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP Cloud Audit Logs: Log di accesso ai dati di AlloyDB per PostgreSQL
Log di accesso ai dati di Cloud SQL per PostgreSQL
Log di accesso ai dati di Cloud SQL per MySQL
Nota: per utilizzare questa regola per AlloyDB e PostgreSQL, devi attivare la registrazione IP in PostgreSQL. 		È stato rilevato un accesso riuscito nell'istanza del database da un indirizzo IP con anonimizzazione noto. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto l'accesso iniziale alla tua istanza.
Accesso con credenziali: accesso a CloudDB non riuscito dall'IP del proxy con anonimizzazione CLOUD_DB_LOGIN_FAILED_ANON_IP Cloud Audit Logs: Log di accesso ai dati di AlloyDB per PostgreSQL
Log di accesso ai dati di Cloud SQL per PostgreSQL
Log di accesso ai dati di Cloud SQL per MySQL
Nota: per utilizzare questa regola per AlloyDB e PostgreSQL, devi attivare la registrazione IP in PostgreSQL. 		È stato rilevato un accesso non riuscito nell'istanza del database da un indirizzo IP di anonimizzazione noto. Ciò potrebbe indicare che un utente malintenzionato sta tentando di accedere senza autorizzazione alla tua istanza.
Per le regole ritirate e chiuse, vedi Ritiri.

Moduli personalizzati per Event Threat Detection

Oltre alle regole di rilevamento integrate, Event Threat Detection fornisce modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate. Per saperne di più, consulta la panoramica dei moduli personalizzati per Event Threat Detection.

Per creare regole di rilevamento per le quali non sono disponibili modelli di moduli personalizzati, puoi esportare i dati di log in BigQuery e poi eseguire query SQL uniche o ricorrenti che acquisiscono i tuoi modelli di minaccia.

Modifiche non sicure a Google Gruppi

Questa sezione spiega come Event Threat Detection utilizza i log di Google Workspace, Cloud Audit Logs e i criteri IAM per rilevare modifiche non sicure di Google Gruppi. Il rilevamento delle modifiche ai gruppi Google è supportato solo quando attivi Security Command Center a livello di organizzazione.

I clienti diGoogle Cloud possono utilizzare Google Gruppi per gestire ruoli e autorizzazioni per i membri delle loro organizzazioni o applicare criteri di accesso a raccolte di utenti. Anziché concedere ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni ai gruppi Google e poi aggiungere i membri a gruppi specifici. I membri del gruppo ereditano tutti i ruoli e le autorizzazioni di un gruppo, il che consente loro di accedere a servizi e risorse specifici.

Sebbene Google Gruppi sia un modo pratico per gestire il controllo dell'accesso dell'accesso su larga scala, può rappresentare un rischio se utenti esterni al di fuori dell'organizzazione o del dominio vengono aggiunti a gruppi con privilegi, ovvero gruppi a cui vengono concessi ruoli o autorizzazioni sensibili. I ruoli sensibili controllano l'accesso alle impostazioni di sicurezza e di rete, ai log e alle informazioni che consentono l'identificazione personale (PII) e non sono consigliati per i membri di gruppi esterni.

Nelle grandi organizzazioni, gli amministratori potrebbero non essere a conoscenza dell'aggiunta di membri esterni a gruppi con privilegi. Cloud Audit Logs registra le concessioni di ruoli ai gruppi, ma questi eventi di log non contengono informazioni sui membri del gruppo, il che può oscurare il potenziale impatto di alcune modifiche al gruppo.

Se condividi i log di Google Workspace con Google Cloud, Event Threat Detection monitora i flussi di logging per i nuovi membri aggiunti ai gruppi Google della tua organizzazione. Poiché i log si trovano a livello di organizzazione, Event Threat Detection può analizzare i log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può analizzare questi log quando attivi Security Command Center a livello di progetto.

Event Threat Detection identifica i membri di gruppi esterni e, utilizzando Cloud Audit Logs, esamina i ruoli IAM di ogni gruppo interessato per verificare se ai gruppi vengono concessi ruoli sensibili. Queste informazioni vengono utilizzate per rilevare le seguenti modifiche non sicure per i gruppi Google con privilegi:

  • Membri esterni del gruppo aggiunti ai gruppi con privilegi
  • Ruoli o autorizzazioni sensibili concessi a gruppi con membri esterni
  • Gruppi con privilegi modificati per consentire a chiunque del pubblico di entrare a far parte

Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri interni del gruppo che avviano eventi, i nomi dei gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere i membri esterni dai gruppi o revocare i ruoli sensibili concessi ai gruppi.

Per ulteriori informazioni sui risultati di Event Threat Detection, consulta Regole di Event Threat Detection.

Ruoli e autorizzazioni IAM sensibili

Questa sezione spiega come Event Threat Detection definisce i ruoli IAM sensibili. I rilevamenti come IAM Anomalous Grant e Unsafe Google Group changes generano risultati solo se le modifiche riguardano ruoli con sensibilità alta o media. La sensibilità dei ruoli influisce sulla classificazione della gravità assegnata ai risultati.

  • I ruoli ad alta sensibilità controllano i servizi critici nelle organizzazioni, inclusi fatturazione, impostazioni del firewall e logging. I risultati che corrispondono a questi ruoli sono classificati come gravità Elevata.
  • I ruoli con sensibilità media dispongono di autorizzazioni di modifica che consentono ai principal di apportare modifiche alle risorse Google Cloud ; e di autorizzazioni di visualizzazione ed esecuzione sui servizi di archiviazione dati che spesso contengono dati sensibili. La gravità assegnata ai risultati dipende dalla risorsa:
    • Se i ruoli con sensibilità media vengono concessi a livello di organizzazione, i risultati vengono classificati come gravità Alta.
    • Se i ruoli con sensibilità media vengono concessi a livelli inferiori della gerarchia delle risorse (cartelle, progetti e bucket, tra gli altri), i risultati vengono classificati come gravità Media.

La concessione di questi ruoli sensibili è considerata pericolosa se il destinatario è un membro esterno o un'identità anomala, ad esempio un principal inattivo da molto tempo.

La concessione di ruoli sensibili a membri esterni crea una potenziale minaccia perché possono essere usati in modo illecito per compromettere l'account ed esfiltrazione di dati.

Le categorie che utilizzano questi ruoli sensibili includono:

  • Persistenza: concessione IAM anomala
    • Sotto-regola: external_service_account_added_to_policy
    • Sotto-regola: external_member_added_to_policy
  • Escalation dei privilegi: ruolo sensibile concesso al gruppo ibrido
  • Privilege Escalation: Dormant Service Account Granted Sensitive Role

Le categorie che utilizzano un sottoinsieme dei ruoli sensibili includono:

  • Persistenza: concessione IAM anomala
    • Sotto-regola: service_account_granted_sensitive_role_to_member

La regola secondaria service_account_granted_sensitive_role_to_member ha come target in generale sia i membri esterni che quelli interni e pertanto utilizza solo un sottoinsieme di ruoli sensibili, come spiegato in Regole di Event Threat Detection.

Categoria Ruolo Descrizione
Ruoli di base: contengono migliaia di autorizzazioni per tutti i servizi Google Cloud . roles/owner Ruoli di base
roles/editor
Ruoli di sicurezza: controllano l'accesso alle impostazioni di sicurezza roles/cloudkms.* Tutti Ruoli Cloud Key Management Service
roles/cloudsecurityscanner.* Tutti Ruoli Web Security Scanner
roles/dlp.* Tutti i ruoli Sensitive Data Protection
roles/iam.* Tutti Ruoli IAM
roles/secretmanager.* Tutti Ruoli Secret Manager
roles/securitycenter.* Tutti i ruoli Security Command Center
Ruoli di logging: controllano l'accesso ai log di un'organizzazione roles/errorreporting.* Tutti i ruoli di Error Reporting
roles/logging.* Tutti i ruoli Cloud Logging
roles/stackdriver.* Tutti i ruoli Cloud Monitoring
Ruoli per le informazioni personali: controlla l'accesso alle risorse che contengono informazioni che consentono l'identificazione personale, inclusi dati bancari e informazioni di contatto roles/billing.* Tutti i ruoli di fatturazione Cloud
roles/healthcare.* Tutti Ruoli API Cloud Healthcare
roles/essentialcontacts.* Tutti Ruoli dei contatti necessari
Ruoli di rete: controllano l'accesso alle impostazioni di rete di un'organizzazione roles/dns.* Tutti i ruoli Cloud DNS
roles/domains.* Tutti i ruoli Cloud Domains
roles/networkconnectivity.* Tutti Ruoli Network Connectivity Center
roles/networkmanagement.* Tutti Ruoli Network Connectivity Center
roles/privateca.* Tutti Ruoli di Certificate Authority Service
Ruoli di servizio: controllano l'accesso alle risorse di servizio in Google Cloud roles/cloudasset.* Tutti Ruoli Cloud Asset Inventory
roles/servicedirectory.* Tutti Ruoli Service Directory
roles/servicemanagement.* Tutti Ruoli di Service Management
roles/servicenetworking.* Tutti Ruoli di Service Networking
roles/serviceusage.* Tutti Ruoli di utilizzo del servizio
Ruoli Compute Engine: controlla l'accesso alle macchine virtuali Compute Engine, che eseguono job a lunga esecuzione e sono associate a regole firewall

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Tutti i ruoli Amministratore e Editor di Compute Engine
Categoria Ruolo Descrizione
Ruoli di modifica: ruoli IAM che includono le autorizzazioni per apportare modifiche alle risorse Google Cloud

Esempi:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

I nomi dei ruoli di solito terminano con titoli come Amministratore, Proprietario, Editor o Autore.

Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli con sensibilità media

Ruoli di archiviazione dati: ruoli IAM che includono autorizzazioni per visualizzare ed eseguire servizi di archiviazione dati

Esempi:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli con sensibilità media
Tutti i ruoli con sensibilità media

Approvazione accesso

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Gestore contesto accesso

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Azioni

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Autorizzazione binaria

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Cloud Run Functions

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artifact Analysis

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

API On-Demand Scanning

  • roles/ondemandscanning.admin

Monitoraggio configurazione applicazioni

  • roles/opsconfigmonitoring.resourceMetadata.writer

Servizio Criteri dell'organizzazione

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Altri ruoli

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Consigli

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Motore per suggerimenti

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Impostazioni delle risorse

  • roles/resourcesettings.admin

Accesso VPC serverless

  • roles/vpcaccess.admin

Service Consumer Management

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Blocchi note gestiti dall'utente di Vertex AI Workbench

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Tipi di log e requisiti di attivazione

Questa sezione elenca i log utilizzati da Event Threat Detection, insieme alle minacce che Event Threat Detection cerca in ogni log e cosa, se necessario, devi fare per attivare ogni log.

Devi attivare un log per Event Threat Detection solo se tutte le seguenti condizioni sono vere:

  • Stai utilizzando il prodotto o il servizio che scrive nel log.
  • Devi proteggere il prodotto o il servizio dalle minacce che Event Threat Detection rileva nel log.
  • Il log è un audit log di accesso ai dati o un altro log disattivato per impostazione predefinita.

Alcune minacce possono essere rilevate in più log. Se Event Threat Detection è in grado di rilevare una minaccia in un log già attivato, non è necessario attivare un altro log per rilevare la stessa minaccia.

Se un log non è elencato in questa sezione, Event Threat Detection non lo analizza, anche se è attivato. Per ulteriori informazioni, consulta la sezione Scansioni dei log potenzialmente ridondanti.

Come descritto nella tabella seguente, alcuni tipi di log sono disponibili solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non esegue la scansione di questi log e non produce risultati.

Origini log di base

Event Threat Detection utilizza origini dati di base per rilevare attività potenzialmente dannose nella tua rete.

  • Se abiliti Event Threat Detection senza i log di flusso VPC, Event Threat Detection inizia immediatamente ad analizzare un flusso interno, duplicato e indipendente di log di flusso VPC. Per esaminare ulteriormente un risultato di Event Threat Detection esistente, devi abilitare i log di flusso VPC e passare manualmente a Esplora log e Flow Analyzer. Se abiliti i log di flusso VPC in un secondo momento, solo i risultati futuri conterranno i link pertinenti per ulteriori indagini.

  • Se abiliti Event Threat Detection con i log di flusso VPC, Event Threat Detection inizia immediatamente ad analizzare i log di flusso VPC nel tuo deployment e fornisce link a Esplora log e Flow Analyzer per aiutarti a eseguire ulteriori indagini.

Log per il rilevamento del malware nella rete

Event Threat Detection può fornire il rilevamento di malware nella rete eseguendo la scansione di uno qualsiasi dei seguenti log:

  • Logging di Cloud DNS
  • Log di Cloud NAT
  • Logging delle regole firewall
  • Log di flusso VPC

Non è necessario abilitare più di uno tra logging di Cloud NAT, registrazione delle regole firewall o log di flusso VPC.

Se utilizzi già la registrazione di Cloud DNS, Event Threat Detection può rilevare malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log Cloud DNS sono sufficienti per il rilevamento di malware nella rete.

Se hai bisogno di un altro livello di visibilità oltre alla risoluzione del dominio, puoi attivare i log di flusso VPC, ma questi possono comportare costi. Per gestire questi costi, ti consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e di ridurre la frequenza di campionamento a un valore compreso tra il 5% e il 10%, ma esiste un compromesso tra il richiamo (campione più alto) e la gestione dei costi (frequenza di campionamento più bassa). Per saperne di più, consulta Campionamento ed elaborazione dei log.

Se utilizzi già la registrazione delle regole firewall o la registrazione di Cloud NAT, questi log sono utili al posto dei log di flusso VPC.

Dati di log e minacce rilevate supportati

Questa sezione elenca i log di Cloud Logging e Google Workspace che puoi attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection può rilevare.

Determinate minacce, come quelle poste dall'impersonificazione o dalla delega anomala di un account di servizio, possono essere rilevate nella maggior parte dei log di controllo. Per questi tipi di minacce, devi determinare quali log attivare in base ai prodotti e servizi che utilizzi.

La tabella seguente mostra i log specifici che puoi attivare e il tipo di minacce che possono essere rilevate.

Tipo di log Minacce rilevate Configurazione necessaria
Logging di Cloud DNS

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Attiva il logging di Cloud DNS

Vedi anche Log per il rilevamento di malware nella rete.
Log di Cloud NAT

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Attiva la registrazione di Cloud NAT

Vedi anche Log per il rilevamento del malware nella rete.
Logging delle regole firewall

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Attiva il logging delle regole firewall

Vedi anche Log per il rilevamento del malware nella rete.
Audit log degli accessi ai dati di Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Attiva gli audit log di accesso ai dati di Logging per GKE
Log di controllo dell'amministratore di Google Workspace

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Persistence: Strong Authentication Disabled

Privilege Escalation: Privileged Group Opened To Public

Condividere i log di controllo dell'amministratore di Google Workspace con Cloud Logging

Questo tipo di log non può essere scansionato nelle attivazioni a livello di progetto.
Audit log di accesso a Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Condividere i log di controllo degli accessi di Google Workspace con Cloud Logging

Questo tipo di log non può essere scansionato nelle attivazioni a livello di progetto.
Log del servizio di backend del bilanciatore del carico delle applicazioni esterno Initial Access: Log4j Compromise Attempt Attiva la registrazione del bilanciatore del carico delle applicazioni esterno
Audit log degli accessi ai dati di Cloud SQL MySQL

Exfiltration: Cloud SQL Data Exfiltration

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Credential Access: CloudDB Failed login from Anonymizing Proxy IP

 Attiva gli audit log di accesso ai dati per Cloud SQL per MySQL
Audit log degli accessi ai dati di Cloud SQL PostgreSQL

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Credential Access: CloudDB Failed login from Anonymizing Proxy IP
Audit log degli accessi ai dati di AlloyDB per PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Credential Access: CloudDB Failed login from Anonymizing Proxy IP
Audit log degli accessi ai dati IAM Discovery: Service Account Self-Investigation Attiva gli audit log di accesso ai dati di logging per Resource Manager
Audit log degli accessi ai dati di SQL Server Exfiltration: Cloud SQL Data Exfiltration Attiva i log di controllo Logging Data Access per Cloud SQL per SQL Server
Audit log generici di accesso ai dati

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Attiva gli audit log di accesso ai dati di Logging.
authlogs/authlog sulle macchine virtuali Brute force SSH Installa l'agente operativo o l'agente Logging legacy sugli host VM.
Log di flusso VPC

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Attiva i log di flusso VPC

Vedi anche Log per il rilevamento del malware nella rete.

Log sempre attivi

La tabella seguente elenca i log di Cloud Logging che non devi attivare o configurare. Questi log sono sempre attivi ed Event Threat Detection li analizza automaticamente.

Tipo di log Minacce rilevate Configurazione necessaria
Log di accesso ai dati BigQueryAuditMetadata

Esfiltrazione: esfiltrazione dei dati di BigQuery

Esfiltrazione: estrazione dei dati di BigQuery

Esfiltrazione: dati BigQuery su Google Drive

Esfiltrazione: spostamento nella risorsa BigQuery pubblica (anteprima)

 Nessuno
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE)

Accesso con credenziali: tentativo non riuscito di approvare la richiesta di firma del certificato (CSR) di Kubernetes

Accesso con credenziali: richiesta di firma del certificato (CSR) Kubernetes approvata manualmente (anteprima)

Evasione di difesa: accesso amministrativo al cluster concesso da sessioni anonime

Evasione di difesa: richiesta di firma del certificato (CSR) eliminata manualmente

Evasione delle difese: potenziale mascheramento di pod Kubernetes

Evasione della difesa: pod statico creato

Esecuzione: avvio di un container con funzionalità eccessive GKE (anteprima)

Esecuzione: Pod Kubernetes creato con potenziali argomenti reverse shell

Esecuzione: esecuzione o collegamento sospetti a un pod di sistema (anteprima)

Esecuzione: workload attivato nello spazio dei nomi sensibile

Impatto: rilevata modifica di kube-dns GKE (anteprima)

Impatto: Nomi dei container Kubernetes sospetti - Mining di criptovaluta

Accesso iniziale: risorsa GKE anonima creata da internet (anteprima)

Accesso iniziale: servizio NodePort GKE creato

Accesso iniziale: risorsa GKE modificata in modo anonimo da internet (anteprima)

Accesso iniziale: chiamata API riuscita effettuata da un IP proxy TOR

Persistenza: rilevata configurazione webhook GKE

Persistenza: service account creato nello spazio dei nomi sensibile

Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili

Escalation dei privilegi: ClusterRole con verbi con privilegi (anteprima)

Escalation dei privilegi: ClusterRoleBinding a ruolo con privilegi

Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale

Escalation dei privilegi: creazione di associazioni Kubernetes sensibili

Elevazione dei privilegi: accesso al cluster GKE concesso a utenti anonimi

Escalation dei privilegi: avvia un container Kubernetes con privilegi

Escalation dei privilegi: nomi dei container Kubernetes sospetti - Exploit ed escape (anteprima)

Escalation dei privilegi: workload creato con un montaggio del percorso host sensibile (anteprima)

Escalation dei privilegi: workload con shareProcessNamespace abilitato (anteprima)

Nessuno
Audit log delle attività di amministrazione IAM

Persistenza: concessione IAM anomala (anteprima)

Persistenza: all'account non gestito è stato concesso un ruolo sensibile

Escalation dei privilegi: service account Compute Engine predefinito SetIAMPolicy

Privilege Escalation: Dormant Service Account Granted Sensitive Role

Privilege Escalation: Impersonation Role Granted For Dormant Service Account

Escalation dei privilegi: ruolo sensibile concesso al gruppo ibrido

 Nessuno
Log delle attività di amministrazione di MySQL Esfiltrazione: ripristino del backup di Cloud SQL in un'organizzazione esterna Nessuno
Log delle attività di amministrazione di PostgreSQL Esfiltrazione: ripristino del backup di Cloud SQL in un'organizzazione esterna Nessuno
Log delle attività di amministrazione di SQL Server Esfiltrazione: ripristino del backup di Cloud SQL in un'organizzazione esterna Nessuno
Audit log delle attività di amministrazione generiche

Defense Evasion: GCS Bucket IP Filtering Modified (anteprima)

Elusione della difesa: blocco di policy HTTP del progetto disabilitato (anteprima)

Accesso iniziale: azione service account inattivo

Accesso iniziale: attività del service account inattivo nel servizio AI

Accesso iniziale: chiave del service account inattivo creata

Accesso iniziale: azioni negate per autorizzazioni eccessive

Accesso iniziale: chiave service account divulgata utilizzata

Movimento laterale: disco di avvio modificato collegato all'istanza (anteprima)

Persistenza: amministratore GCE ha aggiunto la chiave SSH

Persistenza: script di avvio aggiunto dall'amministratore GCE

Persistenza: nuovo metodo API AI

Persistenza: nuovo metodo API

Persistenza: nuova regione

Persistenza: nuova area geografica per il servizio AI

Persistenza: nuovo user agent

Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity

Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity

Privilegio Escalation: Delega anomala del service account con più passaggi per l'attività di amministrazione

Elevazione dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione AI

Privilegio Escalation: Anomalous Service Account Impersonator for Admin Activity

Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity

Nessuno
Audit log dei controlli di servizio VPC Defense Evasion: Modify VPC Service Control (anteprima) Nessuno
Audit log delle attività di amministrazione di Backup e DR

Impatto: backup e RE di Google Cloud scadono tutte le immagini

Impatto: backup di Google Cloud Backup e DR eliminato

Impatto: host di backup e RE di Google Cloud eliminato

Impatto: associazione del piano di backup e RE di Google Cloud eliminata

Impatto: eliminazione del vault di backup e DR di Google Cloud

Impatto: policy di eliminazione di backup e RE di Google Cloud

Impatto: eliminazione del profilo di backup e RE di Google Cloud

Impatto: modello di eliminazione di backup e RE di Google Cloud

Impatto: Google Cloud Backup e RE - Scadenza immagine

Impatto: backup e RE di Google Cloud riducono la scadenza del backup

Impatto: Backup e RE di Google Cloud riducono la frequenza di backup

Impatto: rimozione dell'appliance di backup e RE di Google Cloud

Impatto: rimozione del piano di backup e RE di Google Cloud

Inhibit system recovery: Google Cloud Backup and RE delete storage pool

Nessuno
Audit log degli eventi di sistema IAM

Esecuzione: immagine Docker per il cryptomining

Impatto: comandi di cryptomining

 Nessuno

Passaggi successivi