Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Event Threat Detection

Che cos'è Event Threat Detection?

Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora continuamente la tua organizzazione o i tuoi progetti e identifica le minacce all'interno nei sistemi in tempo quasi reale. Event Threat Detection viene regolarmente aggiornato con le nuove per identificare le minacce emergenti su scala cloud.

Come funziona Event Threat Detection

Event Threat Detection monitora il flusso di Cloud Logging per l'organizzazione o i progetti. Se attivi Nel livello Premium di Security Command Center a livello di organizzazione, Event Threat Detection utilizza i log per i tuoi progetti man mano che vengono creati ed Event Threat Detection monitorare i log di Google Workspace. Cloud Logging contiene le voci di log delle chiamate API e altre azioni creare, leggere o modificare la configurazione o i metadati delle risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono un delle azioni eseguite nella Console di amministrazione Google Workspace.

Le voci di log contengono informazioni su stato ed eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica la logica di rilevamento e informazioni proprietarie sulle minacce, tra cui la corrispondenza degli indicatori tripwire, profilazione avanzata, machine learning e rilevamento di anomalie, per identificare le minacce quasi in tempo reale.

Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Security Command Center può scrivere risultati in un progetto Cloud Logging. Da Cloud Logging e dal logging di Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub e li elaborerai con Cloud Functions.

Se attivi il livello Premium di Security Command Center a livello di organizzazione, può utilizzare anche Google Security Operations per esaminare alcuni risultati. Google SecOps è una piattaforma Google Cloud che consente di indagare sulle minacce e di spostarsi tra le entità correlate una sequenza temporale unificata. Per istruzioni sull'invio dei risultati a Google SecOps, consulta Esaminare i risultati in Google SecOps.

La possibilità di visualizzare e modificare risultati e log è determinata dal I ruoli IAM (Identity and Access Management) che ti vengono concessi. Per ulteriori informazioni Per i ruoli IAM di Security Command Center, consulta Controllo dell'accesso.

Regole di Event Threat Detection

Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere abilitati affinché i rilevatori funzionino. Controllo Attività di amministrazione i log vengono sempre scritti; non puoi configurarle o disabilitarle.

Event Threat Detection include le seguenti regole predefinite:

Nome visualizzato	Nome API	Tipi di sorgente log	Descrizione
Scansione attiva: Log4j vulnerabile a RCE	Non disponibile	Log di Cloud DNS	Rileva le vulnerabilità di Log4j attive identificando le query DNS per Domini non offuscati avviati dalla vulnerabilità Log4j supportata scanner.
Blocco ripristino sistema: host Google Cloud Backup & RE eliminato	`BACKUP_HOSTS_DELETE_HOST`	Audit log di Cloud: Log di accesso ai dati dei servizi Backup & DR	Un host è stato eliminato da Backup & RE. Le applicazioni associate all'host eliminato potrebbero non essere protette.
Distruzione dei dati: immagine della scadenza di Backup & RE di Google Cloud	`BACKUP_EXPIRE_IMAGE`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	Un utente ha richiesto l'eliminazione di un'immagine di backup da Backup & RE. L'eliminazione di un'immagine di backup non impedisce i backup futuri.
Inibizione ripristino sistema: piano di rimozione Backup & RE di Google Cloud	`BACKUP_REMOVE_PLAN`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	Un piano di backup con più criteri per un'applicazione è stato eliminato da Backup & RE. L'eliminazione di un piano di backup può impedire backup futuri.
Distruzione dei dati: il servizio Backup & RE di Google Cloud scadrà per tutte le immagini	`BACKUP_EXPIRE_IMAGES_ALL`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	Un utente ha richiesto l'eliminazione di tutte le immagini di backup di un'applicazione protetta da Backup & RE. L'eliminazione delle immagini di backup non impedisce i backup futuri.
Inhibit System Recovery: modello di eliminazione di Backup & RE di Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	È stato eliminato un modello di backup predefinito, utilizzato per configurare i backup per più applicazioni. La possibilità di configurare backup in futuro potrebbe essere compromessa.
Inibire il ripristino del sistema: criterio di eliminazione di Backup & RE di Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	Un criterio di Backup & RE, che definisce la modalità di acquisizione di un backup e la sua posizione di archiviazione, è stato eliminato. I backup futuri che utilizzano il criterio potrebbero non riuscire.
Inibizione ripristino sistema: eliminazione profilo Google Cloud Backup & RE	`BACKUP_PROFILES_DELETE_PROFILE`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	È stato eliminato un profilo di Backup & RE, che definisce i pool di archiviazione da utilizzare per archiviare i backup. I backup futuri che utilizzano il profilo potrebbero non riuscire.
Distruzione dei dati: rimozione dell'appliance di Backup & RE di Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	Un'appliance di backup è stata eliminata da Backup & RE. Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette.
Inibizione ripristino sistema: eliminazione pool di archiviazione per Backup & RE di Google Cloud	`BACKUP_STORAGE_POOLS_DELETE`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	Un pool di archiviazione, che associa un bucket Cloud Storage a Backup & RE, è stato rimosso da Backup & RE. I backup futuri in questa destinazione di archiviazione non riusciranno.
Impatto: la scadenza del backup ridotta da Backup & RE di Google Cloud	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	La data di scadenza di un backup protetto da Backup & RE è stata ridotta.
Impatto: frequenza di backup ridotta per Backup & RE di Google Cloud	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Audit log di Cloud: Log di accesso ai dati per Backup & DR	La pianificazione del backup di Backup & RE è stata modificata per ridurre la frequenza del backup.
Forza bruta SSH	`BRUTE_FORCE_SSH`	log di autenticazione	Rilevamento della forza bruta di SSH su un host.
Cloud IDS: `THREAT_IDENTIFIER` ^Anteprima	`CLOUD_IDS_THREAT_ACTIVITY`	Log di Cloud IDS	Eventi rilevati Cloud IDS. Cloud IDS rileva attacchi di livello 7 analizzando i pacchetti con mirroring e, quando viene rilevato un evento, invia un risultato a Security Command Center. Risultato i nomi delle categorie iniziano con "Cloud IDS" seguito da Cloud IDS l'identificatore della minaccia. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni su Logging di Cloud IDS.
Accesso alle credenziali: membro esterno aggiunto al gruppo con privilegi	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	Rileva gli eventi in cui un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati assegnati ruoli o autorizzazioni sensibili). Un risultato è vengono generati solo se il gruppo non contiene già altri membri esterni da la stessa organizzazione del membro appena aggiunto. Per saperne di più, vedi Modifiche non sicure ai gruppi Google. I risultati sono classificati come Alti Gravità Media, a seconda della sensibilità del ruoli associati alla modifica del gruppo. Per ulteriori informazioni, vedi IAM sensibili ruoli e autorizzazioni. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso con credenziali: gruppo con privilegi aperto al pubblico	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Controllo amministratore Autorizzazioni: `DATA_READ`	Rileva gli eventi in cui un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni) vengono modificati per renderli accessibili al pubblico. A per saperne di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come Alti Gravità Media, a seconda della sensibilità del ruoli associati alla modifica del gruppo. Per ulteriori informazioni, vedi IAM sensibili ruoli e autorizzazioni. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Audit log di Cloud: Audit log delle attività di amministrazione IAM	Rileva gli eventi in cui vengono concessi ruoli sensibili a un gruppo Google con membri della community. Per saperne di più, vedi Modifiche non sicure ai gruppi Google. I risultati sono classificati come Alti Gravità Media, a seconda della sensibilità del ruoli associati alla modifica del gruppo. Per ulteriori informazioni, vedi IAM sensibili ruoli e autorizzazioni. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Evasione della difesa: deployment di emergenza del carico di lavoro creato^Anteprima	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Audit log di Cloud: Log delle attività di amministrazione	Rileva il deployment di carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override. Autorizzazione binaria i controlli di sicurezza.
Evasione della difesa: deployment di emergenza del carico di lavoro aggiornata^Anteprima	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Audit log di Cloud: Log delle attività di amministrazione	Rileva l'aggiornamento dei carichi di lavoro usando il flag di deployment di emergenza per eseguire l'override Autorizzazione binaria i controlli di sicurezza.
Evasione della difesa: modifica dei controlli di servizio VPC	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Audit log di Cloud Controlli di servizio VPC log di controllo	Rileva la modifica di un perimetro dei Controlli di servizio VPC esistente che comporterebbe una riduzione della protezione offerta da tale perimetrale. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Audit log di Cloud: GKE Log di accesso ai dati	Un utente potenzialmente malintenzionato ha tentato di determinare quali oggetti sensibili GKE su cui possono eseguire query utilizzando il comando `kubectl auth can-i get`. In particolare, la regola rileva se l'attore ha cercato Accesso API per i seguenti oggetti: `*` (tutti) `cluster-admin` `ClusterRole` `Secret`
Scoperta: auto-indagine sull'account di servizio	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Audit log di Cloud: Audit log degli accessi ai dati IAM Autorizzazioni: `DATA_READ`	il rilevamento della credenziale di un account di servizio IAM utilizzati per esaminare i ruoli e le autorizzazioni associati l'account di servizio. Ruoli sensibili I risultati sono classificati come Alti Gravità Media, a seconda della sensibilità del ruoli concessi. Per ulteriori informazioni, vedi IAM sensibili ruoli e autorizzazioni.
Elusione: accesso da proxy con anonimizzazione	`ANOMALOUS_ACCESS`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento di modifiche al servizio Google Cloud che hanno avuto origine indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Esfiltrazione: esfiltrazione di dati BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Audit log di Cloud: Log di accesso ai dati di BigQueryAuditMetadata Autorizzazioni: `DATA_READ`	Rileva i seguenti scenari: Risorse di proprietà dell'organizzazione protetta salvate all'esterno dell'organizzazione, incluse la copia o il trasferimento operations. Questo scenario è indicato da una regola secondaria di `exfil_to_external_table` e con gravità `HIGH`. Tentativi di accedere alle risorse BigQuery protette dai Controlli di servizio VPC. Questo scenario è indicato da una regola secondaria di `vpc_perimeter_violation` con gravità `LOW`.
Esfiltrazione: estrazione dei dati di BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Audit log di Cloud: Log di accesso ai dati di BigQueryAuditMetadata Autorizzazioni: `DATA_READ`	Rileva i seguenti scenari: Una risorsa BigQuery di proprietà dell'organizzazione organizzazione viene salvata, attraverso operazioni di estrazione, in nel bucket Cloud Storage esterno all'organizzazione. Una risorsa BigQuery di proprietà dell'organizzazione l'organizzazione è salvata, attraverso operazioni di estrazione, in un a un bucket Cloud Storage accessibile di proprietà di quell'organizzazione. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.
Esfiltrazione: dati BigQuery su Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Audit log di Cloud: Log di accesso ai dati di BigQueryAuditMetadata Autorizzazioni: `DATA_READ`	Rileva quanto segue: Una risorsa BigQuery di proprietà dell'organizzazione dell'organizzazione viene salvata su un Google Drive mediante operazioni di estrazione .
Esfiltrazione: esfiltrazione dei dati di Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Audit log di Cloud: . Log di accesso ai dati MySQL Log di accesso ai dati PostgreSQL Log di accesso ai dati di SQL Server	Rileva i seguenti scenari: Dati dell'istanza live esportati in un bucket Cloud Storage all'esterno dell'organizzazione. I dati dell'istanza in tempo reale esportati in un bucket Cloud Storage di proprietà dell'organizzazione ed è accessibile pubblicamente. Per le attivazioni a livello di progetto del livello Premium di Security Command Center: questo risultato è disponibile solo se il livello Standard è abilitato nella dell'organizzazione principale.
Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Audit log di Cloud: . Log delle attività di amministrazione MySQL Log delle attività di amministrazione PostgreSQL Log delle attività di amministrazione di SQL Server	Rileva gli eventi in cui il backup di un'istanza Cloud SQL viene ripristinato all'esterno dell'organizzazione.
Esfiltrazione: concessione di privilegi in eccesso per Cloud SQL	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Audit log di Cloud: . Log di accesso ai dati PostgreSQL Nota: per usare questa regola devi attivare l'estensione pgAudit.	Rileva gli eventi in cui a un utente o a un ruolo di Cloud SQL per PostgreSQL sono stati concessi tutti i privilegi relativi a un database oppure a tutte le tabelle, le procedure o le funzioni in uno schema.
Accesso iniziale: il super user del database scrive nelle tabelle utente	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Audit log di Cloud: . Log di accesso ai dati di Cloud SQL per PostgreSQL Log di accesso ai dati di Cloud SQL per MySQL Nota: devi abilitare l'estensione pgAudit per PostgreSQL o controllo del database per consentire a MySQL di utilizzare questa regola.	Rileva gli eventi in cui un super user Cloud SQL (`postgres` per server PostgreSQL o `root` per gli utenti MySQL) scrive su tabelle non di sistema.
Escalation dei privilegi: concessione di privilegi in eccesso per AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Audit log di Cloud: . Log di accesso ai dati di AlloyDB per PostgreSQL Nota: per usare questa regola devi attivare l'estensione pgAudit.	Rileva gli eventi in cui a un utente o a un ruolo AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database oppure a tutte le tabelle, le procedure o le funzioni in uno schema.
Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle utente	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Audit log di Cloud: . Log di accesso ai dati di AlloyDB per PostgreSQL Nota: per usare questa regola devi attivare l'estensione pgAudit.	Rileva gli eventi in cui un super user AlloyDB per PostgreSQL (`postgres`) in tabelle non di sistema.
Accesso iniziale: azione sull'account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Audit log di Cloud: Log delle attività di amministrazione	Rileva gli eventi in cui un servizio gestito dall'utente inattivo account ha attivato un'azione. In questo contesto, un account di servizio viene considerata inattiva se è rimasta inattiva per più di 180 giorni.
Escalation dei privilegi: all'account di servizio inattivo è stato concesso un ruolo sensibile	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Audit log di Cloud: Audit log delle attività di amministrazione IAM	Rileva gli eventi in cui un servizio gestito dall'utente inattivo all'account di servizio sono stati concessi uno o più ruoli IAM sensibili. In questo contesto, un account di servizio viene considerata inattiva se è rimasta inattiva per più di 180 giorni. Ruoli sensibili I risultati sono classificati come Alti Gravità Media, a seconda della sensibilità del ruoli concessi. Per ulteriori informazioni, vedi IAM sensibili ruoli e autorizzazioni.
Persistenza: ruolo per furto d'identità concesso per account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Audit log di Cloud: Audit log delle attività di amministrazione IAM	Rileva gli eventi in cui viene concessa un'entità autorizzazioni per impersonare un account di servizio inattivo gestito dall'utente. In questo contesto, un account di servizio viene considerata inattiva se è rimasta inattiva per più di 180 giorni.
Accesso iniziale: è stata creata una chiave dell'account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Audit log di Cloud: Log delle attività di amministrazione	Rileva gli eventi in cui viene creata una chiave per una fase di inattività servizio gestito dall'utente Google Cloud. In questo contesto, un account di servizio viene considerata inattiva se è rimasta inattiva per più di 180 giorni.
Accesso iniziale: chiave dell'account di servizio divulgata utilizzata	`LEAKED_SA_KEY_USED`	Audit log di Cloud: Log delle attività di amministrazione Log degli accessi ai dati	Rileva gli eventi in cui una chiave dell'account di servizio divulgata viene usata per l'autenticazione l'azione. In questo contesto, una chiave dell'account di servizio divulgata è quella che è stata pubblicata sulla rete internet pubblica.
Accesso iniziale: azioni negate in caso di autorizzazione eccessiva	`EXCESSIVE_FAILED_ATTEMPT`	Audit log di Cloud: Log delle attività di amministrazione	Rileva gli eventi in cui un'entità attiva ripetutamente l'autorizzazione Autorizzazione negata provando a modificare più metodi e servizi.
Indebolimento difese: autenticazione forte disattivata	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Controllo amministratore	La verifica in due passaggi è stata disattivata per l'organizzazione. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Indebolimento difese: verifica in due passaggi disabilitata	`2SV_DISABLE`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	Un utente ha disattivato la verifica in due passaggi. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: account disattivato compromesso	`ACCOUNT_DISABLED_HIJACKED`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	L'account di un utente è stato sospeso a causa di attività sospetta. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: divulgazione di password disabilitata	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	L'account di un utente è stato disattivato perché è stata rilevata una fuga di password. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: attacco da parte di governi	`GOV_ATTACK_WARNING`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	Gli aggressori sostenuti da un governo potrebbero aver tentato di compromettere un account utente o un computer. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: tentativo di compromissione di Log4j	Non disponibile	Log di Cloud Load Balancing: Bilanciatore del carico HTTP di Cloud Nota: devi abilitare il logging del bilanciatore del carico delle applicazioni esterno per utilizzare questa personalizzata.	Rileva Java Naming and Directory Interface (JNDI) ricerche all'interno delle intestazioni o parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una gravità bassa, perché indicano solo un rilevamento o un tentativo di exploit, non una vulnerabilità o una compromissione. Questa regola è sempre attiva.
Accesso iniziale: accesso sospetto bloccato	`SUSPICIOUS_LOGIN`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	È stato rilevato e bloccato un accesso sospetto all'account di un utente. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Malware Log4j: dominio non valido	`LOG4J_BAD_DOMAIN`	Log di Cloud DNS	Rilevamento del traffico di exploit Log4j basato su una connessione a o un dominio noto usato negli attacchi Log4j.
Malware Log4j: IP non valido	`LOG4J_BAD_IP`	Log di flusso VPC Log delle regole firewall Log Cloud NAT	Rilevamento del traffico di exploit Log4j basato su una connessione a un Indirizzo IP utilizzato negli attacchi Log4j.
Malware: dominio non valido	`MALWARE_BAD_DOMAIN`	Log di Cloud DNS	Rilevamento del malware basato su una connessione o una ricerca di un dominio non valido.
Malware: indirizzo IP non valido	`MALWARE_BAD_IP`	Log di flusso VPC Log delle regole firewall Log Cloud NAT	Rilevamento di malware basato su una connessione a un IP non valido noto .
Malware: dominio non valido per il cryptomining	`CRYPTOMINING_POOL_DOMAIN`	Log di Cloud DNS	Rilevamento del cryptomining basato su una connessione a, o una ricerca di, di data mining noto.
Malware: IP non valido per il cryptomining	`CRYPTOMINING_POOL_IP`	Log di flusso VPC Log delle regole firewall Log Cloud NAT	Rilevamento del cryptomining basato su una connessione a un IP di mining noto .
DoS in uscita	`OUTGOING_DOS`	Log di flusso VPC	Rilevamento del traffico denial of service in uscita.
Persistenza: chiave SSH aggiunta dall'amministratore GCE	`GCE_ADMIN_ADD_SSH_KEY`	Audit log di Cloud: Audit log di Compute Engine	Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine il un'istanza stabilita (che risale a più di 1 settimana fa).
Persistenza: script di avvio aggiunto da un amministratore GCE	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Audit log di Cloud: Audit log di Compute Engine	Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (che risale a più di 1 settimana fa).
Persistenza: concessione IAM anomala	`IAM_ANOMALOUS_GRANT`	Audit log di Cloud: Audit log delle attività di amministrazione IAM	Questo risultato include regole secondarie che forniscono informazioni specifiche su ciascuna istanza di questo risultato. L'elenco seguente mostra tutte le possibili sottoregole: `external_service_account_added_to_policy`, `external_member_added_to_policy`: Rilevamento dei privilegi concessi a IAM gli utenti e gli account di servizio che non sono membri dell'organizzazione; se Security Command Center è attivato solo a livello di progetto, progetto. Nota:se Security Command Center è attivato nel a livello di organizzazione a qualsiasi livello, questo rilevatore utilizza i criteri IAM esistenti dell'organizzazione come contesto. Se L'attivazione di Security Command Center avviene solo a livello di progetto, quindi usa solo i criteri IAM del progetto come contesto. Se si verifica una concessione IAM sensibile a un membro esterno, ed esistono meno di tre criteri IAM che sono simili, questo rilevatore genera un risultato. Ruoli sensibili I risultati sono classificati come Alti Gravità Media, a seconda della sensibilità del ruoli concessi. Per ulteriori informazioni, vedi IAM sensibili ruoli e autorizzazioni. `external_member_invited_to_policy`: rileva l'invito di un membro esterno come proprietario del progetto tramite l'API `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: rileva quando A un ruolo personalizzato è stata aggiunta l'autorizzazione `setIAMPolicy`. `service_account_granted_sensitive_role_to_member`: rileva quando i ruoli con privilegi vengono concessi ai membri tramite un account di servizio. Questa regola secondaria viene attivata da un sottoinsieme di ruoli sensibili che includono solo i ruoli IAM di base e alcuni ruoli di archiviazione dati. Per saperne di più, consulta IAM sensibili ruoli e autorizzazioni `policy_modified_by_default_compute_service_account`: rileva quando un account di servizio Compute Engine predefinito viene utilizzato per modificare Impostazioni IAM
^AnteprimaPersistenza: all'account non gestito è stato concesso un ruolo sensibile	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Audit log di Cloud: Audit log delle attività di amministrazione IAM	il rilevamento di un ruolo sensibile concesso a un account non gestito.
Persistenza: nuovo metodo API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM.
Persistenza: nuova area geografica	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento di account utente e di servizio IAM accede a Google Cloud da posizioni anomale, in base alla geolocalizzazione degli indirizzi IP che effettuano la richiesta. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: nuovo user agent	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento dell'accesso degli account di servizio IAM Google Cloud da user agent anomali o sospetti. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: pulsante di attivazione/disattivazione dell'abilitazione SSO	`TOGGLE_SSO_ENABLED`	Google Workspace: Controllo amministratore	L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: impostazioni SSO modificate	`CHANGE_SSO_SETTINGS`	Google Workspace: Controllo amministratore	Le impostazioni SSO dell'account amministratore sono state modificate. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: impersonificazione anomala dell'account di servizio per l'attività di amministrazione	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Audit log di Cloud: Log delle attività di amministrazione	Rileva l'utilizzo di un account di servizio con furto d'identità potenzialmente anomalo per un'attività amministrativa.
Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'attività di amministrazione	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Audit log di Cloud: Log delle attività di amministrazione	Rileva il rilevamento di una richiesta delegata anomala in più passaggi per un'attività amministrativa.
Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'accesso ai dati	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Audit log di Cloud: Log degli accessi ai dati	Rileva il rilevamento di una richiesta delegata in più passaggi anomala per un'attività di accesso ai dati.
Escalation dei privilegi: furto d'identità anomalo dell'account di servizio per l'attività di amministrazione	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Audit log di Cloud: Log delle attività di amministrazione	Rileva l'utilizzo di un chiamante/furto d'identità potenzialmente anomalo in una catena di delega per un'attività amministrativa.
Escalation dei privilegi: furto d'identità anomalo dell'account di servizio per l'accesso ai dati	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Audit log di Cloud: Log degli accessi ai dati	Rileva l'utilizzo di un chiamante/furto d'identità potenzialmente anomalo in una catena di delega per un'attività di accesso ai dati.
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Audit log di Cloud: GKE Log delle attività di amministrazione	Per eseguire l’escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un Accesso basato sui ruoli `ClusterRole`, `RoleBinding` o `ClusterRoleBinding` di controllo (RBAC) dell'oggetto `cluster-admin` sensibile utilizzando una richiesta `PUT` o `PATCH`.
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Audit log di Cloud: GKE Log delle attività di amministrazione	Un utente potenzialmente malintenzionato ha creato un certificato master Kubernetes richiesta di firma (CSR), che fornisce all'utente `cluster-admin` .
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Audit log di Cloud: Audit log delle attività di amministrazione IAM	Per eseguire l’escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto `RoleBinding` o `ClusterRoleBinding` per `cluster-admin` ruolo.
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Audit log di Cloud: Log di accesso ai dati di GKE	Un utente potenzialmente malintenzionato ha eseguito una query per ottenere un certificato di firma del cliente (CSR), con il comando `kubectl`, utilizzando le credenziali di bootstrap compromesse.
Escalation dei privilegi: avvia un container Kubernetes con privilegi	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Audit log di Cloud: GKE Log delle attività di amministrazione	Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi. e i container con funzionalità di escalation dei privilegi. Il campo `privileged` di un container con privilegi è impostato su `true`. Un container con funzionalità di escalation dei privilegi ha il campo `allowPrivilegeEscalation` impostato su `true`. Per ulteriori informazioni, consulta SecurityContext v1 core nella documentazione di Kubernetes.
Persistenza: chiave dell'account di servizio creata	`SERVICE_ACCOUNT_KEY_CREATION`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva la creazione di una chiave dell'account di servizio. Le chiavi degli account di servizio sono credenziali di lunga durata che aumentano il rischio di accessi non autorizzati alle risorse Google Cloud.
Escalation dei privilegi: script di chiusura globale aggiunto	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'aggiunta di uno script di chiusura globale a un progetto.
Persistenza: aggiunto script di avvio globale	`GLOBAL_STARTUP_SCRIPT_ADDED`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'aggiunta di uno script di avvio globale a un progetto.
Evasione della difesa: ruolo Creatore token account di servizio a livello di organizzazione aggiunto	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva la concessione del ruolo IAM Creatore token account di servizio a livello di organizzazione.
Evasione della difesa: ruolo Creatore token account di servizio a livello di progetto aggiunto	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva la concessione del ruolo IAM Creatore token account di servizio a livello di progetto.
Movimento laterale: esecuzione patch del sistema operativo dall'account di servizio	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando un account di servizio utilizza la funzionalità Patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza di Compute Engine attualmente in esecuzione.
Spostamento laterale: disco di avvio modificato collegato all'istanza ^Anteprima	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Audit log di Cloud: Audit log di Compute Engine	Rileva quando un disco di avvio viene scollegato da un'istanza Compute Engine e collegato a un'altra, il che potrebbe indicare un tentativo dannoso di compromettere il sistema utilizzando un disco di avvio modificato.
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Audit log di Cloud: GKE Log di accesso ai dati	Rileva quando un account di servizio accede a secret o token di account di servizio nell'attuale spazio dei nomi Kubernetes.
Sviluppo risorse: attività distro di sicurezza offensiva	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva le manipolazioni riuscite delle risorse Google Cloud da test di penetrazione noti o distribuzioni di sicurezza offensive.
Escalation dei privilegi: il nuovo account di servizio è il proprietario o l'editor	`SERVICE_ACCOUNT_EDITOR_OWNER`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva la creazione di un nuovo account di servizio con i ruoli Editor o Proprietario per un progetto.
Scoperta: strumento di raccolta delle informazioni utilizzato	`INFORMATION_GATHERING_TOOL_USED`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'utilizzo di ScoutSuite, uno strumento di controllo della sicurezza cloud noto per essere utilizzato dagli attori delle minacce.
Escalation dei privilegi: generazione di token sospetta	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva un abuso dell'autorizzazione `iam.serviceAccounts.implicitDelegation` per generare token di accesso da un account di servizio con maggiori privilegi.
Escalation dei privilegi: generazione di token sospetta	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando un account di servizio utilizza il metodo `serviceAccounts.signJwt` per generare un token di accesso per un altro account di servizio.
Escalation dei privilegi: generazione di token sospetta	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'utilizzo tra progetti dell'autorizzazione IAM `iam.serviceAccounts.getOpenIdToken`. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: generazione di token sospetta	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'utilizzo tra progetti dell'autorizzazione IAM `iam.serviceAccounts.getAccessToken`. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: utilizzo sospetto delle autorizzazioni tra progetti	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'utilizzo tra progetti dell'autorizzazione IAM `datafusion.instances.create`. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Comando e controllo: tunneling DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Log di Cloud DNS	Rileva l'handshake dello strumento di tunneling DNS Iodine.
Evasione della difesa: tentativo di mascheramento della route VPC	`VPC_ROUTE_MASQUERADE`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva la creazione manuale di route VPC mascherate da route predefinite di Google Cloud, consentendo il traffico in uscita verso indirizzi IP esterni.
Impatto: fatturazione disattivata	`BILLING_DISABLED_SINGLE_PROJECT`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando la fatturazione è stata disabilitata per un progetto.
Impatto: fatturazione disattivata	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando la fatturazione è stata disabilitata per più progetti in un'organizzazione in un breve periodo di tempo.
Impatto: blocco ad alta priorità per firewall VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'aggiunta di una regola firewall VPC che blocca tutto il traffico con priorità 0.
Impatto: eliminazione della regola di massa per firewall VPC	`VPC_FIREWALL_MASS_RULE_DELETION`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva l'eliminazione di massa delle regole firewall VPC da parte di account non di servizio.
Impatto: API di servizio disabilitata	`SERVICE_API_DISABLED`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando un'API del servizio Google Cloud viene disabilitata in un ambiente di produzione.
Impatto: scalabilità automatica del gruppo di istanze gestite impostata al massimo	`MIG_AUTOSCALING_SET_TO_MAX`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando un gruppo di istanze gestite è configurato per la scalabilità automatica massima.
Scoperta: chiamata all'API dell'account di servizio non autorizzata	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Audit log di Cloud: audit log delle attività di amministrazione IAM	Rileva quando un account di servizio effettua una chiamata API tra progetti non autorizzata.
Evasione della difesa: accesso amministrativo al cluster concesso da sessioni anonime	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Audit log di Cloud: GKE Log delle attività di amministrazione	Rileva la creazione di un oggetto `ClusterRoleBinding` di controllo dell'accesso basato su ruoli (RBAC) che aggiunge il comportamento `root-cluster-admin-binding` agli utenti anonimi.
Accesso iniziale: risorsa GKE anonima creata da internet ^anteprima	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Audit log di Cloud: GKE Log delle attività di amministrazione	Rileva gli eventi di creazione di risorse da utenti internet effettivamente anonimi.
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet ^Anteprima	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Audit log di Cloud: GKE Log delle attività di amministrazione	Rileva gli eventi di manipolazione delle risorse da parte di utenti internet realmente anonimi.

Moduli personalizzati per Event Threat Detection

Oltre alle regole di rilevamento integrate, Event Threat Detection offre moduli utilizzabili per creare regole di rilevamento personalizzate. Per ulteriori informazioni per ulteriori informazioni, consulta la Panoramica moduli personalizzati per Event Threat Detection.

Per creare regole di rilevamento per cui non sono disponibili modelli di moduli personalizzati, puoi esportare i dati di log BigQuery ed eseguirai query query SQL ricorrenti che acquisiscono i tuoi modelli di minaccia.

Modifiche non sicure ai gruppi Google

Questa sezione spiega in che modo Event Threat Detection utilizza i log di Google Workspace, Cloud Audit Logs e criteri IAM per rilevare i gruppi Google non sicuri modifiche. Il rilevamento delle modifiche a Google Gruppi è supportato solo se attivi Security Command Center a livello di organizzazione.

I clienti Google Cloud possono utilizzare Gruppi per gestire i ruoli e le autorizzazioni per i membri delle rispettive organizzazioni o per applicare criteri di accesso raccolte di utenti. Invece di concedere i ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni a Google Gruppi e quindi aggiungere a gruppi specifici. I membri di un gruppo ereditano tutti i ruoli del gruppo autorizzazioni, che consentono ai membri di accedere a risorse e servizi specifici.

Sebbene i gruppi Google rappresentino un modo conveniente per gestire il controllo dell'accesso su larga scala, può rappresentare un rischio se gli utenti esterni all'organizzazione o al dominio vengono aggiunti ai gruppi con privilegio, ovvero i gruppi a cui vengono concessi ruoli sensibili o autorizzazioni. I ruoli sensibili controllano l'accesso alle impostazioni di rete e di sicurezza, ai log e alle informazioni che consentono l'identificazione personale (PII) e non sono consigliate per i membri esterni del gruppo.

Nelle grandi organizzazioni, gli amministratori potrebbero non sapere quando i membri esterni vengono aggiunti ai gruppi con privilegi. Gli audit log di Cloud registrano le concessioni dei ruoli ai gruppi, ma questi eventi dei log non contengono informazioni sui membri del gruppo, oscurare il potenziale impatto di alcuni cambiamenti del gruppo.

Se condividi i tuoi log di Google Workspace con Google Cloud, Event Threat Detection monitora i flussi di log per i nuovi membri aggiunto ai gruppi Google della tua organizzazione. Poiché i log sono a livello di organizzazione, Event Threat Detection può eseguire la scansione dei log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può analizzare questi all'attivazione di Security Command Center a livello di progetto.

Event Threat Detection identifica i membri esterni del gruppo e, mediante Cloud Audit i ruoli IAM di ciascun gruppo interessato ai gruppi vengono assegnati ruoli sensibili. Queste informazioni vengono utilizzate per rilevare seguenti modifiche non sicure per i gruppi Google con privilegi:

Membri esterni del gruppo aggiunti ai gruppi con privilegi
Autorizzazioni o ruoli sensibili concessi ai gruppi con membri esterni
Gruppi con privilegi modificati per consentire a chiunque nel pubblico di partecipa

Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri dei gruppi interni che avviare eventi, nomi di gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere i membri esterni dai gruppi o revocare con ruoli sensibili concessi ai gruppi.

Per ulteriori informazioni sui risultati di Event Threat Detection, consulta Event Threat Detection .

Ruoli e autorizzazioni IAM sensibili

Questa sezione spiega in che modo Event Threat Detection definisce i ruoli IAM sensibili. Vengono generati rilevamenti come la concessione anomala IAM e le modifiche ai gruppi Google non sicuri risultati solo se i cambiamenti coinvolgono ruoli a sensibilità alta o media. La la sensibilità dei ruoli influisce sulla valutazione di gravità assegnata ai risultati.

I ruoli ad alta sensibilità controllano i servizi critici in per le organizzazioni, tra cui fatturazione, impostazioni del firewall e logging. Risultati che corrispondenti a questi ruoli sono classificati con gravità Alta.
I ruoli a sensibilità media dispongono delle autorizzazioni di modifica che consentono alle entità di apportare modifiche alle risorse Google Cloud; e la visualizzazione ed esecuzione di autorizzazioni su servizi di archiviazione dati che spesso contengono dati sensibili e i dati di Google Cloud. La gravità assegnata ai risultati dipende dalla risorsa:
- Se a livello di organizzazione vengono concessi ruoli a sensibilità media, i risultati sono classificati con gravità Alta.
- Se vengono concessi ruoli a sensibilità media a livelli più bassi nella tua risorsa nella gerarchia (cartelle, progetti e bucket), i risultati sono con gravità Media.

La concessione di questi ruoli sensibili è considerata pericolosa se il beneficiario: un Membro esterno o un'identità anomala, come un'entità che è stata inattivo per molto tempo. L'assegnazione di ruoli sensibili a membri esterni crea una potenziale minaccia, possono essere utilizzati in modo illecito per compromettere account ed esfiltrazione di dati.

Le categorie di risultati che utilizzano questi ruoli sensibili includono:

Persistenza: concessione IAM anomala
- Regola secondaria: external_service_account_added_to_policy
- Regola secondaria: external_member_added_to_policy
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido
Escalation dei privilegi: all'account di servizio inattivo è stato concesso un ruolo sensibile

Le categorie di risultati che utilizzano un sottoinsieme di ruoli sensibili includono:

Persistenza: concessione IAM anomala
- Regola secondaria: service_account_granted_sensitive_role_to_member

La regola secondaria service_account_granted_sensitive_role_to_member ha come target entrambi membri interni ed esterni in genere, quindi utilizza solo un sottoinsieme ai ruoli sensibili, come spiegato nelle regole di Event Threat Detection.

Tabella 1. Ruoli ad alta sensibilità
Categoria	Ruolo	Descrizione
Ruoli di base:contengono migliaia di autorizzazioni su per tutti i servizi Google Cloud.	`roles/owner`	Ruoli di base
	`roles/editor`	Ruoli di base
Ruoli di sicurezza:controllano l'accesso alle impostazioni di sicurezza	`roles/cloudkms.*`	Tutto Cloud Key Management Service ruoli
	`roles/cloudsecurityscanner.*`	Tutti e Ruoli di Web Security Scanner
	`roles/dlp.*`	Tutti i ruoli di Sensitive Data Protection
	`roles/iam.*`	Tutti i ruoli IAM
	`roles/secretmanager.*`	Tutti e Ruoli di Secret Manager
	`roles/securitycenter.*`	Tutti i ruoli di Security Command Center
Ruoli di logging: controllano l'accesso ai log di un'organizzazione	`roles/errorreporting.*`	Tutti i ruoli di Error Reporting
	`roles/logging.*`	Tutti i ruoli di Cloud Logging
	`roles/stackdriver.*`	Tutti i ruoli di Cloud Monitoring
Ruoli relativi alle informazioni personali: controllano l'accesso alle risorse contenenti informazioni che consentono l'identificazione personale, tra cui servizi bancari e dati di contatto	`roles/billing.*`	Tutti i ruoli della fatturazione Cloud
	`roles/healthcare.*`	Tutti i ruoli dell'API Cloud Healthcare
	`roles/essentialcontacts.*`	Tutti e Ruoli di base di Contatti
Ruoli di rete:controllano l'accesso ai ruoli di rete impostazioni di rete	`roles/dns.*`	Tutti i ruoli Cloud DNS
	`roles/domains.*`	Tutti i ruoli di Cloud Domains
	`roles/networkconnectivity.*`	Tutti e Ruoli di Network Connectivity Center
	`roles/networkmanagement.*`	Tutti e Ruoli di Network Connectivity Center
	`roles/privateca.*`	Tutti e Ruoli di Certificate Authority Service
Ruoli di servizio: controllano l'accesso alle risorse di servizio in Google Cloud	`roles/cloudasset.*`	Tutti i ruoli di Cloud Asset Inventory
	`roles/servicedirectory.*`	Tutti i ruoli di Service Directory
	`roles/servicemanagement.*`	Tutti e Ruoli di Service Management
	`roles/servicenetworking.*`	Tutti e Ruoli di Service Networking
	`roles/serviceusage.*`	Tutti i ruoli di Service Usage
Ruoli di Compute Engine: controllano l'accesso a Compute Engine macchine virtuali, che trasportano job a lunga esecuzione e sono associate con regole firewall	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Tutto Compute Engine Ruoli di amministratore ed editor

Tabella 2. Ruoli a sensibilità media
Categoria	Ruolo	Descrizione
Modifica dei ruoli: i ruoli IAM che includono: autorizzazioni per apportare modifiche alle risorse Google Cloud	Esempi: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	In genere, i nomi dei ruoli terminano con titoli come Amministratore, Proprietario, Editor o Autore. Espandi il nodo nell'ultima riga della tabella per vedere Tutti i ruoli a sensibilità media
Ruoli di archiviazione dati: i ruoli IAM che includi le autorizzazioni per visualizzare ed eseguire i servizi di archiviazione dei dati	Esempi: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Espandi il nodo nell'ultima riga della tabella per vedere Tutti i ruoli a sensibilità media
Tutti i ruoli a sensibilità media Access Approval `roles/accessapproval.approver` `roles/accessapproval.configEditor` Gestore contesto accesso `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Azioni `roles/actions.Admin` Piattaforma IA `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` Gateway API `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorizzazione binaria `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^beta Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Analisi degli artefatti `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Server di gioco `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Hub Google Kubernetes Engine `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Servizio gestito per Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore per Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Monitoraggio della configurazione delle operazioni `roles/opsconfigmonitoring.resourceMetadata.writer` Servizio Criteri dell'organizzazione `roles/axt.admin` `roles/orgpolicy.policyAdmin` Altri ruoli `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Beacon di prossimità `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Consigli `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Motore per suggerimenti `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Gestione delle risorse `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Impostazioni risorsa `roles/resourcesettings.admin` Accesso VPC serverless `roles/vpcaccess.admin` Gestione dei consumatori di servizi `roles/serviceconsumermanagement.tenancyUnitsAdmin` Storage Transfer Service `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Blocchi note gestiti dall'utente di Vertex AI Workbench `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Flussi di lavoro `roles/workflows.admin` `roles/workflows.editor`

Tipi di log e requisiti di attivazione

Questa sezione elenca i log utilizzati da Event Threat Detection, insieme con le minacce che Event Threat Detection cerca in ogni log e cosa, devi eseguire l'attivazione di ciascun log.

È necessario attivare un log per Event Threat Detection solo se tutte le seguenti condizioni sono vere:

Stai utilizzando il prodotto o servizio che scrive nel log.
Occorre proteggere il prodotto o servizio dalle minacce che Event Threat Detection rileva nel log.
Si tratta di un audit log dell'accesso ai dati o di un altro log disattivato per impostazione predefinita.

Alcune minacce possono essere rilevate in più log. Se Event Threat Detection rilevare una minaccia in un log già attivato, non attivare un altro log per rilevare la stessa minaccia.

Se un log non è elencato in questa sezione, Event Threat Detection non analizzarlo, anche se è attivo. Per ulteriori informazioni, vedi Scansioni dei log potenzialmente ridondanti.

Come descritto nella tabella seguente, alcuni tipi di log vengono disponibile solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non esegue la scansione di questi log non produce alcun risultato.

Scansioni dei log potenzialmente ridondanti

Event Threat Detection consente di rilevare il malware in rete eseguendo la scansione uno dei seguenti log:

Logging di Cloud DNS
Log di Cloud NAT
Logging delle regole firewall
Log di flusso VPC

Se utilizzi già il logging di Cloud DNS, Event Threat Detection può rilevare malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log di Cloud DNS sono sufficienti per la rete il rilevamento di malware.

Se hai bisogno di un ulteriore livello di visibilità oltre alla risoluzione del dominio, puoi attivare i log di flusso VPC, ma questi ultimi possono comportare dei costi. Per gestire questi costi, ti consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e riducendo la frequenza di campionamento tra il 5% e il 10%, ma c'è un compromesso tra richiamo (campione più elevato) e gestione dei costi (frequenza di campionamento inferiore).

Se utilizzi già il logging delle regole firewall Cloud NAT, questi log sono utili al posto Log di flusso VPC.

Non devi abilitare più di un logging di Cloud NAT. Logging delle regole firewall o log di flusso VPC.

Log che devi attivare

Questa sezione elenca Cloud Logging e Google Workspace che puoi attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection può rilevare.

Determinate minacce, ad esempio le minacce rappresentate dalla impersonificazione anomala o la delega di un account di servizio, sono disponibili nella maggior parte e gli audit log. Per questi tipi di minacce, stabilisci quali log devi attivare in base ai prodotti e ai servizi che utilizzi.

La tabella seguente mostra i log specifici da attivare per le minacce che possono essere rilevate solo in alcuni tipi di log specifici.

Tipo di log	Minacce rilevate	Configurazione necessaria
Logging di Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Attiva il logging di Cloud DNS
Logging di Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Attiva Cloud NAT log
Logging delle regole firewall	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Attiva Logging delle regole firewall.
Audit log dell'accesso ai dati di Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Attiva gli audit log di accesso ai dati di Logging per GKE
Log di controllo della Console di amministrazione di Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Condividi Log di controllo della Console di amministrazione di Google Workspace con Cloud Logging Questo tipo di log non può essere analizzato nelle attivazioni a livello di progetto.
Log di controllo dell'accesso a Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Condividi Log di controllo dell'accesso a Google Workspace con Cloud Logging Questo tipo di log non può essere analizzato nelle attivazioni a livello di progetto.
Log del servizio di backend del bilanciatore del carico delle applicazioni esterno	`Initial Access: Log4j Compromise Attempt`	Attiva logging del bilanciatore del carico delle applicazioni esterno
Audit log degli accessi ai dati di Cloud SQL per MySQL	`Exfiltration: Cloud SQL Data Exfiltration`	Attiva Logging degli audit log di accesso ai dati per Cloud SQL per MySQL
Audit log degli accessi ai dati PostgreSQL di Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Attiva Logging degli audit log di accesso ai dati per Cloud SQL per PostgreSQL. Per rilevare l'errore `Exfiltration: Cloud SQL Over-Privileged Grant` devi abilitare anche pgAudit estensione
Audit log degli accessi ai dati di AlloyDB per PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant`	Attiva Logging degli audit log di accesso ai dati per AlloyDB per PostgreSQL. Per rilevare l'errore `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` e `Privilege Escalation: AlloyDB Over-Privileged Grant`, devi abilitare anche pgAudit estensione
Audit log degli accessi ai dati IAM	`Discovery: Service Account Self-Investigation`	Attiva Logging degli audit log di accesso ai dati per Resource Manager
Accesso ai dati di SQL Server log di controllo	`Exfiltration: Cloud SQL Data Exfiltration`	Attiva Logging degli audit log di accesso ai dati per Cloud SQL per SQL Server
Audit log generici per l'accesso ai dati	`Initial Access: Leaked Service Account Key Used` `Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Attiva Logging degli audit log di accesso ai dati.
authlogs/authlog sulle macchine virtuali	`Brute force SSH`	Installa il Ops Agent o legacy Agente Logging sugli host delle VM
Log di flusso VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP` `Outgoing DoS`	Attiva Log di flusso VPC.
Log di controllo per RE & DR	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	Abilita gli audit RE di Backup & DR

Log sempre attivi

La tabella seguente elenca i log di Cloud Logging che non sono necessari attivare o configurare. Questi log sono sempre attivi e le scansioni di Event Threat Detection automaticamente.

Tipo di log	Minacce rilevate	Configurazione necessaria
Log di accesso ai dati di BigQueryAuditMetadata	Esfiltrazione: esfiltrazione di dati BigQuery Esfiltrazione: estrazione dei dati di BigQuery Esfiltrazione: dati BigQuery su Google Drive	Nessuno
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE)	Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili Escalation dei privilegi: creazione di associazioni Kubernetes sensibili Escalation dei privilegi: avvia il container Kubernetes con privilegi Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale	Nessuno
Audit log delle attività di amministrazione IAM	Accesso con credenziali: ruolo sensibile concesso al gruppo ibrido Escalation dei privilegi: all'account di servizio inattivo è stato concesso un ruolo sensibile Persistenza: ruolo per furto d'identità concesso per account di servizio inattivo Persistenza: concessione IAM anomala ^AnteprimaPersistenza: all'account non gestito è stato concesso un ruolo sensibile	Nessuno
Log delle attività di amministrazione di MySQL	Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna	Nessuno
Log delle attività di amministrazione di PostgreSQL	Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna	Nessuno
Log delle attività di amministrazione di SQL Server	Esfiltrazione: backup di ripristino di Cloud SQL in un'organizzazione esterna	Nessuno
Audit log generici delle attività di amministrazione	Accesso iniziale: azione account di servizio inattivo > Accesso iniziale: creazione della chiave dell'account di servizio inattivo Accesso iniziale: azioni negate in caso di autorizzazione eccessiva Accesso iniziale: chiave dell'account di servizio divulgata utilizzata Persistenza: chiave SSH aggiunta dall'amministratore di Compute Engine Persistenza: script di avvio aggiunto dall'amministratore di Compute Engine Persistenza: nuovo metodo API Persistenza: nuova area geografica Persistenza: nuovo user agent Escalation dei privilegi: impersonificazione anomala dell'account di servizio per l'attività di amministrazione Escalation dei privilegi: delega anomala dell'account di servizio a più passaggi per l'attività di amministrazione Escalation dei privilegi: furto d'identità anomalo dell'account di servizio per l'attività di amministrazione Spostamento laterale: disco di avvio modificato collegato all'istanza ^Anteprima	Nessuno
Log di controllo dei Controlli di servizio VPC	Evasione della difesa: modifica dei Controlli di servizio VPC ^anteprima	Nessuno

Passaggi successivi

Scopri di più sull'utilizzo di Event Threat Detection.
Scopri come indagare e sviluppare piani di risposta alle minacce.