Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica di Event Threat Detection

Che cos'è Event Threat Detection?

Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora costantemente l'organizzazione o i progetti e identifica le minacce all'interno dei tuoi sistemi quasi in tempo reale. Event Threat Detection viene aggiornato regolarmente con nuovi rilevatori per identificare le minacce emergenti su scala cloud.

Come funziona Event Threat Detection

Event Threat Detection monitora il flusso di Cloud Logging per l'organizzazione o i progetti. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Event Threat Detection utilizza i log per i tuoi progetti man mano che vengono creati e Event Threat Detection può monitorare i log di Google Workspace. Cloud Logging contiene voci di log delle chiamate API e altre azioni che creano, leggono o modificano la configurazione o i metadati delle tue risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono un record delle azioni eseguite nella Console di amministrazione Google Workspace.

Le voci di log contengono informazioni su stato ed eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica una logica di rilevamento e l'intelligence sulle minacce proprietarie, tra cui la corrispondenza degli indicatori di triplo, la profilazione con finestre, la profilazione avanzata, il machine learning e il rilevamento di anomalie, per identificare le minacce quasi in tempo reale.

Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Security Command Center può scrivere i risultati in un progetto Cloud Logging. Da Cloud Logging e dal logging di Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub ed elaborarli con Cloud Functions.

Se attivi il livello Premium di Security Command Center a livello di organizzazione, puoi utilizzare anche Chronicle per analizzare alcuni risultati. Chronicle è un servizio Google Cloud che ti consente di esaminare le minacce ed esplorare le entità correlate in una sequenza temporale unificata. Per istruzioni sull'invio dei risultati a Chronicle, consulta Esaminare i risultati in Chronicle.

La tua capacità di visualizzare e modificare risultati e log è determinata dai ruoli IAM (Identity and Access Management) che ti sono stati concessi. Per maggiori informazioni sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.

Regole di Event Threat Detection

Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere abilitati affinché i rilevatori possano funzionare. Gli audit log delle attività di amministrazione vengono sempre scritti e non puoi configurarli o disabilitarli.

Event Threat Detection include le seguenti regole predefinite:

Nome visualizzato	Nome API	Tipi di origini log	Descrizione
Scansione attiva: Log4j vulnerabile a RCE	Non disponibile	Log di Cloud DNS	Rileva le vulnerabilità Log4j attive identificando le query DNS per i domini non offuscati avviati dagli scanner di vulnerabilità Log4j supportati.
Inibizione del recupero del sistema: host di backup e RE di Google Cloud eliminati	`BACKUP_HOSTS_DELETE_HOST`	Audit log di Cloud: Log degli accessi ai dati del servizio di backup e RE	Un host è stato eliminato da backup ed RE. Le applicazioni associate all'host eliminato potrebbero non essere protette.
Distruzione dei dati: immagine con scadenza per backup ed RE di Google Cloud	`BACKUP_EXPIRE_IMAGE`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	Un utente ha richiesto l'eliminazione di un'immagine di backup da backup ed RE. L'eliminazione di un'immagine di backup non impedisce i backup futuri.
Inibizione del recupero del sistema: piano di rimozione di backup ed RE di Google Cloud	`BACKUP_REMOVE_PLAN`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	Un piano di backup con più criteri per un'applicazione è stato eliminato da Backup e RE. L'eliminazione di un piano di backup può impedire backup futuri.
Distruzione dei dati: backup e RE di Google Cloud fanno scadere tutte le immagini	`BACKUP_EXPIRE_IMAGES_ALL`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	Un utente ha richiesto l'eliminazione di tutte le immagini di backup per un'applicazione protetta da backup e RE. L'eliminazione delle immagini di backup non impedisce i backup futuri.
Inibizione del recupero del sistema: modello di eliminazione di backup ed RE di Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	È stato eliminato un modello di backup predefinito, che viene utilizzato per impostare i backup per più applicazioni. La possibilità di configurare i backup in futuro potrebbe essere compromessa.
Inibizione del recupero del sistema: criterio di eliminazione di backup ed RE di Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	È stato eliminato un criterio di backup e RE, che definisce le modalità di esecuzione del backup e la posizione in cui viene archiviato. I backup futuri che utilizzano il criterio potrebbero non riuscire.
Inibizione del recupero del sistema: eliminazione del profilo di backup ed RE di Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	È stato eliminato un profilo di backup e RE, che definisce i pool di archiviazione da utilizzare per archiviare i backup. I backup futuri che utilizzano il profilo potrebbero non riuscire.
Distruzione dei dati: rimozione dell'appliance di Google Cloud Backup e RE	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	Un'appliance di backup è stata eliminata da Backup ed RE. Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette.
Inibizione del recupero del sistema: eliminazione del pool di archiviazione di backup ed RE di Google Cloud	`BACKUP_STORAGE_POOLS_DELETE`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	Un pool di archiviazione, che associa un bucket Cloud Storage a backup e RE, è stato rimosso da Backup e RE. I backup futuri in questa destinazione di archiviazione non andranno a buon fine.
Impatto: backup ed RE di Google Cloud ridotti la scadenza del backup	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	La data di scadenza di un backup protetto da backup e RE è stata ridotta.
Impatto: frequenza dei backup ridotta per backup ed RE di Google Cloud	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Audit log di Cloud: Log degli accessi ai dati di backup e RE	La pianificazione dei backup di backup e RE è stata modificata per ridurre la frequenza dei backup.
Forza bruta SSH	`BRUTE_FORCE_SSH`	authlog	Rilevamento della forza bruta di SSH su un host riuscito.
Cloud IDS: `THREAT_IDENTIFIER` ^Anteprima	`CLOUD_IDS_THREAT_ACTIVITY`	Log di Cloud IDS	Eventi rilevati da Cloud IDS. Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti con mirroring e, quando viene rilevato un evento, invia un risultato a Security Command Center. I nomi delle categorie iniziano con "Cloud IDS" seguito dall'identificatore di minaccia Cloud IDS. Per scoprire di più sui rilevamenti di Cloud IDS, consulta le informazioni sul logging di Cloud IDS.
Accesso alle credenziali: membro esterno aggiunto al gruppo con privilegi	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	Rileva gli eventi in cui un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili). Un risultato viene generato solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso alle credenziali: gruppo con privilegi aperto al pubblico	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Controllo amministratore Autorizzazioni: `DATA_READ`	Rileva gli eventi in cui un gruppo Google con privilegi (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) viene modificato per essere accessibile al pubblico. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva gli eventi in cui vengono concessi ruoli sensibili a un gruppo Google con membri esterni. Per scoprire di più, consulta Modifiche non sicure ai gruppi Google. I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Defense Evasion: deployment del carico di lavoro deployment di emergenza creato^anteprima	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Audit log di Cloud: Log delle attività di amministrazione	Rileva il deployment dei carichi di lavoro di cui è stato eseguito il deployment utilizzando il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.
Defense Evasion: deployment del carico di lavoro per deployment di emergenza aggiornato^anteprima	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Audit log di Cloud: Log delle attività di amministrazione	Rileva quando i carichi di lavoro vengono aggiornati utilizzando il flag di emergenza per eseguire l'override dei controlli di Autorizzazione binaria.
evasione di difesa: modifica dei controlli di servizio VPC	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Audit log Cloud Audit log dei Controlli di servizio VPC	Rileva una modifica a un perimetro dei Controlli di servizio VPC esistente che porterebbe a una riduzione della protezione offerta da tale perimetro. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Audit log Cloud: Log degli accessi ai dati di GKE	Un utente potenzialmente malintenzionato ha tentato di determinare per quali oggetti sensibili all'interno di GKE può eseguire query utilizzando il comando `kubectl auth can-i get`. In particolare, la regola rileva se l'attore ha verificato l'accesso all'API per i seguenti oggetti: `*` (tutti) `cluster-admin` `ClusterRole` `Secret`
Rilevamento: auto-indagine sull'account di servizio	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Audit log di Cloud: Audit log degli accessi ai dati IAM Autorizzazioni: `DATA_READ`	Rilevamento delle credenziali di un account di servizio IAM utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. Ruoli sensibili I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili.
Evasione: accesso da proxy con anonimizzazione	`ANOMALOUS_ACCESS`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento delle modifiche ai servizi Google Cloud provenienti da indirizzi IP proxy anonimi, come gli indirizzi IP Tor.
Esfiltrazione: esfiltrazione di dati BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Audit log di Cloud: Log degli accessi ai dati BigQueryAuditMetadata Autorizzazioni: `DATA_READ`	Rileva i seguenti scenari: Risorse di proprietà dell'organizzazione protetta salvate all'esterno dell'organizzazione, incluse operazioni di copia o trasferimento. Questo scenario è indicato da una regola secondaria `exfil_to_external_table` e una gravità `HIGH`. Tenta di accesso a risorse BigQuery protette dai Controlli di servizio VPC. Questo scenario è indicato da una regola secondaria `vpc_perimeter_violation` e una gravità `LOW`.
Esfiltrazione: estrazione dei dati BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Audit log di Cloud: Log degli accessi ai dati BigQueryAuditMetadata Autorizzazioni: `DATA_READ`	Rileva i seguenti scenari: Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in un bucket Cloud Storage all'esterno dell'organizzazione. Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, tramite operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà di questa organizzazione. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.
Esfiltrazione: dati BigQuery su Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Audit log di Cloud: Log degli accessi ai dati BigQueryAuditMetadata Autorizzazioni: `DATA_READ`	Rileva quanto segue: Una risorsa BigQuery di proprietà dell'organizzazione protetta viene salvata, mediante operazioni di estrazione, in una cartella di Google Drive.
Esfiltrazione: esfiltrazione dei dati di Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Audit log di Cloud: Log di accesso ai dati MySQL Log di accesso ai dati PostgreSQL Log di accesso ai dati SQL Server	Rileva i seguenti scenari: Dati dell'istanza live esportati in un bucket Cloud Storage esterno all'organizzazione. Dati dell'istanza live esportati in un bucket Cloud Storage di proprietà dell'organizzazione e accessibili pubblicamente. Per le attivazioni del livello Premium di Security Command Center a livello di progetto, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale.
Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Audit log di Cloud: Log delle attività di amministrazione MySQL Log delle attività di amministrazione PostgreSQL Log delle attività di amministrazione di SQL Server	Rileva gli eventi in cui il backup di un'istanza Cloud SQL viene ripristinato in un'istanza esterna all'organizzazione.
Esfiltrazione: concessione di privilegi in eccesso di Cloud SQL	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Audit log Cloud: Log degli accessi ai dati PostgreSQL Nota: devi abilitare l'estensione pgAudit per utilizzare questa regola.	Rileva gli eventi in cui a un utente o un ruolo di Cloud SQL per PostgreSQL sono stati concessi tutti i privilegi per un database oppure per tutte le tabelle, le procedure o le funzioni in uno schema.
Accesso iniziale: super user del database scrive nelle tabelle degli utenti	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Audit log di Cloud: Log degli accessi ai dati di Cloud SQL per PostgreSQL Log degli accessi ai dati di Cloud SQL per MySQL Nota: per utilizzare questa regola devi attivare l'estensione pgAudit per PostgreSQL o il controllo del database per MySQL per utilizzare questa regola.	Rileva gli eventi in cui un super user Cloud SQL (`postgres` per i server PostgreSQL o `root` per gli utenti MySQL) scrive in tabelle non di sistema.
^Anteprima Escalation dei privilegi: concessione con privilegi in eccesso di AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs: log degli accessi ai dati di AlloyDB per PostgreSQL Nota: devi abilitare pgAudit l'estensione per utilizzare questa regola.	Rileva gli eventi in cui a un utente o un ruolo di AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database oppure per tutte le tabelle, le procedure o le funzioni in uno schema.
^Anteprima Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle degli utenti	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs: log degli accessi ai dati di AlloyDB per PostgreSQL Nota: devi abilitare pgAudit l'estensione per utilizzare questa regola.	Rileva gli eventi in cui un super user di AlloyDB per PostgreSQL (`postgres`) scrive su tabelle non di sistema.
Accesso iniziale: azione sull'account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Audit log di Cloud: log delle attività di amministrazione	Rileva gli eventi in cui un account di servizio gestito dall'utente inattivo ha attivato un'azione. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni.
Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Audit log Cloud: audit log dell'attività di amministrazione IAM	Rileva gli eventi in cui a un account di servizio gestito dall'utente inattivo sono stati concessi uno o più ruoli IAM sensibili. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. Ruoli sensibili I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili.
Persistenza: ruolo per furto d'identità concesso per account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Audit log Cloud: audit log dell'attività di amministrazione IAM	Rileva gli eventi in cui a un'entità vengono concesse autorizzazioni per impersonare un account di servizio inattivo gestito dall'utente. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni.
Accesso iniziale: creazione della chiave dell'account di servizio inattivo	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Audit log di Cloud: log delle attività di amministrazione	Rileva gli eventi in cui viene creata una chiave per un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni.
Accesso iniziale: chiave dell'account di servizio divulgata utilizzata	`LEAKED_SA_KEY_USED`	Audit log Cloud: Log delle attività di amministrazione Log degli accessi ai dati	Rileva gli eventi in cui una chiave dell'account di servizio divulgata viene utilizzata per autenticare l'azione. In questo contesto, una chiave dell'account di servizio divulgata è una chiave che è stata pubblicata sulla rete internet pubblica.
Accesso iniziale: azioni negate per autorizzazioni eccessive	`EXCESSIVE_FAILED_ATTEMPT`	Audit log di Cloud: log delle attività di amministrazione	Rileva gli eventi in cui un'entità attiva ripetutamente errori di autorizzazione negata tentando di apportare modifiche in più metodi e servizi.
Indebolimento difese: autenticazione avanzata disabilitata	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Controllo della Console di amministrazione	La verifica in due passaggi è stata disattivata per l'organizzazione. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Indebolimento difese: verifica in due passaggi disattivata	`2SV_DISABLE`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	Un utente ha disattivato la verifica in due passaggi. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: compromissione account disattivato	`ACCOUNT_DISABLED_HIJACKED`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	L'account di un utente è stato sospeso a causa di attività sospetta. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: fuga di password disabilitata	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	L'account di un utente è stato disattivato a causa di una fuga di password. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: attacco governativo	`GOV_ATTACK_WARNING`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	Gli hacker sostenuti da un governo potrebbero aver tentato di compromettere un account utente o un computer. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Accesso iniziale: tentativo di compromissione di Log4j	Non disponibile	Log di Cloud Load Balancing: Bilanciatore del carico HTTP Cloud Nota: devi abilitare il logging del bilanciatore del carico delle applicazioni esterno per utilizzare questa regola.	Rileva le lookups JNDI (Java Naming and Directory Interface) all'interno delle intestazioni o dei parametri URL. Queste ricerche possono indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una gravità bassa, perché indicano solo un tentativo di rilevamento o di exploit, non una vulnerabilità o una compromissione. Questa regola è sempre attiva.
Accesso iniziale: accesso sospetto bloccato	`SUSPICIOUS_LOGIN`	Log di Google Workspace: Controllo dell'accesso Autorizzazioni: `DATA_READ`	È stato rilevato un accesso sospetto all'account di un utente che è stato bloccato. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Malware Log4j: dominio non valido	`LOG4J_BAD_DOMAIN`	Log di Cloud DNS	Rilevamento dell'exploit del traffico di Log4j in base a una connessione a, o una ricerca di, un dominio noto utilizzato negli attacchi Log4j.
Malware Log4j: IP non valido	`LOG4J_BAD_IP`	Log di flusso VPC Log delle regole firewall Log di Cloud NAT	Rilevamento del traffico degli exploit di Log4j basato su una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j.
Malware: dominio non valido	`MALWARE_BAD_DOMAIN`	Log di Cloud DNS	Rilevamento del malware basato su una connessione o una ricerca di un dominio dannoso noto.
Malware: indirizzo IP errato	`MALWARE_BAD_IP`	Log di flusso VPC Log delle regole firewall Log di Cloud NAT	Rilevamento del malware basato sulla connessione a un indirizzo IP non valido noto.
Malware: dominio non valido per il cryptomining	`CRYPTOMINING_POOL_DOMAIN`	Log di Cloud DNS	Rilevamento del cryptomining basato su una connessione a un dominio di mining noto o su una ricerca di tale dominio.
Malware: IP non valido per il cryptomining	`CRYPTOMINING_POOL_IP`	Log di flusso VPC Log delle regole firewall Log di Cloud NAT	Rilevamento del cryptomining basato sulla connessione a un indirizzo IP di mining noto.
DoS in uscita	`OUTGOING_DOS`	Log di flusso VPC	Rilevamento del traffico denial of service in uscita.
Persistenza: chiave SSH aggiunta amministratore GCE	`GCE_ADMIN_ADD_SSH_KEY`	Audit log di Cloud: Audit log di Compute Engine	Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (meno di 1 settimana).
Persistenza: script di avvio aggiunto dall'amministratore GCE	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Audit log di Cloud: Audit log di Compute Engine	Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine su un'istanza stabilita (meno di 1 settimana).
Persistenza: concessione anomala IAM	`IAM_ANOMALOUS_GRANT`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Questo risultato include regole secondarie che forniscono informazioni più specifiche su ogni istanza del risultato. Il seguente elenco mostra tutte le possibili regole secondarie: `external_service_account_added_to_policy`, `external_member_added_to_policy`: rilevamento dei privilegi concessi a utenti e account di servizio IAM che non sono membri dell'organizzazione oppure, se Security Command Center è attivato solo a livello di progetto, al tuo progetto. Nota: se Security Command Center è attivato a livello di organizzazione a qualsiasi livello, questo rilevatore utilizza i criteri IAM esistenti dell'organizzazione come contesto. Se l'attivazione di Security Command Center è solo a livello di progetto, il rilevatore utilizza solo i criteri IAM del progetto come contesto. Se viene effettuata una concessione IAM sensibile a un membro esterno e sono presenti meno di tre criteri IAM simili, questo rilevatore genera un risultato. Ruoli sensibili I risultati sono classificati come con gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili. `external_member_invited_to_policy`: rileva quando un membro esterno viene invitato a diventare proprietario del progetto tramite l'API `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: rileva quando l'autorizzazione `setIAMPolicy` viene aggiunta a un ruolo personalizzato. `service_account_granted_sensitive_role_to_member`: rileva quando i ruoli con privilegi vengono concessi ai membri tramite un account di servizio. Questa sottoregola viene attivata da un sottoinsieme di ruoli sensibili che includono solo ruoli IAM di base e determinati ruoli di archiviazione dei dati. Per maggiori informazioni, consulta Autorizzazioni e ruoli IAM sensibili `policy_modified_by_default_compute_service_account`: rileva quando viene utilizzato un account di servizio Compute Engine predefinito per modificare le impostazioni IAM del progetto
^AnteprimaPersistenza: ruolo sensibile concesso all'account non gestito	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rilevamento di un ruolo sensibile concesso a un account non gestito.
Persistenza: nuovo metodo dell'API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento dell'utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM.
Persistenza: nuova area geografica	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento degli account utente e di servizio IAM che accedono a Google Cloud da località anomale, in base alla geolocalizzazione degli indirizzi IP richiedente. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: nuovo user agent	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Audit log di Cloud: Log delle attività di amministrazione	Rilevamento degli account di servizio IAM che accedono a Google Cloud da user agent anomali o sospetti. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: attivazione/disattivazione di abilitazione SSO	`TOGGLE_SSO_ENABLED`	Google Workspace: Controllo della Console di amministrazione	L'impostazione Abilita SSO (Single Sign-On) nell'account amministratore è stata disattivata. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Persistenza: impostazioni SSO modificate	`CHANGE_SSO_SETTINGS`	Google Workspace: Controllo della Console di amministrazione	Le impostazioni SSO per l'account amministratore sono state modificate. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: furto d'identità anomala dell'account di servizio per l'attività di amministrazione	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Audit log di Cloud: Log delle attività di amministrazione	Rileva quando un account di servizio impersonato potenzialmente anomalo viene utilizzato per un'attività amministrativa.
Escalation dei privilegi: delega anomala dell'account di servizio con più passaggi per l'attività di amministrazione	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Audit log di Cloud: Log delle attività di amministrazione	Rileva quando viene rilevata una richiesta delegata anomala in più passaggi per un'attività amministrativa.
Escalation dei privilegi: delega anomala dell'account di servizio con più passaggi per l'accesso ai dati	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Audit log di Cloud: Log degli accessi ai dati	Rileva quando viene rilevata una richiesta delegata anomala in più passaggi per un'attività di accesso ai dati.
Escalation dei privilegi: rappresentazione anomala dell'account di servizio per l'attività di amministrazione	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Audit log di Cloud: Log delle attività di amministrazione	Rileva quando un chiamante/impersona potenzialmente anomalo in una catena di delega viene utilizzato per un'attività amministrativa.
Escalation dei privilegi: rappresentazione anomalo dell'account di servizio per l'accesso ai dati	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Audit log di Cloud: Log degli accessi ai dati	Rileva quando un chiamante/impersona potenzialmente anomalo in una catena di delega viene utilizzato per un'attività di accesso ai dati.
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Audit log Cloud: Log delle attività di amministrazione di GKE	Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto `ClusterRole` o `ClusterRoleBinding` di controllo dell'accesso basato sui ruoli (RBAC) del ruolo sensibile `cluster-admin` utilizzando una richiesta `PUT` o `PATCH`.
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Audit log Cloud: Log delle attività di amministrazione di GKE	Un utente potenzialmente dannoso ha creato una richiesta di firma del certificato (CSR) master Kubernetes, che gli consente di accedere a `cluster-admin` .
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Per aumentare i privilegi, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto `RoleBinding` o `ClusterRoleBinding` per il ruolo `cluster-admin`.
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Audit log Cloud: Log degli accessi ai dati di GKE	Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una richiesta di firma del certificato (CSR) con il comando `kubectl`, utilizzando credenziali di bootstrap compromesse.
Escalation dei privilegi: avvia un container Kubernetes con privilegi	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Audit log Cloud: Log delle attività di amministrazione di GKE	Un utente potenzialmente dannoso ha creato un pod che contiene container con privilegi o container con funzionalità di escalation dei privilegi. Il campo `privileged` di un container con privilegi è impostato su `true`. Un container con funzionalità di escalation dei privilegi ha il campo `allowPrivilegeEscalation` impostato su `true`. Per maggiori informazioni, consulta il riferimento dell'API SecurityContext v1 core nella documentazione di Kubernetes.
Persistenza: chiave dell'account di servizio creata	`SERVICE_ACCOUNT_KEY_CREATION`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva la creazione di una chiave dell'account di servizio. Le chiavi dell'account di servizio sono credenziali di lunga durata che aumentano il rischio di accessi non autorizzati alle risorse Google Cloud.
Escalation dei privilegi: script di arresto globale aggiunto	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando uno script di chiusura globale viene aggiunto a un progetto.
Persistenza: script di avvio globale aggiunto	`GLOBAL_STARTUP_SCRIPT_ADDED`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando uno script di avvio globale viene aggiunto a un progetto.
Defense Evasion: Ruolo di Creatore token account di servizio a livello di organizzazione aggiunto	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di organizzazione.
Evasione di Defense: ruolo Creatore token account di servizio a livello di progetto aggiunto	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di progetto.
Spostamento laterale: esecuzione della patch del sistema operativo dall'account di servizio	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando un account di servizio utilizza la funzionalità Patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza di Compute Engine attualmente in esecuzione.
Spostamento laterale: disco di avvio modificato collegato all'istanza ^Anteprima	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Audit log di Cloud: Audit log di Compute Engine	Rileva quando un disco di avvio viene scollegato da un'istanza Compute Engine e collegato a un'altra, il che potrebbe indicare un tentativo dannoso di compromettere il sistema utilizzando un disco di avvio modificato.
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Audit log Cloud: Log degli accessi ai dati di GKE	Rileva l'accesso ai secret o ai token degli account di servizio da parte di un account di servizio nell'attuale spazio dei nomi Kubernetes.
Sviluppo risorse: attività di distribuzione offensiva di sicurezza	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva le manipolazioni riuscite delle risorse di Google Cloud da test di penetrazione noti o distribuzioni della sicurezza offensive.
Escalation dei privilegi: il nuovo account di servizio è Proprietario o Editor	`SERVICE_ACCOUNT_EDITOR_OWNER`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva la creazione di un nuovo account di servizio con i ruoli di Editor o Proprietario per un progetto.
Scoperta: strumento di raccolta delle informazioni utilizzato	`INFORMATION_GATHERING_TOOL_USED`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva l'uso di ScoutSuite, uno strumento di controllo della sicurezza su cloud noto per essere utilizzato dagli attori delle minacce.
Escalation dei privilegi: generazione di token sospetti	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando viene utilizzata in modo illecito l'autorizzazione `iam.serviceAccounts.implicitDelegation` per generare token di accesso da un account di servizio con privilegi più elevati.
Escalation dei privilegi: generazione di token sospetti	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando un account di servizio utilizza il metodo `serviceAccounts.signJwt` per generare un token di accesso per un altro account di servizio.
Escalation dei privilegi: generazione di token sospetti	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva l'uso tra progetti dell'autorizzazione IAM `iam.serviceAccounts.getOpenIdToken`. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: generazione di token sospetti	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva l'uso tra progetti dell'autorizzazione IAM `iam.serviceAccounts.getAccessToken`. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Escalation dei privilegi: uso sospetto di autorizzazioni tra progetti	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva l'uso tra progetti dell'autorizzazione IAM `datafusion.instances.create`. Questo risultato non è disponibile per le attivazioni a livello di progetto.
Comando e controllo: tunneling DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Log di Cloud DNS	Rileva l'handshake dello strumento di tunneling DNS Iodine.
Evasione di difesa: tentativo di mascheramento della route VPC	`VPC_ROUTE_MASQUERADE`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva la creazione manuale di route VPC che si mascherano come route predefinite di Google Cloud, consentendo il traffico in uscita verso indirizzi IP esterni.
Impatto: fatturazione disattivata	`BILLING_DISABLED_SINGLE_PROJECT`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando la fatturazione è stata disabilitata per un progetto.
Impatto: fatturazione disattivata	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando la fatturazione è stata disabilitata per più progetti di un'organizzazione in un breve periodo di tempo.
Impatto: blocco ad alta priorità del firewall VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando una regola firewall VPC che blocca tutto il traffico viene aggiunta con priorità 0.
Impatto: eliminazione delle regole di massa del firewall VPC	`VPC_FIREWALL_MASS_RULE_DELETION`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva l'eliminazione di massa delle regole firewall VPC da parte di account non di servizio.
Impatto: API di servizio disabilitata	`SERVICE_API_DISABLED`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando un'API del servizio Google Cloud è disabilitata in un ambiente di produzione.
Impatto: scalabilità automatica del gruppo di istanze gestite impostata su massimo	`MIG_AUTOSCALING_SET_TO_MAX`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando un gruppo di istanze gestite è configurato per la massima scalabilità automatica.
Rilevamento: chiamata API dell'account di servizio non autorizzata	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Audit log Cloud: Audit log delle attività di amministrazione IAM	Rileva quando un account di servizio effettua una chiamata API tra progetti non autorizzata.
Evasione della difesa: accesso amministrativo al cluster con sessioni anonime	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Audit log Cloud: Log delle attività di amministrazione di GKE	Rileva la creazione di un oggetto `ClusterRoleBinding` di controllo dell'accesso dell'accesso basato sui ruoli (RBAC) che aggiunge il comportamento `root-cluster-admin-binding` agli utenti anonimi.
Accesso iniziale: risorsa GKE anonima creata da internet ^Anteprima	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Audit log Cloud: Log delle attività di amministrazione di GKE	Rileva gli eventi di creazione di risorse da parte di utenti internet effettivamente anonimi.
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet ^Anteprima	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Audit log Cloud: Log delle attività di amministrazione di GKE	Rileva gli eventi di manipolazione delle risorse da parte di utenti internet effettivamente anonimi.

Moduli personalizzati per Event Threat Detection

Oltre alle regole di rilevamento integrate, Event Threat Detection fornisce modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate. Per ulteriori informazioni, consulta la Panoramica dei moduli personalizzati per Event Threat Detection.

Per creare regole di rilevamento per le quali non sono disponibili modelli di moduli personalizzati, puoi esportare i dati di log in BigQuery ed eseguire query SQL univoche o ricorrenti che acquisiscono i tuoi modelli di minaccia.

Modifiche al gruppo Google non sicure

Questa sezione spiega in che modo Event Threat Detection utilizza i log di Google Workspace, i log di controllo di Cloud e i criteri IAM per rilevare modifiche non sicure di Google Gruppi. Il rilevamento delle modifiche di Google Gruppi è supportato solo quando attivi Security Command Center a livello di organizzazione.

I clienti Google Cloud possono utilizzare Google Gruppi per gestire i ruoli e le autorizzazioni per i membri delle loro organizzazioni o applicare criteri di accesso alle raccolte di utenti. Anziché concedere i ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni ai gruppi Google e quindi aggiungere membri a gruppi specifici. I membri del gruppo ereditano tutti i ruoli e le autorizzazioni di un gruppo, consentendo così ai membri di accedere a risorse e servizi specifici.

Sebbene Google Gruppi rappresenti un modo conveniente per gestire il controllo dell'accesso dell'accesso su larga scala, può rappresentare un rischio qualora utenti esterni all'organizzazione o al dominio vengano aggiunti a gruppi con privilegio, ovvero a gruppi a cui sono concessi ruoli o autorizzazioni sensibili. I ruoli sensibili controllano l'accesso a impostazioni di sicurezza e di rete, log e informazioni che consentono l'identificazione personale (PII) e non sono consigliati per i membri di gruppi esterni.

Nelle organizzazioni di grandi dimensioni, gli amministratori potrebbero non sapere quando vengono aggiunti membri esterni ai gruppi con privilegi. Gli audit log Cloud registrano le concessioni di ruoli ai gruppi, ma questi eventi dei log non contengono informazioni sui membri del gruppo, che possono nascondere il potenziale impatto di alcune modifiche ai gruppi.

Se condividi i tuoi log di Google Workspace con Google Cloud, Event Threat Detection monitora i tuoi flussi di log per rilevare la presenza di nuovi membri aggiunti ai gruppi Google della tua organizzazione. Poiché i log sono a livello di organizzazione, Event Threat Detection può analizzare i log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può analizzare questi log quando attivi Security Command Center a livello di progetto.

Event Threat Detection identifica i membri esterni dei gruppi e, utilizzando gli audit log di Cloud, esamina i ruoli IAM di ogni gruppo interessato per verificare se ai gruppi sono stati concessi ruoli sensibili. Queste informazioni vengono utilizzate per rilevare le seguenti modifiche non sicure per i gruppi Google con privilegi:

Membri esterni del gruppo aggiunti a gruppi con privilegi
Autorizzazioni o ruoli sensibili concessi a gruppi con membri esterni
Gruppi con privilegi che vengono modificati per consentire a chiunque nel pubblico di partecipare

Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri interni di gruppi che avviano eventi, i nomi dei gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere membri esterni dai gruppi o revocare ruoli sensibili concessi ai gruppi.

Per ulteriori informazioni sui risultati di Event Threat Detection, consulta Regole di Event Threat Detection.

Autorizzazioni e ruoli IAM sensibili

Questa sezione spiega in che modo Event Threat Detection definisce i ruoli IAM sensibili. Rilevamenti come la concessione anomala di IAM e le modifiche di un gruppo Google non sicuro generano risultati solo se le modifiche coinvolgono ruoli ad alta o media sensibilità. La sensibilità dei ruoli influisce sulla valutazione di gravità assegnata ai risultati.

I ruoli ad alta sensibilità controllano i servizi critici nelle organizzazioni, tra cui fatturazione, impostazioni del firewall e logging. I risultati che corrispondono a questi ruoli sono classificati con gravità Alta.
I ruoli a sensibilità media dispongono di autorizzazioni di modifica che consentono alle entità di apportare modifiche alle risorse Google Cloud, nonché autorizzazioni di visualizzazione ed esecuzione sui servizi di archiviazione dati che spesso contengono dati sensibili. La gravità assegnata ai risultati dipende dalla risorsa:
- Se i ruoli con sensibilità media vengono concessi a livello di organizzazione, i risultati sono classificati con gravità Alta.
- Se vengono concessi ruoli a sensibilità media a livelli inferiori nella gerarchia delle risorse (cartelle, progetti e bucket, tra gli altri), i risultati vengono classificati come gravità Media.

La concessione di questi ruoli sensibili è considerata pericolosa se il beneficiario è un membro esterno o un'identità anomala, ad esempio un'entità inattiva da molto tempo. La concessione di ruoli sensibili a membri esterni crea una potenziale minaccia perché può essere utilizzata in modo illecito per la compromissione dell'account e l'esfiltrazione di dati.

Ecco le categorie che utilizzano questi ruoli sensibili:

Persistenza: concessione anomala IAM
- Regola secondaria: external_service_account_added_to_policy
- Regola secondaria: external_member_added_to_policy
Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido
Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo

Le categorie che utilizzano un sottoinsieme di ruoli sensibili includono:

Persistenza: concessione anomala IAM
- Regola secondaria: service_account_granted_sensitive_role_to_member

La sottoregola service_account_granted_sensitive_role_to_member ha come target i membri esterni e interni in generale e, pertanto, utilizza solo un sottoinsieme di ruoli sensibili, come spiegato nelle regole di rilevamento delle minacce per gli eventi.

Tabella 1. Ruoli ad alta sensibilità
Categoria	Ruolo	Descrizione
Ruoli di base: contengono migliaia di autorizzazioni per tutti i servizi Google Cloud.	`roles/owner`	Ruoli di base
	`roles/editor`	Ruoli di base
Ruoli di sicurezza:controllano l'accesso alle impostazioni di sicurezza	`roles/cloudkms.*`	Tutti i ruoli di Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Tutti i ruoli di Web Security Scanner
	`roles/dlp.*`	Tutti i ruoli di Sensitive Data Protection
	`roles/iam.*`	Tutti i ruoli IAM
	`roles/secretmanager.*`	Tutti i ruoli di Secret Manager
	`roles/securitycenter.*`	Tutti i ruoli di Security Command Center
Ruoli di Logging:controllano l'accesso ai log di un'organizzazione	`roles/errorreporting.*`	Tutti i ruoli di Error Reporting
	`roles/logging.*`	Tutti i ruoli di Cloud Logging
	`roles/stackdriver.*`	Tutti i ruoli di Cloud Monitoring
Ruoli relativi alle informazioni personali: controllano l'accesso alle risorse che contengono informazioni che consentono l'identificazione personale, incluse informazioni bancarie e di contatto	`roles/billing.*`	Tutti i ruoli Cloud Billing
	`roles/healthcare.*`	Tutti i ruoli dell'API Cloud Healthcare
	`roles/essentialcontacts.*`	Tutti i ruoli relativi ai contatti necessari
Ruoli di rete: controllano l'accesso alle impostazioni di rete di un'organizzazione	`roles/dns.*`	Tutti i ruoli di Cloud DNS
	`roles/domains.*`	Tutti i ruoli di Cloud Domains
	`roles/networkconnectivity.*`	Tutti i ruoli di Network Connectivity Center
	`roles/networkmanagement.*`	Tutti i ruoli di Network Connectivity Center
	`roles/privateca.*`	Tutti i ruoli di Certificate Authority Service
Ruoli di servizio: controllano l'accesso alle risorse di servizio in Google Cloud	`roles/cloudasset.*`	Tutti i ruoli di Cloud Asset Inventory
	`roles/servicedirectory.*`	Tutti i ruoli di Service Directory
	`roles/servicemanagement.*`	Tutti i ruoli di Service Management
	`roles/servicenetworking.*`	Tutti i ruoli di Service Networking
	`roles/serviceusage.*`	Tutti i ruoli Service Usage
Ruoli di Compute Engine: controllano l'accesso alle macchine virtuali di Compute Engine, che svolgono job a lunga esecuzione e sono associate alle regole firewall	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Tutti i ruoli di Amministratore ed Editor di Compute Engine

Tabella 2. Ruoli a sensibilità media
Categoria	Ruolo	Descrizione
Modifica dei ruoli: ruoli IAM che includono autorizzazioni per apportare modifiche alle risorse Google Cloud	Esempi: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	In genere, i nomi dei ruoli terminano con titoli quali Amministratore, Proprietario, Editor o Autore. Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli a sensibilità media
Ruoli di archiviazione dati: ruoli IAM che includono autorizzazioni per visualizzare ed eseguire i servizi di archiviazione dati	Esempi: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli a sensibilità media
Tutti i ruoli a media sensibilità Approvazione accesso `roles/accessapproval.approver` `roles/accessapproval.configEditor` Gestore contesto accesso `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Azioni `roles/actions.Admin` Piattaforma IA `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` Gateway API `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorizzazione binaria `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^beta Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Analisi degli artefatti `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Catalogo dati `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseappdistro.admin`2/} {2 `roles/firebaseperformance.admin` `roles/firebasepredictions.adminroles/firebaserules.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin` Server di gioco `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Hub di Google Kubernetes Engine `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Managed Service per Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore per Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Monitoraggio della configurazione delle operazioni `roles/opsconfigmonitoring.resourceMetadata.writer` Servizio Criteri dell'organizzazione `roles/axt.admin` `roles/orgpolicy.policyAdmin` Altri ruoli `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Beacon di prossimità `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA Enterprise `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Consigli `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Motore per suggerimenti `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Impostazioni delle risorse `roles/resourcesettings.admin` Accesso VPC serverless `roles/vpcaccess.admin` Gestione consumer di servizi `roles/serviceconsumermanagement.tenancyUnitsAdmin` Storage Transfer Service `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Blocchi note gestiti dall'utente di Vertex AI Workbench `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Flussi di lavoro `roles/workflows.admin` `roles/workflows.editor`

Tipi di log e requisiti di attivazione

In questa sezione sono elencati i log utilizzati da Event Threat Detection, insieme alle minacce che Event Threat Detection cerca in ogni log e cosa, se necessario, devi fare per attivare ogni log.

Devi attivare un log per Event Threat Detection solo se sono vere tutte le seguenti condizioni:

Stai utilizzando il prodotto o il servizio che scrive nel log.
Devi proteggere il prodotto o il servizio dalle minacce rilevate da Event Threat Detection nel log.
Il log è un audit log dell'accesso ai dati o un altro log disattivato per impostazione predefinita.

Alcune minacce possono essere rilevate in più log. Se Event Threat Detection riesce a rilevare una minaccia in un log già attivato, non è necessario attivare un altro log per rilevare la stessa minaccia.

Se un log non è elencato in questa sezione, Event Threat Detection non lo analizza, anche se è attivato. Per ulteriori informazioni, consulta Scansioni dei log potenzialmente ridondanti.

Come descritto nella tabella seguente, alcuni tipi di log sono disponibili solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non analizza questi log e non restituisce alcun risultato.

Scansioni dei log potenzialmente ridondanti

Event Threat Detection può fornire il rilevamento della rete del malware mediante la scansione di uno dei seguenti log:

Logging di Cloud DNS
Log di Cloud NAT
Logging delle regole firewall
Log di flusso VPC

Se utilizzi già il logging di Cloud DNS, Event Threat Detection può rilevare il malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log di Cloud DNS sono sufficienti per il rilevamento di malware da parte della rete.

Se hai bisogno di un altro livello di visibilità oltre alla risoluzione del dominio, puoi attivare i log di flusso VPC, ma questa funzionalità potrebbe comportare dei costi. Per gestire questi costi, consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e di ridurre la frequenza di campionamento tra il 5% e il 10%, ma esiste un compromesso tra richiamo (campione più elevato) e gestione dei costi (frequenza di campionamento inferiore).

Se utilizzi già il logging delle regole firewall o il logging di Cloud NAT, questi log sono utili al posto dei log di flusso VPC.

Non è necessario abilitare più di un logging di Cloud NAT, del logging delle regole firewall o dei log di flusso VPC.

Log che devi attivare

Questa sezione elenca i log di Cloud Logging e Google Workspace che puoi attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection può rilevare.

Alcune minacce, come quelle rappresentate dall'impersonificazione o dalla delega anomala di un account di servizio, sono disponibili nella maggior parte degli audit log. Per questi tipi di minacce, puoi determinare quali log devi attivare in base ai prodotti e ai servizi che usi.

La tabella seguente mostra i log specifici che devi attivare per le minacce che possono essere rilevate solo in determinati tipi di log specifici.

Privilege Escalation: AlloyDB Over-Privileged Grant

Tipo di log	Minacce rilevate	Configurazione necessaria
Logging di Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Attiva il logging di Cloud DNS
Logging di Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Attiva il logging di Cloud NAT
Logging delle regole firewall	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Attiva il logging delle regole firewall.
Audit log degli accessi ai dati di Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Attiva gli audit log di accesso ai dati di Logging per GKE
Log di controllo dell'amministratore di Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Condividi gli audit log degli amministratori di Google Workspace con Cloud Logging Impossibile analizzare questo tipo di log nelle attivazioni a livello di progetto.
Log di controllo dell'accesso a Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Condividi gli audit log degli accessi di Google Workspace con Cloud Logging Impossibile analizzare questo tipo di log nelle attivazioni a livello di progetto.
Log del servizio di backend del bilanciatore del carico delle applicazioni esterno	`Initial Access: Log4j Compromise Attempt`	Attiva il logging del bilanciatore del carico delle applicazioni esterno
Audit log degli accessi ai dati MySQL di Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration`	Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per MySQL
Audit log degli accessi ai dati PostgreSQL di Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per PostgreSQL. Per rilevare la minaccia `Exfiltration: Cloud SQL Over-Privileged Grant`, devi anche abilitare l' estensione pgAudit
Audit log degli accessi ai dati di AlloyDB per PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables`	Attiva gli audit log di accesso ai dati di Logging per AlloyDB per PostgreSQL. Per rilevare le minacce `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` e `Privilege Escalation: AlloyDB Over-Privileged Grant`, devi abilitare anche l'estensione pgAudit
Audit log degli accessi ai dati IAM	`Discovery: Service Account Self-Investigation`	Attiva gli audit log di accesso ai dati di Logging per Resource Manager
Audit log degli accessi ai dati di SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Attiva gli audit log di accesso ai dati di Logging per Cloud SQL per SQL Server
Audit log generici per l'accesso ai dati	`Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Attiva gli audit log di accesso ai dati di Logging.
authlog/authlog sulle macchine virtuali	`Brute force SSH`	Installa l'Ops Agent o l'agente Logging legacy sui tuoi host VM
Log di flusso VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP Outgoing DoS`	Attiva i log di flusso VPC.
Log di controllo per backup ed RE	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	Abilita gli audit log per backup ed RE

Log sempre attivi

Nella tabella seguente sono elencati i log di Cloud Logging che non è necessario attivare o configurare. Questi log sono sempre attivi e Event Threat Detection li analizza automaticamente.

Tipo di log	Minacce rilevate	Configurazione necessaria
Log degli accessi ai dati di BigQueryAuditMetadata	Esfiltrazione: esfiltrazione di dati BigQuery Esfiltrazione: estrazione dei dati BigQuery Esfiltrazione: dati di BigQuery su Google Drive	Nessuna
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE)	Escalation dei privilegi: modifiche agli oggetti Kubernetes RBAC sensibili Escalation dei privilegi: creazione di associazioni Kubernetes sensibili Escalation dei privilegi: lancio di un container Kubernetes con privilegi Escalation dei privilegi: creazione di una CSR Kubernetes per il certificato master	Nessuna
Audit log delle attività di amministrazione IAM	Accesso alle credenziali: ruolo sensibile concesso al gruppo ibrido Escalation dei privilegi: ruolo sensibile concesso all'account di servizio inattivo Persistenza: ruolo per furto d'identità concesso all'account di servizio inattivo Persistenza: concessione IAM anomala ^AnteprimaPersistenza: ruolo sensibile concesso all'account non gestito	Nessuna
Log delle attività di amministrazione di MySQL	Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna	Nessuna
Log delle attività di amministrazione di PostgreSQL	Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna	Nessuna
Log delle attività di amministrazione di SQL Server	Esfiltrazione: ripristino di Cloud SQL backup nell'organizzazione esterna	Nessuna
Audit log generici delle attività di amministrazione	Accesso iniziale: assegnazione di autorizzazione all'account di servizio inattivo per attività di trasferimento del privilegio dell'account di servizio Accesso iniziale: autorizzazione di accesso all'account di servizio inattivo per modifica di un'istanza di servizio Accesso iniziale: azioni negate a autorizzazioni eccessive Accesso iniziale: chiave dell'account di servizio divulgata utilizzata Persistenza: chiave SSH aggiunta da amministratore Compute Engine Persistenza: nuovo script di avvio dell'amministratore di Compute Engine Persistenza: nuovo metodo API Persistenza dell'amministratore:	Nessuna
Audit log dei Controlli di servizio VPC	evasione di difesa: modifica dei controlli di servizio VPC ^anteprima	Nessuna

Passaggi successivi

Scopri di più sull'utilizzo di Event Threat Detection.
Scopri come indagare e sviluppare piani di risposta alle minacce.