Event Threat Detection の概要

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Event Threat Detection とは

Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスで、組織またはプロジェクトを継続的にモニタリングし、システム内の脅威をほぼリアルタイムで特定します。Event Threat Detection は、新たな脅威をクラウド規模で特定するために、新しい検出項目で定期的に更新されます。

Event Threat Detection の仕組み

Event Threat Detection は、組織またはプロジェクトの Cloud Logging ストリームをモニタリングします。組織レベルで Security Command Center のプレミアム ティアを有効にすると、Event Threat Detection はプロジェクトが作成されたときにそのログを使用します。また、Event Threat Detection は Google Workspace ログをモニタリングできます。Cloud Logging には、リソースの構成やメタデータの作成、読み取り、変更を行う API 呼び出しやその他のアクションのログエントリが含まれます。Google Workspace ログは、ドメインへのユーザーのログインを追跡し、Google Workspace 管理コンソールで行われた操作の記録を提供します。

ログエントリには、Event Threat Detection で脅威を迅速に検出するために使用するステータスとイベントの情報が含まれます。Event Threat Detection は、検出ロジックと独自の脅威インテリジェンス(トリップワイヤ インジケーター マッチング、ウィンドウ処理のプロファイリング、高度なプロファイリング、機械学習、異常検出など)を適用して、ほぼリアルタイムで脅威を特定します。

Event Threat Detection は脅威を検出すると、検出結果を Security Command Center に書き込みます。組織レベルで Security Command Center プレミアム ティアを有効にすると、Security Command Center は Cloud Logging プロジェクトに検出結果を書き込むことができます。Cloud Logging と Google Workspace のロギングから、Pub/Sub を使用して検出結果を他のシステムにエクスポートし、Cloud Functions で処理できます。

組織レベルで Security Command Center のプレミアム ティアを有効にすると、さらに Chronicle を使用していくつかの検出結果を調査できます。Chronicle は、脅威を調査し、統合されたタイムラインで関連するエンティティをピボット分析できる Google Cloud サービスです。検出結果を Chronicle に送信する方法については、Chronicle で検出結果を調査するをご覧ください。

検出結果とログを表示および編集できるかどうかは、付与されている Identity and Access Management(IAM)のロールによって決まります。Security Command Center IAM ロールの詳細については、アクセス制御をご覧ください。

Event Threat Detection のルール

ルールは、Event Threat Detection で検出する脅威の種類と、検出器が動作するために有効にする必要があるログの種類を定義します。管理アクティビティ監査ログは常に書き込まれます。構成や無効化はできません。

Event Threat Detection には、以下のデフォルト ルールが含まれています。

表示名 API 名 ログソースのタイプ 説明
アクティブ スキャン: RCE に対して脆弱な Log4j 使用不可 Cloud DNS ログ
注: このルールを使用するには、Cloud DNS ロギングを有効にする必要があります。
サポートされている Log4j 脆弱性スキャナによって開始された難読化されていないドメインの DNS クエリを識別して、アクティブな Log4j の脆弱性を検出します。
ブルート フォース SSH BRUTE_FORCE_SSH authlog ホストに対するブルート フォース攻撃で SSH 認証に成功した試行の検出。
認証情報アクセス: 特権グループに追加された外部メンバー EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace のログ:
ログイン監査
権限:
DATA_READ

外部のメンバーが特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)に追加されたイベントを検出します。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。

検出結果は、グループの変更に関連付けられたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

認証情報アクセス: 一般公開された特権グループ PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
管理監査
権限:
DATA_READ

特権 Google グループ(機密性の高いロールまたは権限が付与されたグループ)が一般公開に変更されているイベントを検出します。詳しくは、安全でない Google グループの変更をご覧ください。

検出結果は、グループの変更に関連付けられたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs:
管理アクティビティ ログ

外部メンバーを含む Google グループに機密性の高いロールが付与されたイベントを検出します。詳しくは、安全ではない Google グループの変更をご覧ください。

検出結果は、グループの変更に関連付けられたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

防御回避: VPC Service Control の変更 DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud Audit Logs VPC Service Controls の監査ログ

保護能力の低下を招く、既存の VPC Service Controls の境界に対する変更を検出します。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

検出: 機密性の高い Kubernetes オブジェクトのチェック GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs:
GKE データアクセス ログ

悪質な可能性のある行為者が kubectl auth can-i get コマンドを使用して、GKE 内で照会可能な機密オブジェクトを特定しようとしています。このルールは、行為者が次のオブジェクトに対する API アクセスを確認したかどうかを検出します。

検出: サービス アカウントの自己調査 SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
Resource Manager のデータアクセス ログ
権限:
DATA_READ

同じサービス アカウントに関連付けられたロールと権限の調査に使用される IAM サービス アカウント認証情報の検出。

機密性の高いロールプレビュー

検出結果は、付与されたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

回避: 匿名化プロキシからのアクセス ANOMALOUS_ACCESS Cloud Audit Logs:
管理アクティビティ ログ
Tor IP アドレスなどの匿名プロキシ IP アドレスから発生した Google Cloud サービス変更の検出。
データ漏洩: BigQuery データの漏洩 DATA_EXFILTRATION_BIG_QUERY Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ
次のシナリオを検出します。

  • コピー オペレーションやオペレーションを含む、組織外に保存された保護された組織が所有するリソース。
  • VPC Service Controls で保護されている BigQuery リソースへのアクセスの試行。
データ漏洩: BigQuery データの抽出 DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ
次のシナリオを検出します。

  • 保護されている組織が所有する BigQuery リソースは、抽出オペレーションによって組織の Cloud Storage バケットに保存されます。
  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織が所有する一般公開の Cloud Storage バケットに保存されます。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

データ漏洩: Google ドライブへの BigQuery データ DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:
DATA_READ
以下を検出します。

  • 保護された組織が所有する BigQuery リソースが、抽出オペレーションによって Google ドライブ フォルダに保存されます。
データ漏洩: Cloud SQL データの漏洩
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud Audit Logs: MySQL データアクセス ログ
PostgreSQL データアクセス ログ
SQL Server データアクセス ログ
次のシナリオを検出します。

  • 組織外の Cloud Storage バケットにエクスポートされたライブ インスタンス データ。
  • 組織が所有し、一般公開される Cloud Storage バケットにエクスポートされたライブ インスタンス データ。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

データ漏洩: Cloud SQL から外部組織へのバックアップの復元 CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs: MySQL 管理アクティビティ ログ
PostgreSQL 管理アクティビティ ログ
SQL Server 管理アクティビティ ログ

Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元されるイベントを検出します。

データの引き出し: Cloud SQL の過剰な権限付与 CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: PostgreSQL データアクセス ログ
注: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。

Cloud SQL for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されたイベントを検出します。

初期アクセス: データベース スーパーユーザーによるユーザー テーブルへの書き込み CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: Cloud SQL for PostgreSQL データアクセス ログ
Cloud SQL for MySQL データアクセス ログ
注: このルールを使用するには、PostgreSQL の pgAudit 拡張機能、または MySQL のデータベース監査を有効にする必要があります。

Cloud SQL スーパーユーザー(PostgreSQL サーバーの場合は postgres、MySQL ユーザーの場合は root)がシステム以外のテーブルに書き込むイベントを検出します。

初期アクセス: 使われていないサービス アカウントに対するアクションプレビュー DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs: 管理アクティビティ ログ

使われていないユーザー管理サービス アカウントがアクションをトリガーしたイベントを検出します。この場合、180 日を超えてアクティブでないサービス アカウントは、使用されていないと見なされます。

初期アクセス: 過剰な権限の拒否アクションプレビュー EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs: 管理アクティビティ ログ

プリンシパルが複数のメソッドとサービス間で権限拒否エラーを繰り返しトリガーするイベントを検出します。

防御への侵害: 強力な認証の無効化 ENFORCE_STRONG_AUTHENTICATION Google Workspace
管理監査
組織で 2 段階認証プロセスが無効になりました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

防御への侵害: 2 段階認証プロセスの無効化 2SV_DISABLE Google Workspace のログ:
ログイン監査
権限:
DATA_READ
ユーザーが 2 段階認証プロセスを無効にしました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: アカウントの無効化(ハイジャック) ACCOUNT_DISABLED_HIJACKED Google Workspace のログ:
ログイン監査
権限:
DATA_READ
不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: 無効化(パスワードの漏洩) ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace のログ:
ログイン監査
権限:
DATA_READ
パスワード漏洩が検出されたため、ユーザーのアカウントが無効になっています。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: 政府支援による攻撃 GOV_ATTACK_WARNING Google Workspace のログ:
ログイン監査
権限:
DATA_READ
政府の支援を受けた攻撃者がユーザー アカウントまたはパソコンの不正使用を試みた可能性があります。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

初期アクセス: Log4j の悪用 使用不可 Cloud Load Balancing のログ:
Cloud HTTP ロードバランサ
注: このルールを使用するには、HTTP(S) ロード バランシングによるロギングを有効にする必要があります。
ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface(JNDI)のルックアップを検出します。このような検索は、Log4Shell の悪用の試みを示す可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用を試みるものであるため、重大度は「低」です。
このルールは常に有効になっています。
初期アクセス: 不審なログインのブロック SUSPICIOUS_LOGIN Google Workspace のログ:
ログイン監査
権限:
DATA_READ
ユーザーのアカウントへの不審なログインが検出され、ブロックされました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

Log4j マルウェア: 不正なドメイン LOG4J_BAD_DOMAIN Cloud DNS ログ:
管理アクティビティ ログ
Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく Log4j エクスプロイト トラフィックの検出。
Log4j マルウェア: 不正な IP LOG4J_BAD_IP VPC フローログ
ファイアウォール ルールのログ
Cloud NAT ログ
Log4j 攻撃で使用される既知の IP アドレスへの接続に基づく Log4j エクスプロイト トラフィックの検出。
マルウェア: 不正ドメイン MALWARE_BAD_DOMAIN Cloud DNS ログ:
管理アクティビティ ログ
既知の不正ドメインへの接続やルックアップに基づくマルウェアの検出。
マルウェア: 不正 IP MALWARE_BAD_IP VPC フローログ
ファイアウォール ルールのログ
Cloud NAT ログ
既知の不正な IP アドレスへの接続に基づくマルウェアの検出。
マルウェア: 不正ドメインの暗号化 CRYPTOMINING_POOL_DOMAIN Cloud DNS ログ:
管理アクティビティ ログ
既知のマイニング ドメインへの接続またはルックアップに基づくクリプトマイニングの検出。
マルウェア: 不正 IP の暗号化 CRYPTOMINING_POOL_IP VPC フローログ
ファイアウォール ルールのログ
Cloud NAT ログ
既知のマイニング IP アドレスへの接続に基づくクリプトマイニングの検出。
送信 DoS OUTGOING_DOS VPC フローログ送信サービス拒否攻撃トラフィックの検出

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: Compute Engine 管理者による SSH 認証鍵の追加 GCE_ADMIN_ADD_SSH_KEY Cloud Audit Logs:
管理アクティビティ ログ
確立されたインスタンスの Compute Engine インスタンス メタデータ SSH 認証鍵の値の変更の検出(1 週間以上前)。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: Compute Engine 管理者による起動スクリプトの追加 GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit Logs:
管理アクティビティ ログ
確立されたインスタンスの Compute Engine インスタンス メタデータ起動スクリプトの値の変更の検出(1 週間以上前)。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: IAM 異常付与 IAM_ANOMALOUS_GRANT Cloud Audit Logs:
管理アクティビティ ログ

組織のメンバーではない IAM ユーザーおよびサービス アカウントに付与された権限の検出。注: この検出機能は、組織の既存の IAM ポリシーをコンテキストとして使用します。外部メンバーへの機密性の高い IAM の付与があり、それに似た既存の IAM ポリシーが 3 つ未満の場合、検出機能によって検出結果が生成されます。

機密性の高いロールプレビュー

検出結果は、付与されたロールの機密性に応じて、またはの重要度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。

プロジェクト レベルで有効にしている場合、この検出結果は部分的に利用できます。具体的には、external_member_added_to_policy ルールは使用できません。

永続性: 新しい API メソッド
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs:
管理アクティビティ ログ
IAM サービス アカウントによる Google Cloud サービスの異常な使用の検出。
永続性: 新しい地域
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
管理アクティビティ ログ
リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なるロケーションから Google Cloud にアクセスする IAM ユーザーとサービス アカウントを異常なロケーションから検出。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: 新しいユーザー エージェント IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs:
管理アクティビティ ログ
通常と異なるユーザー エージェントまたは不審なユーザー エージェントから Google Cloud にアクセスする IAM サービス アカウントの検出。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: SSO の有効化の切り替え TOGGLE_SSO_ENABLED Google Workspace
管理監査
管理者アカウントで SSO(シングル サインオン)の有効化の設定が無効になりました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

永続性: 変更された SSO 設定 CHANGE_SSO_SETTINGS Google Workspace
管理監査
管理者アカウントの SSO の設定が変更されました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用プレビュー ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit Logs:
管理アクティビティ ログ
管理アクティビティで異常な可能性のあるサービス アカウントの権限借用を検出します。
権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任プレビュー ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit Logs:
管理アクティビティ ログ
管理アクティビティで異常なマルチステップの委任リクエストを検出します。
権限昇格: データアクセスに関する、異常なマルチステップ サービス アカウントの委任プレビュー ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
データアクセス ログ
データアクセス アクティビティで異常なマルチステップの委任リクエストを検出します。
権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用プレビュー ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit Logs:
管理アクティビティ ログ
管理アクティビティで、委任チェーン内の異常な可能性のある呼び出し元 / 権限借用を検出します。
権限昇格: データアクセスに関する、サービス アカウントの異常な権限借用プレビュー ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs:
データアクセス ログ
データアクセス アクティビティで、委任チェーン内の異常な可能性のある呼び出し元 / 権限借用を検出します。
権限昇格: Kubernetes RBAC 機密オブジェクトの変更 GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
管理アクティビティ ログ
権限の昇格を目的として、悪質な可能性のある行為者が PUT または PATCH のリクエストを使用して、機密性の高い cluster-admin ロールの ClusterRole または ClusterRoleBinding ロールベースのアクセス制御(RBAC)オブジェクトを変更しようとしました。
権限昇格: マスター証明書の Kubernetes CSR の作成 GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
GKE データアクセス ログ
悪質な可能性のある行為者が Kubernetes マスター証明書署名リクエスト(CSR)を作成し、cluster-admin アクセス権が付与されました。
権限昇格: 機密性の高い Kubernetes バインディングの作成 GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
管理アクティビティ ログ
権限を昇格させるため、悪質な可能性のある行為者が cluster-admin ロールに新しい RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成しようとしました。
権限昇格: 漏洩したブートストラップ認証情報を使用した Kubernetes CSR GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs:
GKE データアクセス ログ
悪質な可能性のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。
権限昇格: Kubernetes 特権コンテナのリリース GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
管理アクティビティ ログ

悪質な可能性のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。

特権コンテナの privileged フィールドは true に設定されています。権限昇格機能を備えたコンテナの allowPrivilegeEscalation フィールドが true に設定されています。詳細については、Kubernetes ドキュメントの SecurityContext v1 core API リファレンスをご覧ください。

カスタム検出ルールを作成するには、ログデータを BigQuery にエクスポートしてから、脅威モデルを収集する一意の SQL クエリ、または繰り返しの SQL クエリを実行できます。

安全ではない Google グループの変更

このセクションでは、Event Threat Detection で Google Workspace のログ、Cloud Audit Logs、IAM ポリシーを使用して、安全でない Google グループの変更を検出する方法について説明します。Google グループの変更の検出は、組織レベルで Security Command Center を有効にした場合にのみサポートされます。

Google Cloud のお客様は、Google グループを使用して組織内のメンバーのロールと権限を管理し、ユーザーのコレクションにアクセス ポリシーを適用できます。ロールをメンバーに直接付与する代わりに、管理者は Google グループにロールと権限を付与し、そのメンバーを特定のグループに追加できます。グループ メンバーは、グループのすべてのロールと権限を継承します。これにより、メンバーは特定のリソースとサービスにアクセスできます。

Google グループはアクセス制御を大規模に管理するのに便利ですが、組織やドメイン外の外部ユーザーが特権グループ(機密性の高いロールまたは権限が付与されているグループ)に追加されている場合、リスクが発生する可能性があります。機密性の高いロールはセキュリティとネットワークの設定、ログ、個人を特定できる情報(PII)へのアクセスを制御するため、外部グループのメンバーにはおすすめしません。

大規模な組織では、外部のメンバーが特権グループに追加されたことを管理者が認識しない可能性があります。Cloud Audit Logs はグループへのロール付与を記録しますが、これらのログイベントにはグループ メンバーに関する情報が含まれていないため、一部のグループの変更による影響の可能性が不明瞭になる可能性があります。

Google Cloud と Google Workspace のログを共有している場合、Event Threat Detection は組織の Google グループに追加された新しいメンバーのロギング ストリームをモニタリングします。ログは組織レベルで作成されるため、組織レベルで Security Command Center を有効にした場合にのみ、Event Threat Detection は Google Workspace のログをスキャンできます。プロジェクト レベルで Security Command Center を有効にすると、Event Threat Detection はこのログをスキャンできません。

Event Threat Detection は外部グループ メンバーを識別します。Cloud Audit Logs を使用して、影響を受ける各グループの IAM ロールを確認し、そのグループに機密ロールが付与されているかどうかを確認します。この情報は、特権 Google グループへの安全でない変更を検出するために使用されます。

  • 特権グループに追加された外部のグループ メンバー
  • 外部のグループ メンバーを含むグループに付与される機密性の高いロールまたは権限
  • 一般ユーザーが誰でも参加できるように変更された特権グループ

Event Threat Detection は検出結果を Security Command Center に書き込みます。検出結果には、新しく追加された外部メンバー、イベントを開始した内部グループ メンバー、グループ名、グループに関連付けられた機密性の高いロールのメールアドレスが含まれます。この情報を使用して、グループから外部メンバーを削除することや、グループに付与されている機密性の高いロールを取り消すことが可能になります。

Event Threat Detection の検出結果の詳細については、Event Threat Detection のルールをご覧ください。

機密性の高い IAM のロールと権限

安全でない Google グループの変更では、変更に機密性が高いか中程度のロールが含まれる場合にのみ検出結果が生成されます。ロールの機密性は、検出結果に割り当てられた重大度に影響します。

  • 機密性が高いロールは、課金、ファイアウォール設定、ロギングなど、組織における重要なサービスを制御します。これらのロールに一致する検出結果は、重大度に分類されます。
  • 機密性が中程度のロールには、プリンシパルが Google Cloud リソースに変更を加えるための編集権限があります。また、機密データを保持するデータ ストレージ サービスに関する権限の表示と実行も可能です。検出結果に割り当てられる重大度は、リソースによって異なります。
    • 中程度の機密性のロールが組織レベルで付与されている場合、検出結果は重大度に分類されます。
    • 中程度の機密性のロールがリソース階層の下位レベル(フォルダ、プロジェクト、バケットなど)で付与されている場合、検出結果は中程度の重大度に分類されます。

Event Threat Detection は、次の高レベルと中レベルの機密性のロールに一致する安全でない Google グループの変更を検出します。

表 1. 機密性の高いロール
カテゴリ ロール 説明
基本ロール: すべての Google Cloud サービスにかかわる何千もの権限が含まれます。 roles/owner 基本ロール
roles/editor
セキュリティ ロール: セキュリティ設定へのアクセスを制御します。 roles/cloudkms.* すべての Cloud Key Management Service のロール
roles/cloudsecurityscanner.* すべての Web Security Scanner のロール
roles/dlp.* すべての Cloud Data Loss Prevention のロール
roles/iam.* すべての IAM ロール
roles/secretmanager.* すべての Secret Manager のロール
roles/securitycenter.* すべての Security Command Center のロール
Logging のロール: 組織のログへのアクセスを制御します。 roles/errorreporting.* すべての Error Reporting のロール
roles/logging.* すべての Cloud Logging のロール
roles/stackdriver.* すべての Cloud Monitoring のロール
個人情報のロール: 銀行や連絡先情報など、個人を特定できる情報を含むリソースへのアクセスを制御します。 roles/billing.* すべての Cloud Billing のロール
roles/healthcare.* すべての Cloud Healthcare API のロール
roles/essentialcontacts.* すべての重要な連絡先のロール
ネットワーキングのロール: 組織のネットワーク設定へのアクセスを制御します。 roles/dns.* すべての Cloud DNS のロール
roles/domains.* すべての Cloud Domains のロール
roles/networkconnectivity.* すべての Network Connectivity Center のロール
roles/networkmanagement.* すべての Network Connectivity Center のロール
roles/privateca.* すべての Certificate Authority Service のロール
サービスのロール: Google Cloud のサービス リソースへのアクセスを制御します。 roles/cloudasset.* すべての Cloud Asset Inventory のロール
roles/servicedirectory.* すべての Service Directory のロール
roles/servicemanagement.* すべての Service Management のロール
roles/servicenetworking.* すべての Service Networking のロール
roles/serviceusage.* すべての Service Usage のロール
Compute Engine のロール: 長時間実行ジョブを実行し、ファイアウォール ルールに関連付けられている Compute Engine 仮想マシンへのアクセスを制御します。

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

すべての Compute Engine管理者編集者のロール
表 2. 機密性が中程度のロール
カテゴリ ロール 説明
ロールの編集: Google Cloud リソースに変更を加える権限を含む IAM ロール

例:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

ロール名は通常、管理者オーナー編集者ライターなどのタイトルで終わります。

テーブルの最後の行でノードを開くと、すべての機密性が中程度のロールが表示されます。

データ ストレージのロール: データ ストレージ サービスを表示して実行する権限を含む IAM ロール

例:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

テーブルの最後の行でノードを開くと、すべての機密性が中程度のロールが表示されます。
すべての機密性が中程度のロール

アクセス承認
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

アクション
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Binary Authorization
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminベータ版

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Container Analysis
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis
roles/redis.admin
roles/redis.editor

On-Demand Scanning API
roles/ondemandscanning.admin

Ops Config Monitoring
roles/opsconfigmonitoring.resourceMetadata.writer

組織のポリシーのサービス
roles/axt.admin
roles/orgpolicy.policyAdmin

その他のロール
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recommendations AI
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recommender
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

リソース設定
roles/resourcesettings.admin

サーバーレス VPC アクセス
roles/vpcaccess.admin

Service Consumer Management
roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Vertex AI Workbench ユーザー管理ノートブック
roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows
roles/workflows.admin
roles/workflows.editor

ログのタイプと有効化の要件

このセクションでは、Event Threat Detection が使用するログと、Event Threat Detection が各ログで検索する脅威、各ログを有効にするために必要な操作について説明します。

特定の脅威が複数のログで検出される場合があります。Event Threat Detection が、すでに有効になっているログ内の脅威を検出できる場合、同じ脅威を検出するために別のログを有効にする必要はありません。

このセクションにないログの場合、ログが有効になっても、Event Threat Detection はスキャンを実行しません。詳しくは、冗長になる可能性のあるログスキャンをご覧ください。

次の表で説明されているように、一部のログタイプは組織レベルでのみ使用できます。プロジェクト レベルで Security Command Center を有効にすると、Event Threat Detection はこれらのログをスキャンせず、検出結果も生成しません。

冗長になる可能性のあるログスキャン

Event Threat Detection は、次のいずれかのログをスキャンして、マルウェアのネットワーク検出を行います。

  • Cloud DNS 管理アクティビティ監査ログ
  • Cloud NAT ロギング
  • ファイアウォール ルール ロギング
  • VPC フローログ

すでに Cloud DNS を使用している場合、Cloud DNS 管理アクティビティ監査ログはすでに有効になっており、生成費用は発生しません。ほとんどの場合、ネットワークでのマルウェア検出には Cloud DNS 管理アクティビティ監査ログで十分です。

ドメイン解決以上の別のレベルの可視性が必要な場合は、VPC フローログを有効にできますが、VPC フローログにより費用が発生する可能性があります。このような費用を管理するには、集計間隔を 15 分に増やし、サンプルレートを 5~10% に減らすことをおすすめしますが、再現率(高いサンプルレート)とコスト管理(低いサンプルレート)にはトレードオフがあります。

すでにファイアウォール ルール ロギングや Cloud NAT ロギングを使用している場合、これらのログは VPC フローログの代わりに有用です。

複数の Cloud NAT ロギング、ファイアウォール ルール ロギング、VPC フローログを有効にする必要はありません。

有効にする必要があるログ

次の表に、Event Threat Detection で検出できる脅威の数を増やすために、有効化またはその他の方法で構成できる Cloud Logging と Google Workspace のログを示します。

ログタイプ 検出される脅威 必要な構成
Cloud DNS データアクセス監査ログ Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed
Cloud DNS の Logging データアクセス監査ログを有効にする
Cloud NAT ロギング Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Cloud NAT ロギングを有効にする
ファイアウォール ルール ロギング Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
ファイアウォール ルール ロギングを有効にします。
Google Kubernetes Engine(GKE)のデータアクセス監査ログ Discovery: Can get sensitive Kubernetes object check
Privilege Escalation: Create Kubernetes CSR for master cert
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials
GKE 向け Logging のデータアクセス監査ログを有効にする
Google Workspace 管理者監査ログ Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed
Google Workspace 管理者監査ログを Cloud Logging と共有する

プロジェクト レベルで有効にしている場合、このログタイプはスキャンされません。

Google Workspace ログイン監査ログ Credential Access: External Member Added To Privileged Group
Impair Defenses: Two Step Verification Disabled
Initial Access: Account Disabled Hijacked
Initial Access: Disabled Password Leak
Initial Access: Government Based Attack
Initial Access: Suspicious Login Blocked</td>
Google Workspace ログイン監査ログを Cloud Logging と共有する

プロジェクト レベルで有効にしている場合、このログタイプはスキャンされません。

HTTP(S) ロード バランシング バックエンド サービスログ Initial Access: Log4j Compromise Attempt HTTP(S) ロード バランシング ロギングを有効にする
MySQL データアクセス監査ログ Exfiltration: Cloud SQL Data Exfiltration Cloud SQL for MySQL の Logging データアクセス監査ログを有効にする
PostgreSQL データアクセス監査ログ Exfiltration: Cloud SQL Data Exfiltration
Exfiltration: Cloud SQL Over-Privileged Grant
Resource Manager データアクセス監査ログ Discovery: Service Account Self-Investigation Resource Manager の Logging データアクセス監査ログを有効にする
SQL Server データアクセス監査ログ Exfiltration: Cloud SQL Data Exfiltration Cloud SQL for SQL Server の Logging データアクセス監査ログを有効にする
仮想マシン上の authlogs / authlog Brute force SSH VM ホストに Ops エージェントまたは以前の Logging エージェントをインストールする
VPC フローログ Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
VPC フローログを有効にする

常に有効なログ

次の表に、有効にする必要も、構成する必要もない Cloud Logging のログを示します。これらのログは常に有効になっており、Event Threat Detection によって自動的にスキャンされます。

ログタイプ 検出される脅威 必要な構成
BigQueryAuditMetadata データアクセス ログ データ漏洩: BigQuery データの引き出し
データ漏洩: BigQuery データの抽出
データ漏洩: BigQuery から Google ドライブへのデータの引き出し
なし
Cloud DNS 管理アクティビティ監査ログ 回避: 匿名化プロキシからのアクセス
Log4j マルウェア: 不正ドメイン
マルウェア: 不正ドメイン
マルウェア: クリプトマイニングの不正ドメイン
なし
Google Kubernetes Engine(GKE)管理アクティビティ監査ログ 権限昇格: 機密性の高い Kubernetes RBAC オブジェクトの変更
権限昇格: 機密性の高い Kubernetes バインディングの作成
権限昇格: 特権 Kubernetes コンテナの起動
なし
IAM 管理アクティビティ監査ログ 認証情報アクセス: ハイブリッド グループに付与される機密性の高いロール
初期アクセス: 使われていないサービス アカウントに対するアクションプレビュー
初期アクセス: 過剰な権限の拒否アクションプレビュー
永続性: Compute Engine 管理者に SSH 認証鍵を追加
永続性: Compute Engine 管理者に起動スクリプトを追加
永続性: IAM 異常付与
永続性: 新しい API メソッド
永続性: 新しい地域
永続性: 新しいユーザー エージェント
なし
MySQL 管理アクティビティ ログ データ漏洩: Cloud SQL から外部組織へのバックアップの復元 なし
PostgreSQL 管理アクティビティ ログ データ漏洩: Cloud SQL から外部組織へのバックアップの復元 なし
SQL Server の管理アクティビティ ログ データ漏洩: Cloud SQL から外部組織へのバックアップの復元 なし
VPC Service Controls 監査ログ 防御回避: VPC Service Control の変更 なし

次のステップ