Visão geral do Event Threat Detection

>

O que é o Event Threat Detection?

O Event Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente sua organização e identifica ameaças nos sistemas quase que em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.

Como o Event Threat Detection funciona

O Event Threat Detection monitora o fluxo do Cloud Logging e os registros do Google Workspace, além de consumir registros dos projetos conforme eles são disponibilizados. O Cloud Logging contém entradas de registro de chamadas de API e outras ações que criam, leem ou modificam a configuração ou os metadados dos seus recursos. Os registros do Google Workspace rastreiam os logins de usuários no seu domínio e fornecem um registro das ações realizadas no Admin Console do Google Workspace.

As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica lógica de detecção e inteligência proprietária de ameaças, incluindo correspondência de indicadores de tripwire, criação de perfis em janelas, criação avançada de perfis, machine learning e detecção de anomalias para identificar ameaças quase em tempo real.

Quando o Event Threat Detection detecta uma ameaça, ele grava o que encontra no Security Command Center e em um projeto do Cloud Logging. No Cloud Logging e na geração de registros do Google Workspace, é possível exportar as descobertas para outros sistemas com o Pub/Sub e processá-los com o Cloud Functions.

A capacidade de visualizar e editar descobertas e registros é determinada pelos papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) que você recebeu. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.

Regras do Event Threat Detection

As regras definem o tipo de ameaças que o Event Threat Detection detecta e os tipos de registros que precisam ser ativados para que os detectores funcionem. Os registros de auditoria da atividade do administrador são sempre gravados, não é possível configurá-los ou desativá-los.

O Event Threat Detection inclui as seguintes regras padrão:

Nome de exibição Nome da API Tipos de origem do registro Descrição
Exfiltração: exfiltração de dados do BigQuery data_exfiltration_big_query Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata
Permissões:
DATA_READ
Detecta os seguintes cenários:

  • Recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência
  • Tenta acessar os recursos do BigQuery protegidos pelo VPC Service Controls.
Malware: domínio inválido malware_bad_domain Registros do Cloud DNS:
Registro de atividades do administrador
Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido
Malware: IP inválido malware_bad_ip Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de malware baseado em uma conexão com um endereço IP inválido conhecido
Criptomineração: domínio de pool cryptomining_pool_domain Registros do Cloud DNS:
Registros de atividade do administrador
Detecção de criptomineração baseada em uma conexão ou uma pesquisa de um domínio de mineração conhecido
Criptomineração:IP de pool cryptomining_pool_ip Registros de fluxo da VPC
Registros de regras de firewall
Registros do Cloud NAT
Detecção de criptomineração com base em uma conexão com um endereço IP de mineração conhecido
Ataques de força bruta contra SSH brute_force_ssh syslog Detecção da força bruta do SSH em um host
DoS de saída outgoing_dos Registros de fluxo da VPC Detecção de tráfego de negação de serviço de saída
Persistência: concessão anômala de IAM iam_anomalous_grant Registros de auditoria do Cloud:
registros de atividade do administrador

Detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização. Observação: esta descoberta é acionada apenas para usuários do Security Command Center com um endereço de e-mail gmail.com.

Papéis confidenciais Pré-lançamento

As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Persistência: nova região geográfica iam_anomalous_behavior_ip_geolocation Registros de auditoria do Cloud:
registros de atividade do administrador
Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud a partir de locais anômalos, com base na geolocalização dos endereços IP solicitantes.
Persistência: novo user agent iam_anomalous_behavior_user_agent Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecção de contas de serviço do IAM que acessam o Google Cloud por user agents anômalos ou suspeitos.
Descoberta: autoinvestigação da conta de serviço service_account_self_investigation Registros de auditoria do Cloud:
Registros de acesso a dados do Resource Manager
Permissões:
DATA_READ

Detecção de uma credencial de conta de serviço do IAM que é usada para investigar os papéis e as permissões associados à mesma conta de serviço.

Papéis confidenciais Pré-lançamento

As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Persistência: chave SSH adicionada pelo administrador do Compute Engine Pré-lançamento gce_admin_add_ssh_key Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecção de uma modificação no valor de chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: script de inicialização adicionado pelo administrador do Compute Engine Pré-lançamento gce_admin_add_startup_script Registros de auditoria do Cloud:
Registros de atividade do administrador
Detecção de uma modificação no valor do script de inicialização de metadados de instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Acesso às credenciais: risco de participação em grupo privilegiado
Pré-lançamento
privileged_group_opened_to_public Google Workspace:
Auditoria do administrador
Permissões:
DATA_READ

Detecta quando um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google.

As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Persistência: concessão de grupo anômalo do IAM
Pré-lançamento
sensitive_role_to_group_with_external_member Registros de auditoria do Cloud:
Registros de atividade do administrador

Detecta quando papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações inseguras no Grupo do Google.

As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Acesso a credenciais: membro externo no grupo privilegiado
Pré-lançamento
external_member_added_to_privileged_group Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ

Detecta quando um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google.

As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM.

Acesso inicial: vazamento de senha desativado account_disabled_password_leak Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ
A conta de um membro foi desativada porque foi detectado um vazamento de senha.
Acesso inicial: login suspeito bloqueado suspicious_login Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ
Um login suspeito na conta de um participante foi detectado e bloqueado.
Acesso inicial: conta desativada account_disabled_hijacked Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ
A conta de um membro foi suspensa devido a atividade suspeita.
Defesa de danos: verificação em duas etapas desativada 2sv_disable Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ
Um membro desativou a verificação em duas etapas.
Acesso inicial: ataque baseado no governo gov_attack_warning Registros do Google Workspace:
Auditoria de login
Permissões:
DATA_READ
Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de membro ou um computador.
Persistência: alternância de ativação de SSO toggle_sso_enabled Auditoria de administrador do Google Workspace .
A configuração Ativar SSO (logon único) na conta de administrador foi desativada.
Persistência: configurações de SSO alteradas change_sso_settings Auditoria de administrador do Google Workspace .
As configurações de SSO da conta de administrador foram alteradas.
Defesa por danos: autenticação forte desativada enforce_strong_authentication Auditoria de administrador do Google Workspace .
A verificação em duas etapas foi desativada para a organização.

Para criar regras de detecção personalizadas, exporte os dados de registro no BigQuery e execute consultas SQL únicas ou recorrentes que capturam os modelos de ameaça.

Alterações inseguras no Grupo do Google

Nesta seção, explicamos como o Event Threat Detection usa registros do Google Workspace, registros de auditoria do Cloud e políticas do IAM para detectar alterações inseguras nos Grupos do Google.

Os clientes do Google Cloud podem usar os Grupos do Google para gerenciar papéis e permissões para membros das organizações ou aplicar políticas de acesso a coleções de usuários. Em vez de conceder papéis diretamente aos membros, os administradores podem conceder papéis e permissões aos Grupos do Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todos os papéis e permissões de um grupo, o que permite que os membros acessem recursos e serviços específicos.

Embora os Grupos do Google sejam uma maneira conveniente de gerenciar o controle de acesso em grande escala, eles podem representar um risco se usuários externos fora da sua organização ou domínio forem adicionados a grupos privilegiados, grupos que receberam permissões ou papéis confidenciais. Esses papéis controlam o acesso a configurações de segurança e rede, registros e informações de identificação pessoal (PII) e não são recomendados para membros externos do grupo.

Em grandes organizações, os administradores podem não saber quando membros externos são adicionados a grupos privilegiados. Os registros de auditoria do Cloud registram concessões de papéis a grupos, mas esses eventos de registro não contêm informações sobre membros do grupo, o que pode encobrir o possível impacto de algumas alterações no grupo.

Se você compartilhar seus registros do Google Workspace com o Google Cloud, o Event Threat Detection monitorará seus fluxos de registros de novos membros adicionados aos Grupos do Google da sua organização.

O Event Threat Detection identifica membros externos do grupo e, usando registros de auditoria do Cloud, analisa os papéis do IAM de cada grupo afetado para verificar se os grupos receberam papéis confidenciais. Essas informações são usadas para detectar as seguintes alterações inseguras em Grupos do Google privilegiados:

  • Participantes externos adicionados a grupos privilegiados
  • Permissões ou funções confidenciais concedidas a grupos com membros externos
  • Grupos privilegiados que foram alterados para permitir que qualquer pessoa do público geral participe

O Event Threat Detection grava as descobertas no Security Command Center. As descobertas contêm os endereços de e-mail dos membros externos recém-adicionados, os membros internos do grupo que iniciam eventos, os nomes dos grupos e os papéis confidenciais associados aos grupos. Use as informações para remover membros externos dos grupos ou revogar papéis confidenciais concedidos a grupos.

Para saber mais sobre as descobertas do Event Threat Detection, consulte Regras do Event Threat Detection.

Papéis e permissões confidenciais do IAM

As alterações inseguras dos Grupos do Google geram descobertas apenas quando envolvem papéis de alta ou média confidencialidade. A confidencialidade dos papéis afeta a gravidade atribuída às descobertas.

  • Os papéis de alta confidencialidade controlam serviços essenciais nas organizações, incluindo faturamento, configurações de firewall e geração de registros. As descobertas que correspondem a esses papéis são classificadas como de alta gravidade.
  • Os papéis com média confidencialidade têm permissões de edição, que permitem que os principais façam alterações nos recursos do Google Cloud, e permissões de visualização e execução em serviços de armazenamento de dados, que geralmente contêm dados confidenciais. A gravidade atribuída às descobertas depende do recurso:
    • Se os papéis de média confidencialidade forem concedidos no nível da organização, as descobertas serão classificadas como de alta gravidade.
    • Se os papéis de confidencialidade média forem concedidos em níveis mais baixos da hierarquia de recursos (pastas, projetos e buckets, entre outros), as descobertas serão classificadas como de média gravidade.

O Event Threat Detection detecta alterações inseguras no Grupo do Google que correspondem aos papéis de alta e média confidencialidade a seguir.

Tabela 1. Papéis de alta confidencialidade
Categoria Papel Descrição
Papéis básicos: contêm milhares de permissões em todos os serviços do Google Cloud. roles/owner Papéis básicos
roles/editor
Papéis de segurança: controlam o acesso às configurações de segurança roles/cloudkms.* Todos os papéis do Cloud Key Management Service
roles/cloudsecurityscanner.* Todos os papéis do Web Security Scanner
roles/dlp.* Todos os papéis do Cloud Data Loss Prevention.
roles/iam.* Todos os papéis do IAM
roles/secretmanager.* Todos os papéis do Secret Manager
roles/securitycenter.* Todos os papéis do Security Command Center
Papéis do Logging: controlam o acesso aos registros de uma organização roles/errorreporting.* Todos os papéis do Error Reporting
roles/logging.* Todos os papéis do Cloud Logging
roles/stackdriver.* Todos os papéis do Cloud Monitoring
Papéis de informações pessoais: controlam o acesso a recursos que contêm informações de identificação pessoal, incluindo informações bancárias e de contato roles/billing.* Todos os papéis do Cloud Billing
roles/healthcare.* Todos os papéis da API Cloud Healthcare
roles/essentialcontacts.* Todos os papéis de Contatos Essenciais
Papéis de rede: controlam o acesso às configurações de rede da organização roles/dns.* Todos os papéis do Cloud DNS
roles/domains.* Todos os papéis do Cloud Domains
roles/networkconnectivity.* Todos os papéis do Network Connectivity Center
roles/networkmanagement.* Todos os papéis do Network Connectivity Center
roles/privateca.* Todos os papéis do Certificate Authority Service
Papéis de serviço: controlam o acesso aos recursos de serviço no Google Cloud. roles/cloudasset.* Todos os papéis de Inventário de recursos do Cloud
roles/servicedirectory.* Todos os papéis do Diretório de serviços
roles/servicemanagement.* Todos os papéis do Gerenciamento de serviços
roles/servicenetworking.* Todos os papéis da Rede de serviços
roles/serviceusage.* Todos os papéis do Service Usage
Papéis do Compute Engine: controlam o acesso a máquinas virtuais do Compute Engine, que executam jobs de longa duração e estão associadas a regras de firewall.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Todos os papéis de Administrador e Editor do Compute Engine
Tabela 2. Papéis de média confidencialidade
Categoria Papel Descrição
Papéis de edição: papéis do IAM que incluem permissões para fazer alterações nos recursos do Google Cloud.

Exemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Os nomes de papéis geralmente terminam com títulos como Administrador, Proprietário, Editor ou Gravador.

Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade

Papéis de armazenamento de dados: papéis do IAM que incluem permissões para visualizar e executar serviços de armazenamento de dados

Exemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade
Todos os papéis com média confidencialidade

Aprovação de acesso
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Ações
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

Gateway de API
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorização binária
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Container Analysis
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Hub do Google Kubernetes Engine
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Managed Service para o Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore para Redis
roles/redis.admin
roles/redis.editor

Notebooks
roles/notebooks.admin
roles/notebooks.legacyAdmin

API On-Demand Scanning
roles/ondemandscanning.admin

Monitoramento de configuração de operações
roles/opsconfigmonitoring.resourceMetadata.writer

Serviço de políticas da organização
roles/axt.admin
roles/orgpolicy.policyAdmin

Outros papéis
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Sensor de proximidade
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recommendations AI
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recomendador
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Configurações de recursos
roles/resourcesettings.admin

Acesso VPC sem servidor
roles/vpcaccess.admin

Gestão de consumidores de serviço
roles/serviceconsumermanagement.tenancyUnitsAdmin

Serviço de transferência do Cloud Storage
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Workflows
roles/workflows.admin
roles/workflows.editor

Tipos de registro

O Event Threat Detection depende de registros gerados pelo Google Cloud e pelo Google Workspace. A maioria dos registros fica desativada por padrão, o que permite que você decida quais registros devem ser gerados e quais produtos podem acessá-los. No entanto, para usar o Event Threat Detection, você precisa ativar os registros para sua organização, pastas e projetos onde quer que o Event Threat Detection tenha visibilidade total.

O Event Threat Detection consome automaticamente os registros de atividades do administrador, que fazem parte dos registros de auditoria do Cloud. Você não precisa configurar os registros de atividades do administrador. Eles são gerados automaticamente.

Além disso, o Event Threat Detection funciona melhor quando você ativa registros adicionais, que o serviço usa para detectar ameaças específicas. Para ativar os registros para cada uma das fontes a seguir, use os seguintes guias:

Os registros de auditoria do Google Workspace são ativados e mantidos no ambiente do Google Workspace. No entanto, você precisa compartilhá-los com o Google Cloud para que o Event Threat Detection tenha acesso e detecte ameaças do Google Workspace. Para instruções sobre como compartilhar registros do Google Workspace, consulte os seguintes guias:

A seguir