Esta página foi traduzida pela API Cloud Translation.

informações gerais de detecção de ameaças a eventos

O que é o Event Threat Detection?

O Event Threat Detection é um serviço integrado do nível Premium do Security Command Center que monitora continuamente sua organização e identifica ameaças nos sistemas quase que em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.

Como o Event Threat Detection funciona

O Event Threat Detection monitora o fluxo do Cloud Logging para sua organização ou seus projetos. Se você ativar o nível Premium do Security Command Center no nível da organização, o Event Threat Detection consumirá registros para seus projetos conforme eles forem criados, e o Event Threat Detection poderá monitorar os registros do Google Workspace. O Cloud Logging contém entradas de registro de chamadas de API e outras ações que criam, leem ou modificam a configuração ou os metadados dos seus recursos. Os registros do Google Workspace rastreiam os logins de usuários no seu domínio e fornecem um registro das ações realizadas no Admin Console do Google Workspace.

As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica lógica de detecção e inteligência proprietária de ameaças, incluindo correspondência de indicadores de tripwire, criação de perfis em janelas, criação avançada de perfis, machine learning e detecção de anomalias para identificar ameaças quase em tempo real.

Quando o Event Threat Detection detecta uma ameaça, ele grava uma descoberta no Security Command Center. Se você ativar o nível Premium do Security Command Center Premium no nível da organização, eles poderão gravar as descobertas em um projeto do Cloud Logging. No Cloud Logging e na geração de registros do Google Workspace, é possível exportar as descobertas para outros sistemas com o Pub/Sub e processá-los com o Cloud Functions.

Se você ativar o nível Premium do Security Command Center no nível da organização, também poderá usar o Chronicle para investigar algumas descobertas. O Chronicle é um serviço do Google Cloud que permite investigar ameaças e alternar entre entidades relacionadas em uma linha do tempo unificada. Veja instruções sobre como enviar descobertas para o Chronicle em Investigar descobertas no Chronicle.

A capacidade de visualizar e editar descobertas e registros é determinada pelos papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) que você recebeu. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.

Regras do Event Threat Detection

As regras definem o tipo de ameaças que o Event Threat Detection detecta e os tipos de registros que precisam ser ativados para que os detectores funcionem. Os registros de auditoria da atividade do administrador são sempre gravados, não é possível configurá-los ou desativá-los.

O Event Threat Detection inclui as seguintes regras padrão:

Nome de exibição	Nome da API	Tipos de origem do registro	Descrição
Verificação ativa: Log4j vulnerável a RCE	Indisponível	Registros do Cloud DNS	Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados que foram iniciados por verificadores de vulnerabilidade do Log4j suportados.
Inibir recuperação do sistema: host de backup e DR do Google Cloud excluído	`BACKUP_HOSTS_DELETE_HOST`	Registros de auditoria do Cloud: registros de acesso a dados de serviços de backup e DR	Um host foi excluído do backup e DR. Os aplicativos associados ao host excluído talvez não sejam protegidos.
Destruição de dados: imagem de expiração de backup e DR do Google Cloud	`BACKUP_EXPIRE_IMAGE`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um usuário solicitou a exclusão de uma imagem de backup do backup e DR. A exclusão de uma imagem de backup não impede backups futuros.
Inibir recuperação do sistema: plano de remoção de backup e DR do Google Cloud	`BACKUP_REMOVE_PLAN`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um plano de backup com várias políticas para um aplicativo foi excluído do backup e DR. A exclusão de um plano de backup pode impedir backups futuros.
Destruição de dados: expiração de todas as imagens de backup e DR do Google Cloud	`BACKUP_EXPIRE_IMAGES_ALL`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um usuário solicitou a exclusão de todas as imagens de backup de um aplicativo protegido do backup e DR. A exclusão das imagens de backup não impede backups futuros.
Inibir recuperação do sistema: modelo de exclusão de backup e DR do Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um modelo de backup predefinido, usado para configurar backups de vários aplicativos, foi excluído. A capacidade de configurar backups no futuro pode ser afetada.
Inibir recuperação do sistema: política de exclusão de backup e DR do Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Uma política de backup e DR, que define como um backup é feito e onde é armazenado, foi excluída. Os backups futuros que usam a política podem falhar.
Inibir recuperação do sistema: exclusão de perfil de backup e DR do Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um perfil de backup e DR, que define quais pools de armazenamento devem ser usados para armazenar backups, foi excluído. Os backups futuros que usam o perfil podem falhar.
Destruição de dados: remoção de dispositivo de backup e DR do Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um dispositivo de backup foi excluído do backup e DR. Os aplicativos associados ao dispositivo de backup excluído talvez não sejam protegidos.
Inibir recuperação do sistema: pool de armazenamento de exclusão de backup e DR do Google Cloud	`BACKUP_STORAGE_POOLS_DELETE`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	Um pool de armazenamento, que associa um bucket do Cloud Storage ao backup e DR, foi removido do backup e DR. Os backups futuros nesse destino de armazenamento falharão.
Impacto: expiração de backup e backup do Google Cloud reduzidos	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	A data de validade de um backup protegido por backup e DR foi reduzida.
Impacto: redução da frequência de backup e DR do backup do Google Cloud	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Registros de auditoria do Cloud: registros de acesso a dados de backup e DR	A programação de backup e DR foi modificada para reduzir a frequência de backups.
Ataques de força bruta contra SSH	`BRUTE_FORCE_SSH`	authlog	Detecção da força bruta do SSH em um host
Cloud IDS: `THREAT_IDENTIFIER` ^{pré-lançamento}	`CLOUD_IDS_THREAT_ACTIVITY`	Registros do Cloud IDS	Eventos detectados pelo Cloud IDS. O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando um evento é detectado, envia uma descoberta para o Security Command Center. Os nomes das categorias de descoberta começam com "Cloud IDS" seguido pelo identificador de ameaças do Cloud IDS. Para saber mais sobre as detecções do Cloud IDS, consulte as informações do Logging do Cloud IDS.
Acesso às credenciais: participante externo adicionado ao grupo privilegiado	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Detecta quando um evento é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso às credenciais: grupo privilegiado aberto para público	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Auditoria do administrador Permissões: `DATA_READ`	Detecta eventos quando um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso às credenciais: papel confidencial concedido ao grupo híbrido	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Detecta eventos em que papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis associados à alteração do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Evasão de defesa: implantação forçada de carga de trabalho criada^{Visualização}	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta a implantação de cargas de trabalho implantadas usando a sinalização de implantação forçada para modificar os controles da autorização binária.
Evasão de defesa: implantação forçada da carga de trabalho atualizada^{Visualização}	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta quando as cargas de trabalho são atualizadas usando a sinalização de implantação forçada para modificar os controles da autorização binária.
Evasão de defesa: modificar o VPC Service Control	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Registros de auditoria do Cloud Registros de auditoria do VPC Service Controls	Detecta uma alteração em um perímetro atual do VPC Service Controls que levaria a uma redução na proteção que esse perímetro oferece. Essa descoberta não está disponível para ativações no nível do projeto.
Descoberta: pode receber verificações confidenciais de objetos do Kubernetes	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Registros de auditoria do Cloud: Registros de acesso a dados do GKE	Uma pessoa mal-intencionada tentou determinar quais objetos confidenciais no GKE eles podem consultar usando o comando `kubectl auth can-i get`. Especificamente, a regra detecta se a pessoa verificou o acesso à API nos objetos a seguir: `*` (tudo) `cluster-admin` `ClusterRole` `Secret`
Descoberta: autoinvestigação da conta de serviço	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM Permissões: `DATA_READ`	Detecção de uma credencial de conta de serviço do IAM que é usada para investigar os papéis e as permissões associados à mesma conta de serviço. Papéis sensíveis As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.
Evasão: acesso por proxy de anonimização	`ANOMALOUS_ACCESS`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecção de modificações no serviço do Google Cloud originadas de endereços IP de proxy anônimo, como endereços IP de Tor.
Exfiltração: exfiltração de dados do BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata Permissões: `DATA_READ`	Detecta os seguintes cenários: Recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência Esse cenário é indicado por uma sub-regra de `exfil_to_external_table` e uma gravidade de `HIGH`. Tenta acessar os recursos do BigQuery protegidos pelo VPC Service Controls. Esse cenário é indicado por uma sub-regra de `vpc_perimeter_violation` e uma gravidade de `LOW`.
Exfiltração: extração de dados do BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata Permissões: `DATA_READ`	Detecta os seguintes cenários: Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage fora da organização. Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage acessível ao público de propriedade dessa organização. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Exfiltração: dados do BigQuery para o Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata Permissões: `DATA_READ`	Detecta o seguinte: Um recurso do BigQuery pertencente à organização protegida é salvo, por meio de operações de extração, em uma pasta do Google Drive.
Exfiltração: exfiltração de dados do Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Registros de auditoria do Cloud: Registros de acesso a dados do MySQL Registros de acesso a dados do PostgreSQL Registros de acesso a dados do SQL Server	Detecta os seguintes cenários: Dados da instância ativa exportados para um bucket do Cloud Storage fora da organização. Dados de instâncias ativas exportados para um bucket do Cloud Storage de propriedade da organização e acessível publicamente. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Exfiltração: backup de restauração do Cloud SQL para organização externa	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Registros de auditoria do Cloud: Registros de atividade do administrador do MySQL Registros de atividade do administrador do PostgreSQL Registros de atividades do administrador do SQL Server	Detecta eventos em que o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização.
Exfiltração: concessão privilegiada demais do Cloud SQL	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Registros de auditoria do Cloud: Registros de acesso a dados PostgreSQL Observação:ative pgAuditoria para usar essa regra.	Detecta eventos em que um usuário ou papel do Cloud SQL for PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Acesso inicial: gravações de superusuário do Database em tabelas do usuário	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Registros de auditoria do Cloud: Registros de acesso a dados do Cloud SQL para PostgreSQL Registros de acesso a dados do Cloud SQL para MySQL Observação:é necessário ativar a extensão pgAudit para PostgreSQL ou a auditoria do banco de dados para MySQL para usar esta regra.	Detecta eventos em que um superusuário do Cloud SQL (`postgres` para servidores PostgreSQL ou `root` para usuários do MySQL) grava em tabelas que não são do sistema.
^PréviaEscalonamento de privilégios: concessão excessivamente privilegiada do AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Registros de auditoria do Cloud: Registros de acesso a dados do AlloyDB para PostgreSQL Observação:ative a extensão pgAudit para usar essa regra.	Detecta eventos em que um usuário ou papel do AlloyDB para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
^PréviaEscalonamento de privilégios: o superusuário do banco de dados do AlloyDB grava nas tabelas do usuário	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Registros de auditoria do Cloud: Registros de acesso a dados do AlloyDB para PostgreSQL Observação:ative a extensão pgAudit para usar essa regra.	Detecta eventos em que um superusuário do AlloyDB para PostgreSQL (`postgres`) grava em tabelas que não são do sistema.
Acesso inicial: ação de uma conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta eventos em que uma conta de serviço gerenciada pelo usuário inativa acionou uma ação. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM	Detecta eventos em que uma conta de serviço gerenciada pelo usuário inativa recebeu um ou mais papéis confidenciais do IAM. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias. Papéis sensíveis As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.
Persistência: papel de representação concedido a uma conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM	Detecta eventos em que um principal recebe permissões para representar uma conta de serviço gerenciada pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Acesso inicial: criação de chave em uma conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta eventos em que uma chave é criada para uma conta de serviço gerenciada pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Acesso inicial: chave da conta de serviço vazada usada	`LEAKED_SA_KEY_USED`	Registros de auditoria do Cloud: Registros de atividade do administrador Registros de acesso a dados	Detecta eventos em que uma chave de conta de serviço com vazamento é usada para autenticar a ação. Nesse contexto, uma chave da conta de serviço com vazamento foi publicada na Internet pública.
Acesso inicial: permissões negadas em excesso	`EXCESSIVE_FAILED_ATTEMPT`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta eventos em que um principal aciona repetidamente erros de permissão negada ao tentar alterações em vários métodos e serviços.
Defesa por danos: autenticação forte desativada	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Auditoria do administrador	A verificação em duas etapas foi desativada para a organização. Essa descoberta não está disponível para ativações no nível do projeto.
Defesa de danos: verificação em duas etapas desativada	`2SV_DISABLE`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Um usuário desativou a verificação em duas etapas. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: conta desativada	`ACCOUNT_DISABLED_HIJACKED`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	A conta de um usuário foi suspensa devido a atividade suspeita. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: vazamento de senha desativado	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	A conta de um usuário foi desativada porque foi detectado um vazamento de senha. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: ataque baseado no governo	`GOV_ATTACK_WARNING`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: tentativa de comprometimento de Log4j	Indisponível	Registros do Cloud Load Balancing: Balanceador de carga de HTTP do Cloud Observação: é necessário ativar a geração de registros do balanceador de carga de aplicativo para usar essa regra.	Detecta lookups de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas na exploração do Log4Shell. As descobertas têm gravidade baixa porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento. Esta regra está sempre ativada.
Acesso inicial: login suspeito bloqueado	`SUSPICIOUS_LOGIN`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Um login suspeito na conta de um usuário foi detectado e bloqueado. Essa descoberta não está disponível para ativações no nível do projeto.
Malware Log4j: domínio inválido	`LOG4J_BAD_DOMAIN`	Registros do Cloud DNS	Detecção de tráfego do Log4j com base em uma conexão ou pesquisa de um domínio conhecido usado em ataques do Log4j.
Malware Log4j: IP inválido	`LOG4J_BAD_IP`	Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT	Detecção de tráfego do Log4j com base em uma conexão a um endereço IP conhecido usado em ataques do Log4j.
Malware: domínio inválido	`MALWARE_BAD_DOMAIN`	Registros do Cloud DNS	Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido
Malware: IP inválido	`MALWARE_BAD_IP`	Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT	Detecção de malware baseado em uma conexão com um endereço IP inválido conhecido
Malware: domínio criptografado de criptomineração	`CRYPTOMINING_POOL_DOMAIN`	Registros do Cloud DNS	Detecção de criptomineração baseada em uma conexão ou uma pesquisa de um domínio de mineração conhecido
Malware: criptomoedas com IP inválido	`CRYPTOMINING_POOL_IP`	Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT	Detecção de criptomineração com base em uma conexão com um endereço IP de mineração conhecido
DoS de saída	`OUTGOING_DOS`	Registros de fluxo da VPC	Detecção de tráfego de negação de serviço de saída
Persistência: chave SSH adicionada pelo administrador do GCE	`GCE_ADMIN_ADD_SSH_KEY`	Registros de auditoria do Cloud: Registros de auditoria do Compute Engine	Detecção de uma modificação no valor de chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: script de inicialização adicionado pelo administrador do GCE	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Registros de auditoria do Cloud: Registros de auditoria do Compute Engine	Detecção de uma modificação no valor do script de inicialização de metadados de instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: concessão anômala de IAM	`IAM_ANOMALOUS_GRANT`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Essa descoberta inclui subregras que fornecem informações mais específicas sobre cada instância dessa descoberta. A lista a seguir mostra todas as subregras possíveis: `external_service_account_added_to_policy`, `external_member_added_to_policy`: detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização ou se o Security Command Center estiver ativado apenas no projeto nível, seu projeto. Observação: se o Security Command Center estiver ativado no nível da organização em qualquer nível, o detector usará as políticas do IAM existentes de uma organização como contexto. Se a ativação do Security Command Center estiver apenas no nível do projeto, o detector usará apenas as políticas do IAM do projeto como contexto. Se ocorrer uma concessão de IAM confidencial a um membro externo e houver menos de três políticas do IAM semelhantes a ela, esse detector vai gerar uma descoberta. Papéis sensíveis As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM. `external_member_invited_to_policy`: detecta quando um membro externo é convidado como proprietário do projeto por meio da API `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: detecta quando a permissão `setIAMPolicy` é adicionada a um papel personalizado. `service_account_granted_sensitive_role_to_member`: detecta quando papéis privilegiados são concedidos aos membros por meio de uma conta de serviço. Essa subregra é acionada por um subconjunto de papéis confidenciais que incluem apenas papéis básicos do IAM e determinados papéis de armazenamento de dados. Para mais informações, consulte Papéis e permissões confidenciais do IAM. `policy_modified_by_default_compute_service_account`: detecta quando uma conta de serviço padrão do Compute Engine é usada para modificar as configurações do IAM do projeto
^PreviewPersistência: conta não gerenciada recebeu papel confidencial	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecção de um papel confidencial concedido a uma conta não gerenciada.
Persistência: novo método de API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM.
Persistência: nova região geográfica	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecção de contas de usuário e serviço do IAM que acessam o Google Cloud a partir de locais anômalos, com base na geolocalização dos endereços IP solicitantes. Essa descoberta não está disponível para ativações no nível do projeto.
Persistência: novo user agent	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecção de contas de serviço do IAM que acessam o Google Cloud por user agents anômalos ou suspeitos. Essa descoberta não está disponível para ativações no nível do projeto.
Persistência: alternância de SSO	`TOGGLE_SSO_ENABLED`	Google Workspace: Auditoria do administrador	A configuração Ativar SSO (logon único) na conta de administrador foi desativada. Essa descoberta não está disponível para ativações no nível do projeto.
Persistência: configurações de SSO alteradas	`CHANGE_SSO_SETTINGS`	Google Workspace: Auditoria do administrador	As configurações de SSO da conta de administrador foram alteradas. Essa descoberta não está disponível para ativações no nível do projeto.
Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta quando uma conta de serviço falsificada anômala é usada para uma atividade administrativa.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta quando uma solicitação delegada anômala em várias etapas é encontrada para uma atividade administrativa.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para acesso aos dados	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Registros de auditoria do Cloud: Registros de acesso a dados	Detecta quando uma solicitação delegada anômala em várias etapas é encontrada para uma atividade de acesso aos dados.
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade administrativa.
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para acesso aos dados	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Registros de auditoria do Cloud: Registros de acesso a dados	Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade de acesso aos dados.
Encaminhamento de privilégio: mudanças em objetos confidenciais do RBAC do Kubernetes	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Registros de auditoria do Cloud: Registros de atividade do administrador	Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou modificar um objeto de controle de acesso baseado em papel (RBAC, na sigla em inglês) `ClusterRole` ou `ClusterRoleBinding` do `cluster-admin` confidencial. papel usando uma solicitação `PUT` ou `PATCH`.
Encaminhamento de privilégio: crie uma CSR do Kubernetes para o certificado mestre	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Registros de auditoria do Cloud: Registros de atividade do administrador GKE	Uma pessoa possivelmente maliciosa criou uma solicitação de assinatura de certificado (CSR) do Kubernetes, o que concede a ela acesso `cluster-admin` .
Encaminhamento de privilégios: criação de vinculações confidenciais do Kubernetes	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou criar um novo objeto `RoleBinding` ou `ClusterRoleBinding` para o papel `cluster-admin`.
Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de bootstrap comprometidas	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Registros de auditoria do Cloud: Registros de acesso a dados do GKE	Uma pessoa mal-intencionada consultada para uma solicitação de assinatura de certificado (CSR), com o comando `kubectl`, usando credenciais de inicialização comprometida.
Escalonamento de privilégios: lançamento do contêiner com privilégios do Kubernetes	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Registros de auditoria do Cloud: Registros de atividade do administrador GKE	Uma pessoa possivelmente maliciosa criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios. Um contêiner privilegiado tem o campo `privileged` definido como `true`. Um contêiner com recursos de escalonamento de privilégios tem o campo `allowPrivilegeEscalation` definido como `true`. Para mais informações, consulte a referência da API SecurityContext v1 core na documentação do Kubernetes.
Persistência: chave da conta de serviço criada	`SERVICE_ACCOUNT_KEY_CREATION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta a criação de uma chave de conta de serviço. As chaves de conta de serviço são credenciais de longa duração que aumentam o risco de acesso não autorizado aos recursos do Google Cloud.
Escalação de privilégios: script de encerramento global adicionado	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando um script de desligamento global é adicionado a um projeto.
Persistência: script de inicialização global adicionado	`GLOBAL_STARTUP_SCRIPT_ADDED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando um script de inicialização global é adicionado a um projeto.
Evasão de defesa: papel de criador do token da conta de serviço no nível da organização adicionado	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o papel do IAM "Criador de token da conta de serviço" é concedido no nível da organização.
Evasão de defesa: papel de criador do token da conta de serviço no nível do projeto adicionado	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o papel do IAM "Criador de token da conta de serviço" é concedido no nível do projeto.
Movimentação lateral: execução de patch do SO pela conta de serviço	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma conta de serviço usa o recurso de patch do Compute Engine para atualizar o sistema operacional de qualquer instância do Compute Engine em execução no momento.
Movimento lateral: disco de inicialização modificado anexado à instância ^{Visualização}	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Registros de auditoria do Cloud: registros de auditoria do Compute Engine	Detecta quando um disco de inicialização é removido de uma instância do Compute Engine e anexado a outra. Isso pode indicar uma tentativa maliciosa de comprometer o sistema usando um disco de inicialização modificado.
Acesso credencial: segredos acessados no namespace do Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Registros de auditoria do Cloud: Registros de acesso a dados do GKE	Detecta quando secrets ou tokens de conta de serviço são acessados por uma conta de serviço no namespace atual do Kubernetes.
Desenvolvimento de recursos: atividade de distribuição de segurança ofensiva	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta manipulações de recursos bem-sucedidas do Google Cloud com base em testes de penetração conhecidos ou distros de segurança ofensivas.
Escalação de privilégios: a nova conta de serviço é Proprietário ou editora	`SERVICE_ACCOUNT_EDITOR_OWNER`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma nova conta de serviço é criada com os papéis de Editor ou Proprietário em um projeto.
Descoberta: ferramenta de coleta de informações usada	`INFORMATION_GATHERING_TOOL_USED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso do ScoutSuite, uma ferramenta de auditoria de segurança na nuvem conhecida por ser usada por agentes de ameaças.
Escalação de privilégios: geração de token suspeita	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando a permissão `iam.serviceAccounts.implicitDelegation` é usada indevidamente para gerar tokens de acesso com base em uma conta de serviço com mais privilégios.
Escalação de privilégios: geração de token suspeita	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma conta de serviço usa o método `serviceAccounts.signJwt` para gerar um token de acesso para outra conta de serviço.
Escalação de privilégios: geração de token suspeita	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso entre projetos da permissão do IAM `iam.serviceAccounts.getOpenIdToken`. Essa descoberta não está disponível para ativações no nível do projeto.
Escalação de privilégios: geração de token suspeita	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso entre projetos da permissão do IAM `iam.serviceAccounts.getAccessToken`. Essa descoberta não está disponível para ativações no nível do projeto.
Escalação de privilégios: uso suspeito de permissões entre projetos	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso entre projetos da permissão do IAM `datafusion.instances.create`. Essa descoberta não está disponível para ativações no nível do projeto.
Comando e controle: tunelamento DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Registros do Cloud DNS	Detecta o handshake da ferramenta de tunelamento DNS, Iodo.
Evasão de defesa: tentativa de mascaramento de rota VPC	`VPC_ROUTE_MASQUERADE`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta a criação manual de rotas VPC disfarçadas de rotas padrão do Google Cloud, permitindo o tráfego de saída para endereços IP externo.
Impacto: faturamento desativado	`BILLING_DISABLED_SINGLE_PROJECT`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o faturamento foi desativado em um projeto.
Impacto: faturamento desativado	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o faturamento foi desativado para vários projetos em uma organização em um curto período.
Impacto: bloco de alta prioridade do firewall de VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma regra de firewall de VPC que bloqueia todo o tráfego é adicionada à prioridade 0.
Impacto: exclusão de regras em massa de firewall de VPC	`VPC_FIREWALL_MASS_RULE_DELETION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta a exclusão em massa de regras de firewall VPC por contas que não são de serviço.
Impacto: API Service desativada	`SERVICE_API_DISABLED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma API de serviço do Google Cloud é desativada em um ambiente de produção.
Impacto: o escalonamento automático do grupo de instâncias gerenciadas foi definido como máximo	`MIG_AUTOSCALING_SET_TO_MAX`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando um grupo de instâncias gerenciadas está configurado para escalonamento automático máximo.
Descoberta: chamada de API de conta de serviço não autorizada	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma conta de serviço faz uma chamada de API não autorizada entre projetos.
Evasão de defesa: sessões anônimas receberam acesso de administrador de cluster	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Registros de auditoria do Cloud: Registros de atividade do administrador GKE	Detecta a criação de um objeto `ClusterRoleBinding` de controle de acesso baseado em papéis (RBAC) adicionando o comportamento `root-cluster-admin-binding` a usuários anônimos.
Acesso inicial: recurso anônimo do GKE criado na Internet ^{pré-lançamento}	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Registros de auditoria do Cloud: Registros de atividade do administrador GKE	Detecta eventos de criação de recursos de usuários da Internet efetivamente anônimos.
Acesso inicial: recurso do GKE modificado anonimamente pela Internet ^{pré-lançamento}	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Registros de auditoria do Cloud: Registros de atividade do administrador GKE	Detecta eventos de manipulação de recursos por usuários da Internet efetivamente anônimos.

Módulos personalizados do Event Threat Detection

Além das regras de detecção integradas, o Event Threat Detection fornece modelos de módulos que podem ser usados para criar regras de detecção personalizadas. Para mais informações, consulte Visão geral dos módulos personalizados para Event Threat Detection.

Para criar regras de detecção sem modelos de módulo personalizados disponíveis, exporte os dados do registro para o BigQuery e execute consultas SQL únicas ou recorrentes que capturem a ameaça modelos.

Alterações inseguras no Grupo do Google

Nesta seção, explicamos como o Event Threat Detection usa registros do Google Workspace, registros de auditoria do Cloud e políticas do IAM para detectar alterações inseguras nos Grupos do Google. A detecção de mudanças nos Grupos do Google só é possível quando você ativa o Security Command Center no nível da organização.

Os clientes do Google Cloud podem usar os Grupos do Google para gerenciar papéis e permissões para membros das organizações ou aplicar políticas de acesso a coleções de usuários. Em vez de conceder papéis diretamente aos membros, os administradores podem conceder papéis e permissões aos Grupos do Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todos os papéis e permissões de um grupo, o que permite que os membros acessem recursos e serviços específicos.

Embora os Grupos do Google sejam uma maneira conveniente de gerenciar o controle de acesso em grande escala, eles podem representar um risco se usuários externos fora da sua organização ou domínio forem adicionados a grupos privilegiados, grupos que receberam permissões ou papéis confidenciais. Esses papéis controlam o acesso a configurações de segurança e rede, registros e informações de identificação pessoal (PII) e não são recomendados para membros externos do grupo.

Em grandes organizações, os administradores podem não saber quando membros externos são adicionados a grupos privilegiados. Os registros de auditoria do Cloud registram concessões de papéis a grupos, mas esses eventos de registro não contêm informações sobre membros do grupo, o que pode encobrir o possível impacto de algumas alterações no grupo.

Se você compartilhar seus registros do Google Workspace com o Google Cloud, o Event Threat Detection monitorará seus fluxos de registros de novos membros adicionados aos Grupos do Google da sua organização. Como os registros estão no nível da organização, o Event Threat Detection só verifica os registros do Google Workspace quando você ativa o Security Command Center no nível da organização. O Event Threat Detection não consegue verificar esses registros quando você ativa o Security Command Center para envolvidos no projeto.

O Event Threat Detection identifica membros externos do grupo e, usando registros de auditoria do Cloud, analisa os papéis do IAM de cada grupo afetado para verificar se os grupos receberam papéis confidenciais. Essas informações são usadas para detectar as seguintes alterações inseguras em Grupos do Google privilegiados:

Participantes externos adicionados a grupos privilegiados
Permissões ou funções confidenciais concedidas a grupos com membros externos
Grupos privilegiados que foram alterados para permitir que qualquer pessoa do público geral participe

O Event Threat Detection grava as descobertas no Security Command Center. As descobertas contêm os endereços de e-mail dos membros externos recém-adicionados, os membros internos do grupo que iniciam eventos, os nomes dos grupos e os papéis confidenciais associados aos grupos. Use as informações para remover membros externos dos grupos ou revogar papéis confidenciais concedidos a grupos.

Para saber mais sobre as descobertas do Event Threat Detection, consulte Regras do Event Threat Detection.

Papéis e permissões confidenciais do IAM

Nesta seção, explicamos como o Event Threat Detection define papéis do IAM confidenciais. As detecções, como alterações na concessão anômala do IAM e em grupo não seguro do Google, só descobrirão as alterações se elas envolverem papéis de alta ou média confidencialidade. A confidencialidade dos papéis afeta a gravidade atribuída às descobertas.

Os papéis de alta confidencialidade controlam serviços essenciais nas organizações, incluindo faturamento, configurações de firewall e geração de registros. As descobertas que correspondem a esses papéis são classificadas como de alta gravidade.
Os papéis com média confidencialidade têm permissões de edição, que permitem que os principais façam alterações nos recursos do Google Cloud, e permissões de visualização e execução em serviços de armazenamento de dados, que geralmente contêm dados confidenciais. A gravidade atribuída às descobertas depende do recurso:
- Se os papéis de média confidencialidade forem concedidos no nível da organização, as descobertas serão classificadas como de alta gravidade.
- Se os papéis de confidencialidade média forem concedidos em níveis mais baixos da hierarquia de recursos (pastas, projetos e buckets, entre outros), as descobertas serão classificadas como de média gravidade.

A concessão desses papéis confidenciais é considerada perigosa se o beneficiário for um membro externo ou uma identidade anormal, como um principal que está inativo há muito tempo. Conceder papéis confidenciais a membros externos cria uma possível ameaça porque eles podem ser usados indevidamente para comprometer contas e exfiltrar dados.

Encontre categorias que usam esses papéis confidenciais:

Persistência: concessão anômala do IAM
- Subregra: external_service_account_added_to_policy
- Subregra: external_member_added_to_policy
Acesso às credenciais: papel confidencial concedido ao grupo híbrido
Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa

Encontre categorias que usam um subconjunto dos papéis confidenciais:

Persistência: concessão anômala do IAM
- Subregra: service_account_granted_sensitive_role_to_member

A sub-regra service_account_granted_sensitive_role_to_member geralmente segmenta membros externos e internos. Portanto, usa apenas um subconjunto de papéis confidenciais, conforme explicado em Regras do Event Threat Detection.

Tabela 1. Papéis de alta confidencialidade
Categoria	Papel	Descrição
Papéis básicos: contêm milhares de permissões em todos os serviços do Google Cloud.	`roles/owner`	Papéis básicos
	`roles/editor`	Papéis básicos
Papéis de segurança: controlam o acesso às configurações de segurança	`roles/cloudkms.*`	Todos os papéis do Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Todos os papéis do Web Security Scanner
	`roles/dlp.*`	Todos os papéis de proteção de dados confidenciais
	`roles/iam.*`	Todos os papéis do IAM
	`roles/secretmanager.*`	Todos os papéis do Secret Manager
	`roles/securitycenter.*`	Todos os papéis do Security Command Center
Papéis do Logging: controlam o acesso aos registros de uma organização	`roles/errorreporting.*`	Todos os papéis do Error Reporting
	`roles/logging.*`	Todos os papéis do Cloud Logging
	`roles/stackdriver.*`	Todos os papéis do Cloud Monitoring
Papéis de informações pessoais: controlam o acesso a recursos que contêm informações de identificação pessoal, incluindo informações bancárias e de contato	`roles/billing.*`	Todos os papéis do Cloud Billing
	`roles/healthcare.*`	Todos os papéis da API Cloud Healthcare
	`roles/essentialcontacts.*`	Todos os papéis de Contatos Essenciais
Papéis de rede: controlam o acesso às configurações de rede da organização	`roles/dns.*`	Todos os papéis do Cloud DNS
	`roles/domains.*`	Todos os papéis do Cloud Domains
	`roles/networkconnectivity.*`	Todos os papéis do Network Connectivity Center
	`roles/networkmanagement.*`	Todos os papéis do Network Connectivity Center
	`roles/privateca.*`	Todos os papéis do Certificate Authority Service
Papéis de serviço: controlam o acesso aos recursos de serviço no Google Cloud.	`roles/cloudasset.*`	Todos os papéis de Inventário de recursos do Cloud
	`roles/servicedirectory.*`	Todos os papéis do Diretório de serviços
	`roles/servicemanagement.*`	Todos os papéis do Gerenciamento de serviços
	`roles/servicenetworking.*`	Todos os papéis da Rede de serviços
	`roles/serviceusage.*`	Todos os papéis do Service Usage
Papéis do Compute Engine: controlam o acesso a máquinas virtuais do Compute Engine, que executam jobs de longa duração e estão associadas a regras de firewall.	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Todos os papéis de Administrador e Editor do Compute Engine

Tabela 2. Papéis de média confidencialidade
Categoria	Papel	Descrição
Papéis de edição: papéis do IAM que incluem permissões para fazer alterações nos recursos do Google Cloud.	Exemplos: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Os nomes de papéis geralmente terminam com títulos como Administrador, Proprietário, Editor ou Gravador. Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade
Papéis de armazenamento de dados: papéis do IAM que incluem permissões para visualizar e executar serviços de armazenamento de dados	Por exemplo: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade
Todos os papéis com média confidencialidade Aprovação de acesso `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Ações `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` Gateway de API `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorização binária `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Beta Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Análise de artefatos `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Metastore do Dataproc `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaserules.admin` `roles/firebaserules.admin` `roles/firebaseperformance.adminroles/firebasepredictions.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin` Servidores de jogos `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Hub do Google Kubernetes Engine `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Serviço gerenciado para o Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore para Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Monitoramento de configuração de operações `roles/opsconfigmonitoring.resourceMetadata.writer` Serviço de políticas da organização `roles/axt.admin` `roles/orgpolicy.policyAdmin` Outras funções `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Beacon de proximidade `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA Enterprise `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recomendações `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Recomendador `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Configurações de recurso `roles/resourcesettings.admin` Acesso VPC sem servidor `roles/vpcaccess.admin` Gestão de consumidores de serviço `roles/serviceconsumermanagement.tenancyUnitsAdmin` Serviço de transferência do Cloud Storage `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebooks gerenciados pelo usuário do Vertex AI Workbench `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Fluxos de trabalho `roles/workflows.admin` `roles/workflows.editor`

Tipos de registro e requisitos de ativação

Nesta seção, listamos os registros usados pelo Event Threat Detection, as ameaças que o Event Threat Detection busca em e o que é necessário fazer para ativar cada registro.

É necessário ativar um registro para o Event Threat Detection apenas se todas as seguintes condições forem verdadeiras:

Você está usando o produto ou serviço que grava no registro.
É preciso proteger o produto ou serviço contra as ameaças detectadas pelo Event Threat Detection no registro.
É um registro de auditoria de acesso a dados ou outro registro que fica desativado por padrão.

Algumas ameaças podem ser detectadas em vários registros. Se o Event Threat Detection detectar uma ameaça em um registro que já esteja ativado, não será necessário ativar outro registro para detectar essa ameaça.

Se um registro não estiver listado nesta seção, o Event Threat Detection não o verificará, mesmo que esteja ativado. Para saber mais, consulte Verificações de registros possivelmente redundantes.

Conforme descrito na tabela a seguir, alguns tipos de registro só estão disponíveis no nível da organização. Se você ativar o Security Command Center para envolvidos no projeto, o Event Threat Detection não verificará esses registros e não produzirá nenhuma descoberta.

Verificações de registros possivelmente redundantes

A detecção de ameaças a eventos oferece detecção de malware na rede ao verificar qualquer um destes registros:

Geração de registros do Cloud DNS
Geração de registros do Cloud NAT
Registro de regras de firewall
Registros de fluxo de VPC

Se você já estiver usando a geração de registros do Cloud DNS, a detecção de ameaças a eventos poderá detectar malware usando a resolução de domínio. Para a maioria dos usuários, os registros do Cloud DNS são suficientes para a detecção de malware na rede.

Se você precisar de outro nível de visibilidade além da resolução de domínio, ative os registros de fluxo da VPC, mas esses registros podem gerar custos. Para gerenciar esses custos, recomendamos aumentar o intervalo de agregação para 15 minutos e reduzir a taxa de amostragem para 5% e 10%, mas há uma compensação entre o recall (maior amostra) e o gerenciamento de custos (taxa de amostragem menor).

Se você já estiver usando a geração de registros de regras de firewall ou a geração de registros do Cloud NAT, esses registros serão úteis no lugar dos registros de fluxo da VPC.

Não é preciso ativar mais de um destes: geração de registros do Cloud NAT, geração de registros de regras de firewall ou registros de fluxo da VPC.

Registros que você precisa ativar

Essa seção lista os registros do Cloud Logging e do Google Workspace que podem ser ativados ou configurados para aumentar o número de ameaças que o Event Threat Detection pode detectar.

Algumas ameaças, como aquelas de representação anômala ou delegação de uma conta de serviço, podem ser encontradas na maioria dos registros de auditoria. Para esses tipos de ameaças, você determina quais registros precisam ser ativados com base nos produtos e serviços que você está usando.

A tabela a seguir mostra registros específicos que você precisa ativar para ameaças que podem ser detectadas apenas em determinados tipos de registro.

Privilege Escalation: AlloyDB Over-Privileged Grant

Tipo de registro	Ameaças detectadas	Configuração obrigatória
Geração de registros do Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Ativar a geração de registros do Cloud DNS
Registros do Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Ativar a geração de registros do Cloud NAT
Registro de regras de firewall	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Ative a geração de registros de regras de firewall.
Registros de auditoria de acesso a dados do Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Ativar os registros de auditoria de acesso a dados do Logging para o GKE
Registros de auditoria do administrador do Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Compartilhar registros de auditoria do administrador do Google Workspace com o Cloud Logging Não é possível verificar esse tipo de registro em ativações no nível do projeto.
Registros de auditoria de login do Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Compartilhar registros de auditoria de login do Google Workspace com o Cloud Logging Não é possível verificar esse tipo de registro em ativações no nível do projeto.
Registros de serviço de back-end do balanceador de carga de aplicativo externo	`Initial Access: Log4j Compromise Attempt`	Ativar a geração de registros do balanceador de carga de aplicativo externo
Registros de auditoria de acesso a dados do Cloud SQL MySQL	`Exfiltration: Cloud SQL Data Exfiltration`	Ativar os registros de auditoria de acesso a dados do Logging para o Cloud SQL para MySQL
Registros de auditoria de acesso a dados do Cloud SQL para PostgreSQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Ative os registros de auditoria de acesso a dados do Logging para o Cloud SQL para PostgreSQL. Para detectar a ameaça `Exfiltration: Cloud SQL Over-Privileged Grant`, você também precisa ativar a extensão pgAudit
Registros de auditoria de acesso a dados do AlloyDB para PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables`	Ative os registros de auditoria de acesso a dados do Logging para o AlloyDB para PostgreSQL. Para detectar as ameaças `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` e `Privilege Escalation: AlloyDB Over-Privileged Grant`, você também precisa ativar a extensão pgAudit
Registros de auditoria de acesso a dados do IAM	`Discovery: Service Account Self-Investigation`	Ativar os registros de auditoria de acesso a dados do Logging para o Resource Manager
Registros de auditoria de acesso a dados para SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Ativar os registros de auditoria de acesso a dados do Logging para o Cloud SQL para SQL Server
Registros de auditoria de acesso a dados genéricos	`Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Ative os registros de auditoria do acesso a dados do Logging.
authlogs/authlog em máquinas virtuais	`Brute force SSH`	Instale o agente de operações ou o agente do Logging legado nos hosts de VM
Registros de fluxo de VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP Outgoing DoS`	Ativar os registros de fluxo da VPC.
Registros de auditoria de backup e DR	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	Ativar registros de auditoria de backup e DR

Registros que estão sempre ativados

A tabela a seguir lista os registros do Cloud Logging que você não precisa ativar ou configurar. Esses registros estão sempre ativados e são verificados automaticamente pelo Event Threat Detection.

Tipo de registro	Ameaças detectadas	Configuração obrigatória
Registros de acesso a dados para BigQueryAuditMetadata	Exfiltração: exfiltração de dados do BigQuery Exfiltração: extração de dados do BigQuery Exfiltração: dados do BigQuery para o Google Drive	Nenhuma
Registros de auditoria de atividade do administrador do Google Kubernetes Engine (GKE)	Escalação de privilégios: alterações em objetos RBAC confidenciais do Kubernetes Escalação de privilégios: criação de vinculações confidenciais do Kubernetes Escalação de privilégios: lançamento de contêiner privilegiado do Kubernetes Escalação de privilégios: criar uma CSR do Kubernetes para o certificado mestre	Nenhuma
Registros de auditoria de atividade do administrador do IAM	Acesso a credenciais: papel confidencial concedido ao grupo híbrido Escala de privilégios: conta de serviço inativa atribuída a papel confidencial Persistência: papel de falsificação concedido para conta de serviço inativa Persistência: concessão anômala do IAM ^PréviaPersistência: papel confidencial concedido à conta não gerenciada	Nenhuma
Registros de atividades do administrador para MySQL	Exfiltração: backup de restauração do Cloud SQL para organização externa	Nenhuma
Registros de atividades do administrador para PostgreSQL	Exfiltração: backup de restauração do Cloud SQL para organização externa	Nenhuma
Registros de atividades do administrador para SQL Server	Exfiltração: backup de restauração do Cloud SQL para organização externa	Nenhuma
Registros de auditoria genéricos da atividade do administrador	Acesso inicial: Ação de conta de serviço inativa Acesso inicial: chave da conta de serviço inativa Acesso inicial: Persistência de serviço anormal para ações negadas	Nenhuma
Registros de auditoria do VPC Service Controls	Evasão de defesa: modificar o VPC Service Controls ^Prévia	Nenhuma

A seguir

Saiba mais sobre como usar o Event Threat Detection.
Saiba como investigar e desenvolver planos de resposta para ameaças.