Esta página foi traduzida pela API Cloud Translation.

informações gerais de detecção de ameaças a eventos

O que é o Event Threat Detection?

A detecção de ameaças a eventos é um serviço integrado ao nível Premium do Security Command Center que monitora continuamente sua organização ou projetos e identifica ameaças nos seus sistemas quase em tempo real. O Event Threat Detection é atualizado regularmente com novos detectores para identificar ameaças emergentes na escala da nuvem.

Como o Event Threat Detection funciona

O Event Threat Detection monitora o fluxo do Cloud Logging para sua organização ou seus projetos. Se você ativar o nível Premium do Security Command Center no nível da organização, o Event Threat Detection vai consumir registros para seus projetos conforme eles forem criados, e o Event Threat Detection poderá monitorar os registros do Google Workspace. O Cloud Logging contém entradas de registro de chamadas de API e outras ações que criam, leem ou modificam a configuração ou os metadados dos seus recursos. Os registros do Google Workspace rastreiam os logins de usuários no seu domínio e fornecem um registro das ações realizadas no Admin Console do Google Workspace.

As entradas de registro contêm informações de status e evento que o Event Threat Detection usa para detectar ameaças rapidamente. O Event Threat Detection aplica lógica de detecção e inteligência proprietária de ameaças, incluindo correspondência de indicadores de tripwire, criação de perfis em janelas, criação avançada de perfis, machine learning e detecção de anomalias para identificar ameaças quase em tempo real.

Quando o Event Threat Detection detecta uma ameaça, ele grava uma descoberta no Security Command Center. Se você ativar o nível Premium do Security Command Center no nível de organização, o Security Command Center pode gravar as descobertas em um projeto. No Cloud Logging e no Google Workspace Logging, é possível exportar as descobertas em outros sistemas com o Pub/Sub e processá-las com funções do Cloud Run.

Se você ativar o nível Premium do Security Command Center no nível da organização, será possível usar também as Operações de segurança do Google para investigar algumas descobertas. O Google SecOps é um serviço do Google Cloud que permite investigar ameaças e alternar entre entidades relacionadas em uma linha do tempo unificada. Para instruções sobre como enviar descobertas para o Google SecOps, consulte Investigue as descobertas no Google SecOps.

A capacidade de visualizar e editar descobertas e registros é determinada pelos papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) que você recebeu. Para mais informações sobre os papéis do IAM do Security Command Center, consulte Controle de acesso.

Regras do Event Threat Detection

As regras definem o tipo de ameaças que o Event Threat Detection detecta e os tipos de registros que precisam ser ativados para que os detectores funcionem. Os registros de auditoria da atividade do administrador são sempre gravados, não é possível configurá-los ou desativá-los.

O Event Threat Detection inclui as seguintes regras padrão:

Nome de exibição	Nome da API	Tipos de origem do registro	Descrição
Verificação ativa: Log4j vulnerável a RCE	Indisponível	Registros do Cloud DNS	Detecta vulnerabilidades ativas do Log4j identificando consultas DNS para domínios não ofuscados iniciadas por verificações de vulnerabilidades do Log4j com suporte.
Inibir recuperação do sistema: host de backup e DR do Google Cloud excluído	`BACKUP_HOSTS_DELETE_HOST`	Registros de auditoria do Cloud: Registros de acesso aos dados do serviço de backup e DR	Um host foi excluído do backup e DR. Os aplicativos associados ao host excluído talvez não sejam protegidos.
Destruição de dados: imagem de expiração de backup e DR do Google Cloud	`BACKUP_EXPIRE_IMAGE`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um usuário solicitou a exclusão de uma imagem de backup do backup e DR. A exclusão de uma imagem de backup não impede backups futuros.
Inibir recuperação do sistema: plano de remoção de backup e DR do Google Cloud	`BACKUP_REMOVE_PLAN`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um plano de backup com várias políticas para um aplicativo foi excluído de Backup e DR. A exclusão de um plano de backup pode impedir backups futuros.
Destruição de dados: expiração de todas as imagens de backup e DR do Google Cloud	`BACKUP_EXPIRE_IMAGES_ALL`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um usuário solicitou a exclusão de todas as imagens de backup de um aplicativo protegido do Backup e DR. A exclusão das imagens de backup não impede backups futuros.
Inibir recuperação do sistema: modelo de exclusão de backup e DR do Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um modelo de backup predefinido, usado para configurar backups de vários aplicativos, foi excluído. A capacidade de configurar backups no futuro pode ser afetada.
Inibir recuperação do sistema: política de exclusão de backup e DR do Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Uma política de backup e DR, que define como um backup é feito e onde ele é armazenado, foi excluída. Os backups futuros que usam a política podem falhar.
Inibir recuperação do sistema: exclusão de perfil de backup e DR do Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um perfil de backup e DR, que define quais pools de armazenamento devem ser usados para armazenar backups, foi excluído. Os backups futuros que usam o perfil podem falhar.
Destruição de dados: remoção de dispositivo de backup e DR do Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um dispositivo de backup foi excluído do backup e DR. Os aplicativos associados ao dispositivo de backup excluído talvez não sejam protegidos.
Inibir recuperação do sistema: pool de armazenamento de exclusão de backup e DR do Google Cloud	`BACKUP_STORAGE_POOLS_DELETE`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	Um pool de armazenamento, que associa um bucket do Cloud Storage a backup e DR foi removido de backup e DR. Backups futuros para este destino de armazenamento vai falhar.
Impacto: o backup e DR do Google Cloud reduziu a expiração do backup	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	A data de validade de um backup protegido pelo Backup e DR foi reduzida.
Impacto: frequência de backup e DR do Google Cloud reduzidas	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Registros de auditoria do Cloud: Registros de acesso a dados de backup e DR	A programação de backup de backup e DR foi modificada para reduzir o número de backups frequência.
Ataques de força bruta contra SSH	`BRUTE_FORCE_SSH`	authlog	Detecção da força bruta do SSH em um host
Cloud IDS: `THREAT_IDENTIFIER`	`CLOUD_IDS_THREAT_ACTIVITY`	Registros do Cloud IDS	Eventos de ameaça detectados pelo Cloud IDS. O Cloud IDS detecta ataques na camada 7 analisando pacotes espelhados e, quando um evento de ameaça é detectado, envia uma descoberta de classe de ameaça para o Security Command Center. Descoberta nomes de categorias começam com "Cloud IDS" seguida pela ameaça do Cloud IDS identificador. A integração do Cloud IDS com a detecção de ameaças a eventos não inclui detecções de vulnerabilidade do Cloud IDS. Para saber mais sobre as detecções do Cloud IDS, consulte as Informações de geração de registros do Cloud IDS.
Acesso às credenciais: participante externo adicionado ao grupo privilegiado	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Detecta eventos em que um membro externo é adicionado a um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais). A descoberta só será gerada se o grupo ainda não contiver outros membros externos da mesma organização do membro recém-adicionado. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas como gravidade Alta ou Média. dependendo da sensibilidade das funções associadas à mudança do grupo. Para mais informações, consulte Permissões e papéis confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso às credenciais: grupo privilegiado aberto para público	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Auditoria do administrador Permissões: `DATA_READ`	Detecta eventos em que um Grupo do Google privilegiado (um grupo com papéis ou permissões confidenciais) é alterado para ser acessível ao público geral. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas como gravidade Alta ou Média. dependendo da sensibilidade das funções associadas à mudança do grupo. Para mais informações, consulte Papéis e permissões confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso às credenciais: papel confidencial concedido ao grupo híbrido	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Detecta eventos em que papéis confidenciais são concedidos a um Grupo do Google com membros externos. Para saber mais, consulte Alterações inseguras no Grupo do Google. As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis associados à mudança do grupo. Para mais informações, consulte Permissões e papéis confidenciais do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Evasão de defesa: implantação forçada da carga de trabalho criada (pré-lançamento)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Registros de auditoria do Cloud: Registros de atividades do administrador	Detecta a implantação de cargas de trabalho implantadas usando a flag de acesso imediato para modificar os controles da autorização binária.
Evasão de defesa: implantação forçada da carga de trabalho atualizada (pré-lançamento).	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Registros de auditoria do Cloud: Registros de atividade do administrador	detecta quando as cargas de trabalho são atualizadas usando a sinalização de implantação forçada para substituir. Autorização binária.
Evasão de defesa: modificar o VPC Service Control	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Registros de auditoria do Cloud Registros de auditoria do VPC Service Controls	Detecta uma mudança em um perímetro do VPC Service Controls que levaria a uma redução na proteção oferecida por esse perímetro. Essa descoberta não está disponível para ativações no nível do projeto.
Descoberta: pode receber verificações de objetos sensíveis do Kubernetes.	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Registros de auditoria do Cloud: Registros de acesso a dados do GKE	Uma pessoa mal-intencionada tentou determinar quais objetos sensíveis no GKE eles podem consultar usando o comando `kubectl auth can-i get`. Especificamente, a regra detecta se o usuário verificou o acesso à API no os seguintes objetos: `*` (tudo) `cluster-admin` `ClusterRole` `Secret`
Descoberta: autoinvestigação da conta de serviço	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM Permissões: `DATA_READ`	Detecção de uma credencial da conta de serviço do IAM usada investigar os papéis e as permissões associados à mesma conta de serviço. Papéis sensíveis As descobertas são classificadas como gravidade Alta ou Média. dependendo da confidencialidade dos papéis atribuídos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.
Evasão: acesso de proxy de anonimização	`ANOMALOUS_ACCESS`	Registros de auditoria do Cloud: Registros de atividades do administrador	Detecção de modificações no serviço do Google Cloud originadas de solicitações anônimas dos endereços IP de proxy, como os do Tor.
Exfiltração: exfiltração de dados do BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Registros de auditoria do Cloud: Registros de acesso a dados BigQueryAuditMetadata Permissões: `DATA_READ`	Detecta os seguintes cenários: Recursos pertencentes à organização protegida que são salvos fora da organização, incluindo operações de cópia ou transferência Esse cenário é indicado por uma sub-regra de `exfil_to_external_table` e uma gravidade de `HIGH`. Tentativas de acessar recursos do BigQuery protegidos por VPC Service Controls. Esse cenário é indicado por uma sub-regra de `vpc_perimeter_violation` e uma gravidade de `LOW`.
Exfiltração: extração de dados do BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata Permissões: `DATA_READ`	Detecta os seguintes cenários: Um recurso do BigQuery de propriedade da organização protegida é salvo, por meio de operações de extração, em um bucket do Cloud Storage fora da organização. Um recurso do BigQuery que pertence à organização protegida é salvo. por meio de operações de extração, para um bucket do Cloud Storage acessível publicamente de propriedade dessa organização. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Exfiltração: dados do BigQuery para o Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Registros de auditoria do Cloud: Registros de acesso a dados do BigQueryAuditMetadata Permissões: `DATA_READ`	Detecta o seguinte: Um recurso do BigQuery que pertence à organização protegida é salvo. usando operações de extração para uma pasta do Google Drive.
Exfiltração: exfiltração de dados do Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Registros de auditoria do Cloud: Registros de acesso a dados do MySQL Registros de acesso a dados do PostgreSQL Registros de acesso a dados do SQL Server	Detecta os seguintes cenários: Dados de instâncias ativos exportados para um bucket do Cloud Storage fora da organização. Dados de instâncias ativas exportados para um bucket do Cloud Storage que pertence ao organização e é acessível ao público. Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização pai.
Exfiltração: backup de restauração do Cloud SQL para organização externa	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Registros de auditoria do Cloud: Registros de atividade do administrador do MySQL Registros de atividades do administrador do PostgreSQL Registros de atividade do administrador do SQL Server	Detecta eventos em que o backup de uma instância do Cloud SQL é restaurado para uma instância fora da organização.
Exfiltração: concessão privilegiada demais do Cloud SQL	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Registros de auditoria do Cloud: Registros de acesso a dados do PostgreSQL Observação: é necessário ativar a extensão pgAudit para usar essa regra.	Detecta eventos em que um usuário ou papel do Cloud SQL para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Acesso inicial: gravações de superusuário do Database em tabelas do usuário	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Registros de auditoria do Cloud: Registros de acesso a dados do Cloud SQL para PostgreSQL Registros de acesso a dados do Cloud SQL para MySQL Observação: é necessário ativar o parâmetro pgAudit Extensão para PostgreSQL ou auditoria de banco de dados para o MySQL usar essa regra.	Detecta eventos em que um superusuário do Cloud SQL (`postgres` para servidores PostgreSQL ou `root` para usuários do MySQL) grava em tabelas que não são do sistema.
Escalonamento de privilégios: concessão de privilégios excessivos do AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Registros de auditoria do Cloud: AlloyDB para registros de acesso a dados do PostgreSQL Observação: é necessário ativar a extensão pgAudit para usar essa regra.	Detecta eventos em que um usuário ou papel do AlloyDB para PostgreSQL recebeu todos os privilégios de um banco de dados ou de todas as tabelas, procedimentos ou funções em um esquema.
Escalonamento de privilégios: o superusuário do banco de dados do AlloyDB grava nas tabelas do usuário	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Registros de auditoria do Cloud: Registros de acesso aos dados do AlloyDB para PostgreSQL Observação: é necessário ativar a extensão pgAudit para usar esta regra.	Detecta eventos em que um superusuário do AlloyDB para PostgreSQL (`postgres`) grava em tabelas que não são do sistema.
Acesso inicial: ação de uma conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta eventos em que uma conta de serviço gerenciada pelo usuário inativa acionou uma ação. Nesse contexto, uma conta de serviço é considerada inativa se tiver inativo há mais de 180 dias.
Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM	Detecta eventos em que uma conta de serviço gerenciada pelo usuário inativa recebeu um ou mais papéis confidenciais do IAM. Nesse contexto, um serviço a conta é considerada inativa se permanecer inativa por mais de 180 dias. Papéis sensíveis As descobertas são classificadas como Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM.
Persistência: papel de representação concedido a uma conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Registros de auditoria do Cloud: registros de auditoria da atividade do administrador do IAM	Detecta eventos em que um principal recebe permissões para representar uma conta de serviço gerenciada pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por mais de 180 dias.
Acesso inicial: criação de chave em uma conta de serviço inativa	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta eventos em que uma chave é criada para uma conta de serviço gerenciada pelo usuário inativa. Nesse contexto, uma conta de serviço é considerada inativa se estiver inativa por há mais de 180 dias.
Acesso inicial: chave da conta de serviço vazada usada	`LEAKED_SA_KEY_USED`	Registros de auditoria do Cloud: Registros de atividade do administrador Registros de acesso a dados	Detecta eventos em que uma chave de conta de serviço com vazamento é usada para autenticar a ação. Nesse contexto, uma chave de conta de serviço com vazamento foi publicada na Internet pública.
Acesso inicial: permissões negadas em excesso	`EXCESSIVE_FAILED_ATTEMPT`	Registros de auditoria do Cloud: Registros de atividades do administrador	Detecta eventos em que um principal aciona repetidamente erros de permissão negada ao tentar fazer mudanças em vários métodos e serviços.
Defesa por danos: autenticação forte desativada	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Auditoria do administrador	A verificação em duas etapas foi desativada para a organização. Essa descoberta não está disponível para ativações no nível do projeto.
Defesa de danos: verificação em duas etapas desativada	`2SV_DISABLE`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Um usuário desativou a verificação em duas etapas. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: conta desativada	`ACCOUNT_DISABLED_HIJACKED`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	A conta de um usuário foi suspensa devido a atividade suspeita. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: vazamento de senha desativado	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	A conta de um usuário foi desativada porque foi detectado um vazamento de senha. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: ataque baseado no governo	`GOV_ATTACK_WARNING`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Os invasores apoiados pelo governo podem ter tentado comprometer uma conta de usuário ou um computador. Essa descoberta não está disponível para ativações no nível do projeto.
Acesso inicial: tentativa de comprometimento de Log4j	Indisponível	Registros do Cloud Load Balancing: Balanceador de carga HTTP do Cloud Observação: é necessário ativar a geração de registros do balanceador de carga de aplicativo para usar essa regra.	Detecta buscas de Java Naming and Directory Interface (JNDI) em cabeçalhos ou parâmetros de URL. Essas pesquisas podem indicar tentativas no Log4Shell exploração de dados. Essas descobertas têm gravidade baixa porque indicam apenas uma tentativa de detecção ou exploração, não uma vulnerabilidade ou um comprometimento. Esta regra está sempre ativada.
Acesso inicial: login suspeito bloqueado	`SUSPICIOUS_LOGIN`	Registros do Google Workspace: Auditoria de login Permissões: `DATA_READ`	Um login suspeito na conta de um usuário foi detectado e bloqueado. Essa descoberta não está disponível para ativações no nível do projeto.
Malware Log4j: domínio inválido	`LOG4J_BAD_DOMAIN`	Registros do Cloud DNS	Detecção de tráfego de exploração Log4j com base em uma conexão ou uma pesquisa de um domínio usado em ataques Log4j.
Malware Log4j: IP inválido	`LOG4J_BAD_IP`	Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT	Detecção de tráfego de exploração Log4j com base em uma conexão com um endereço IP conhecido usado em Log4j.
Domínio inválido de malware	`MALWARE_BAD_DOMAIN`	Registros do Cloud DNS	Detecção de malware com base em uma conexão ou pesquisa de um domínio inválido conhecido.
Malware: IP inválido	`MALWARE_BAD_IP`	Registros de fluxo de VPC Registros de regras de firewall Registros do Cloud NAT	Detecção de malware com base em uma conexão com um endereço IP inválido conhecido.
Malware: domínio criptografado de criptomineração	`CRYPTOMINING_POOL_DOMAIN`	Registros do Cloud DNS	Detecção de mineração de criptomoedas com base na conexão ou pesquisa de uma mineração conhecida domínio.
Malware: criptomoedas com IP inválido	`CRYPTOMINING_POOL_IP`	Registros de fluxo da VPC Registros de regras de firewall Registros do Cloud NAT	Detecção de mineração de criptomoedas com base em uma conexão com um endereço IP de mineração conhecido.
DoS de saída	`OUTGOING_DOS`	Registros de fluxo da VPC	Detecção de tráfego de negação de serviço de saída
Persistência: chave SSH adicionada pelo administrador do GCE	`GCE_ADMIN_ADD_SSH_KEY`	Registros de auditoria do Cloud: Registros de auditoria do Compute Engine	Detecção de uma modificação no valor da chave SSH dos metadados da instância do Compute Engine em uma instância estabelecida (com mais de uma semana).
Persistência: script de inicialização adicionado pelo administrador do GCE	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Registros de auditoria do Cloud: Registros de auditoria do Compute Engine	Detecção de uma modificação no script de inicialização de metadados da instância do Compute Engine em uma instância estabelecida (anterior a uma semana).
Persistência: concessão anômala de IAM	`IAM_ANOMALOUS_GRANT`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Essa descoberta inclui subregras que fornecem informações mais específicas sobre cada instância dessa descoberta. A lista a seguir mostra todas as subregras possíveis: `external_service_account_added_to_policy`, `external_member_added_to_policy`: detecção de privilégios concedidos a usuários do IAM e contas de serviço que não são membros da organização ou, se o Security Command Center estiver ativado apenas no projeto nível, seu projeto. Observação: se o Security Command Center estiver ativado no nível da organização em qualquer nível, o detector usará as políticas do IAM atuais de uma organização como contexto. Se a ativação do Security Command Center ocorrer apenas no projeto o detector usará apenas as políticas do IAM do projeto contexto. Se ocorrer uma concessão de IAM confidencial a um membro externo e houver menos de três políticas do IAM semelhantes a ela, esse detector vai gerar uma descoberta. Papéis sensíveis As descobertas são classificadas com gravidade Alta ou Média, dependendo da confidencialidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões confidenciais do IAM. `external_member_invited_to_policy`: detecta quando um membro externo é convidado como proprietário do projeto pela API `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: detecta quando o A permissão `setIAMPolicy` foi adicionada a um papel personalizado. `service_account_granted_sensitive_role_to_member`: detecta quando papéis privilegiados são concedidos aos membros por meio de uma conta de serviço. Essa sub-regra é acionadas por um subconjunto de papéis sensíveis que incluem apenas papéis e de armazenamento de dados. Para mais informações, consulte Permissões e papéis confidenciais do IAM. `policy_modified_by_default_compute_service_account`: detecta quando um conta de serviço padrão do Compute Engine é usada para modificar configurações do IAM.
Persistência: papel sensível concedido a uma conta não gerenciada (pré-lançamento)	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecção de um papel confidencial sendo concedido a um conta não gerenciada.
Persistência: novo método de API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecção do uso anômalo de serviços do Google Cloud por contas de serviço do IAM.
Persistência: nova região geográfica	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecção de contas de serviço e usuários do IAM que acessam o Google Cloud usando locais anômalos, com base na geolocalização dos endereços IP solicitantes. Essa descoberta não está disponível para ativações no nível do projeto.
Persistência: novo user agent	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Registros de auditoria do Cloud: Registros de atividades do administrador	Detecção de contas de serviço do IAM que acessam o Google Cloud usando user agents anômalos ou suspeitos. Essa descoberta não está disponível para ativações no nível do projeto.
Persistência: alternância de SSO	`TOGGLE_SSO_ENABLED`	Google Workspace: Auditoria do administrador	A configuração Ativar SSO (logon único) na conta de administrador foi desativada. Essa descoberta não está disponível para ativações no nível do projeto.
Persistência: configurações de SSO alteradas	`CHANGE_SSO_SETTINGS`	Google Workspace: Auditoria do administrador	As configurações de SSO da conta de administrador foram alteradas. Essa descoberta não está disponível para ativações no nível do projeto.
Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Registros de auditoria do Cloud: Registros de atividades do administrador	Detecta quando um resultado potencialmente anômalo conta de serviço personificada é usada para uma atividade administrativa.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para atividade de administrador	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Registros de auditoria do Cloud: Registros de atividade do administrador	Detecta quando uma solicitação delegada anomalia em várias etapas é encontrada para uma atividade administrativa.
Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para acesso aos dados	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Registros de auditoria do Cloud: Registros de acesso a dados	Detecta quando uma etapa anômala de várias etapas solicitação delegada para uma atividade de acesso a dados.
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Registros de auditoria do Cloud: Registros de atividades do administrador	Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade administrativa.
Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para acesso aos dados	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Registros de auditoria do Cloud: Registros de acesso a dados	Detecta quando um autor da chamada/falsificador de identidade potencialmente anômalo de uma cadeia de delegação é usado para uma atividade de acesso aos dados.
Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes.	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Para escalonar o privilégio, um usuário possivelmente mal-intencionado tentou modificar um objeto de controle de acesso baseado em papel (RBAC) `ClusterRole`, `RoleBinding` ou `ClusterRoleBinding` do papel sensível `cluster-admin` usando uma solicitação `PUT` ou `PATCH`.
Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre.	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Um usuário potencialmente malicioso criou um mestre do Kubernetes solicitação de assinatura de certificado (CSR), o que lhes dá `cluster-admin` acesso.
Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes.	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Para aumentar o privilégio, um usuário potencialmente malicioso tentou criar um novo Objeto `RoleBinding` ou `ClusterRoleBinding` para o `cluster-admin` de rede.
Escalonamento de privilégios: receba a CSR do Kubernetes com credenciais de inicialização comprometidas.	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Registros de auditoria do Cloud: Registros de acesso a dados do GKE	Uma pessoa mal-intencionada consultou uma solicitação de assinatura de certificado (CSR), com o comando `kubectl`, usando credenciais de inicialização comprometida.
Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes.	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Um usuário potencialmente malicioso criou um pod com contêineres privilegiados ou contêineres com recursos de escalonamento de privilégios. Um contêiner privilegiado tem o campo `privileged` definido como `true`. Um contêiner com recursos de escalonamento de privilégios tem o campo `allowPrivilegeEscalation` definido como `true`. Para mais informações, consulte a referência da API SecurityContext v1 core na documentação do Kubernetes.
Persistência: chave da conta de serviço criada	`SERVICE_ACCOUNT_KEY_CREATION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta a criação de uma chave de conta de serviço. As chaves de conta de serviço são credenciais de longa duração que aumentam o risco de acesso não autorizado aos recursos do Google Cloud.
Escalonamento de privilégios: script de desligamento global adicionado	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando um script de desligamento global é adicionado a um projeto.
Persistência: script de inicialização global adicionado	`GLOBAL_STARTUP_SCRIPT_ADDED`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Detecta quando um script de inicialização global é adicionado a um projeto.
Evasão de defesa: adição do papel de criador de token da conta de serviço no nível da organização	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Detecta quando o papel do IAM de Criador do token da conta de serviço é concedido no nível da organização.
Evasão de defesa: papel de criador de token de conta de serviço em nível de projeto adicionado	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o Papel do IAM de Criador de token da conta de serviço é concedido no nível do projeto.
Movimento lateral: execução de patches do SO pela conta de serviço	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Cloud Audit Logs Registros de auditoria da atividade do administrador do IAM	Detecta quando uma conta de serviço usa o Recurso de patch do Compute Engine para atualizar o sistema operacional de qualquer instância do Compute Engine em execução.
Movimento lateral: disco de inicialização modificado anexado à instância (prévia)	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Registros de auditoria do Cloud: Registros de auditoria do Compute Engine	Detecta quando um disco de inicialização é desconectado de uma instância do Compute Engine e conectado a outra, o que pode indicar uma tentativa maliciosa de comprometer o sistema usando um disco de inicialização modificado.
Acesso credencial: segredos acessados no namespace do Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Registros de auditoria do Cloud: Registros de acesso a dados do GKE	Detecta quando secrets ou tokens de conta de serviço são acessados por uma conta de serviço no namespace atual do Kubernetes.
Desenvolvimento de recursos: atividade ofensiva de distros de segurança	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta manipulações bem-sucedidas de recursos do Google Cloud devido a penetração conhecida ou distribuições de segurança ofensivas.
Escalonamento de privilégios: a nova conta de serviço é de proprietário ou editor	`SERVICE_ACCOUNT_EDITOR_OWNER`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma nova conta de serviço é criada com os papéis Editor ou Proprietário de um projeto.
Descoberta: ferramenta de coleta de informações usada	`INFORMATION_GATHERING_TOOL_USED`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Detecta o uso do ScoutSuite, uma ferramenta de auditoria de segurança na nuvem conhecida por ser usada por agentes de ameaça.
Escalonamento de privilégios: geração de token suspeito	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando a permissão `iam.serviceAccounts.implicitDelegation` é usados para gerar tokens de acesso de uma conta de serviço com mais privilégios.
Escalonamento de privilégios: geração de token suspeito	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma conta de serviço usa o `serviceAccounts.signJwt` para gerar um token de acesso para outra conta de serviço.
Escalonamento de privilégios: geração de token suspeito	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso entre projetos da permissão `iam.serviceAccounts.getOpenIdToken` do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Escalonamento de privilégios: geração de token suspeito	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso do `iam.serviceAccounts.getAccessToken` entre projetos permissão do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Escalonamento de privilégios: uso suspeito da permissão entre projetos	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta o uso do `datafusion.instances.create` entre projetos permissão do IAM. Essa descoberta não está disponível para ativações no nível do projeto.
Comando e controle: encapsulamento de DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Registros do Cloud DNS	Detecta o handshake da ferramenta de encapsulamento de DNS, Iodo.
Evasão de defesa: tentativa de mascaramento de rota da VPC	`VPC_ROUTE_MASQUERADE`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta a criação manual de rotas VPC mascaradas como padrão do Google Cloud permitindo o tráfego de saída para endereços IP externo.
Impacto: faturamento desativado	`BILLING_DISABLED_SINGLE_PROJECT`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o faturamento foi desativado para um projeto.
Impacto: faturamento desativado	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando o faturamento é desativado para vários projetos em uma organização em uma em um curto período de tempo.
Impacto: bloco de alta prioridade do firewall da VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma regra de firewall de VPC que bloqueia todos tráfego é adicionado na prioridade 0.
Impacto: exclusão em massa de regras do firewall da VPC ^{Temporariamente indisponível}	`VPC_FIREWALL_MASS_RULE_DELETION`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta a exclusão em massa de regras de firewall da VPC por contas que não são de serviço. Esta regra está temporariamente indisponível. Para monitorar atualizações nas regras de firewall, use os Registros de auditoria do Cloud.
Impacto: API de serviço desativada	`SERVICE_API_DISABLED`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma API de serviço do Google Cloud está desativada em um ambiente de produção.
Impacto: escalonamento automático de grupo de instâncias gerenciadas definido como máximo	`MIG_AUTOSCALING_SET_TO_MAX`	Registros de auditoria do Cloud: Registros de auditoria da atividade do administrador do IAM	Detecta quando um grupo gerenciado de instâncias é configurados para o escalonamento automático máximo.
Descoberta: chamada de API não autorizada de conta de serviço	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Registros de auditoria do Cloud: Registros de auditoria de atividade do administrador do IAM	Detecta quando uma conta de serviço faz uma chamada de API não autorizada entre projetos.
Evasão de defesa: sessões anônimas receberam acesso de administrador ao cluster	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Detecta a criação de um controle de acesso baseado em função (RBAC) o objeto `ClusterRoleBinding` adicionando o `root-cluster-admin-binding` para usuários anônimos.
Acesso inicial: recurso anônimo do GKE criado na Internet (pré-lançamento)	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Detecta eventos de criação de recursos de usuários da Internet efetivamente anônimos.
Acesso inicial: recurso do GKE modificado anonimamente pela Internet (pré-lançamento)	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Detecta eventos de manipulação de recursos de usuários da Internet efetivamente anônimos.
Escalonamento de privilégios: usuários efetivamente anônimos receberam acesso ao cluster do GKE (pré-lançamento)	`GKE_ANONYMOUS_USERS_GRANTED_ACCESS`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém criou uma vinculação do RBAC que faz referência a um dos seguintes usuários ou grupos: `system:anonymous` `system:unauthenticated` `system:authenticated` Esses usuários e grupos são efetivamente anônimos e devem ser evitados ao criar vinculações de papéis ou de funções de cluster para qualquer papel do RBAC. Verifique se a vinculação é necessária. Se não for necessário, remova a vinculação.
Execução: execução ou anexamento suspeito a um pod do sistema (pré-lançamento)	`GKE_SUSPICIOUS_EXEC_ATTACH`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém usou os comandos `exec` ou `attach` para receber um shell ou executar um comando em um contêiner em execução no namespace `kube-system`. Esses métodos às vezes são usados para fins legítimos de depuração. No entanto, O namespace `kube-system` é destinado a objetos do sistema criados pelo Kubernetes, e a execução inesperada do comando ou a criação do shell devem ser revisadas.
Escalonamento de privilégios: carga de trabalho criada com uma montagem de caminho de host sensível (pré-lançamento)	`GKE_SENSITIVE_HOSTPATH`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém criou uma carga de trabalho que contém uma montagem de volume `hostPath` para um caminho confidencial no sistema de arquivos do nó host. O acesso a esses caminhos no sistema de arquivos do host pode ser usado para acessar informações privilegiadas ou sensíveis no nó e para escapar do contêiner. Se possível, não permita nenhum volume `hostPath` na sua cluster.
Escalonamento de privilégios: carga de trabalho com shareProcessNamespace ativado (prévia)	`GKE_SHAREPROCESSNAMESPACE_POD`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém implantou uma carga de trabalho com a opção `shareProcessNamespace` definida como `true`, permitindo que todos os contêineres compartilhem o mesmo namespace de processo do Linux. Isso poderia permitir que um contêiner não confiável ou comprometido aumentasse privilégios acessar e controlar variáveis de ambiente, memória e outros dados sensíveis de processos em execução em outros contêineres.
Escalonamento de privilégios: ClusterRole com verbos privilegiados (pré-lançamento)	`GKE_CLUSTERROLE_PRIVILEGED_VERBS`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém criou um RBAC `ClusterRole` que contém `bind`, `escalate` ou `impersonate`. Um sujeito vinculado a com esses verbos pode representar outros usuários com privilégios mais elevados, vincular-se a `Roles` ou `ClusterRoles` adicionais que contêm permissões ou modificar as próprias permissões ClusterRole. Isso pode levar a essas indivíduos recebendo privilégios de administrador do cluster.
Escalonamento de privilégios: ClusterRoleBinding para função privilegiada (pré-lançamento)	`GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém criou um RBAC `ClusterRoleBinding` que referencia a `system:controller:clusterrole-aggregation-controller` `ClusterRole` Esse `ClusterRole` padrão tem verbo `escalate`, que permite aos sujeitos modificar os próprios privilégios o que permite o escalonamento de privilégios.
Evasão de defesa: solicitação de assinatura de certificado (CSR, na sigla em inglês) excluída manualmente (Prévia)	`GKE_MANUALLY_DELETED_CSR`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém excluiu manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). Os CSRs são automaticamente removidos por um controlador de coleta de lixo, mas usuários maliciosos podem excluir manualmente para evitar a detecção. Se a CSR excluída era de um certificado aprovado e emitido, o usuário potencialmente malicioso agora tem um método de autenticação adicional para acessar o cluster. As permissões associadas ao certificado variam dependendo do assunto incluído, mas podem ser altamente privilegiadas. O Kubernetes não oferece suporte revogação de certificados.
Acesso à credencial: falha na tentativa de aprovar a solicitação de assinatura de certificado do Kubernetes (CSR) (pré-lançamento)	`GKE_APPROVE_CSR_FORBIDDEN`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém tentou aprovar manualmente uma solicitação de assinatura de certificado (CSR), mas a ação falhou. A criação de um certificado para autenticação de cluster é um método comum de acesso persistente a um cluster comprometido. As permissões associados ao certificado variam de acordo com o assunto incluído, mas podem ser altamente privilegiado.
Acesso à credencial: solicitação de assinatura de certificado (CSR, na sigla em inglês) aprovada manualmente do Kubernetes (Prévia)	`GKE_CSR_APPROVED`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém aprovou manualmente uma solicitação de assinatura de certificado (CSR, na sigla em inglês). Como criar um certificado para autenticação de cluster é um método comum para invasores criarem acesso persistente para um cluster comprometido. As permissões associadas ao certificado variam dependendo em qual assunto incluíram, mas podem ser altamente privilegiados.
Execução: pod do Kubernetes criado com possíveis argumentos de shell reverso (pré-lançamento)	`GKE_REVERSE_SHELL_POD`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém criou um pod com comandos ou argumentos geralmente associados a um shell reverso. Os invasores usam shells reversos para expandir ou manter o acesso inicial a um cluster e executar comandos arbitrários.
Evasão de defesa: possível mascaramento de pod do Kubernetes (Pré-lançamento)	`GKE_POD_MASQUERADING`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém implantou um pod com uma convenção de nomenclatura semelhante às cargas de trabalho padrão que o GKE cria para a operação normal do cluster. Essa técnica é chamada mascaramento.
Escalonamento de privilégios: nomes suspeitos de contêineres do Kubernetes – exploração e escape (Prévia)	`GKE_SUSPICIOUS_EXPLOIT_POD`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém implantou um pod com uma convenção de nomenclatura semelhante a ferramentas comuns usadas para escapar de contêineres ou para executar outros ataques no cluster.
Impacto: nomes suspeitos de contêineres do Kubernetes: mineração de moedas (prévia)	`GKE_SUSPICIOUS_CRYPTOMINING_POD`	Registros de auditoria do Cloud: Registros de atividade do administrador do GKE	Alguém implantou um pod com uma convenção de nomenclatura semelhante a dos mineradores de moedas de criptomoedas comuns. Isso pode ser uma tentativa de um invasor que conseguiu o acesso inicial cluster para usar os recursos do cluster na mineração de criptomoedas.

Módulos personalizados do Event Threat Detection

Além das regras de detecção integradas, o Event Threat Detection fornece modelos de módulos que podem ser usados para criar regras de detecção personalizadas. Para mais informações, consulte Visão geral de módulos personalizados para detecção de ameaças a eventos.

Para criar regras de detecção para as quais não há modelos de módulo personalizados disponíveis, é possível exportar os dados de registro para o BigQuery, e executar consultas SQL únicas ou recorrentes que capturem seus modelos de ameaça.

Alterações inseguras no Grupo do Google

Nesta seção, explicamos como a Detecção de ameaças a eventos usa os registros do Google Workspace. Registros de auditoria do Cloud e políticas do IAM para detectar Grupos do Google não seguros mudanças. A detecção de mudanças nos Grupos do Google só é possível quando você ativa o Security Command Center no nível da organização.

Os clientes do Google Cloud podem usar os Grupos do Google para gerenciar papéis e permissões para membros das organizações ou aplicar políticas de acesso a coleções de usuários. Em vez de conceder papéis diretamente aos membros, os administradores podem conceder papéis e permissões aos Grupos do Google e, em seguida, adicionar membros a grupos específicos. Os membros do grupo herdam todos os papéis e permissões de um grupo, o que permite que os membros acessem recursos e serviços específicos.

Os Grupos do Google são uma maneira conveniente de gerenciar o controle de acesso em escala, mas eles podem representar um risco se usuários externos de fora da organização ou do domínio adicionados a grupos privilegiados, que são grupos concedidos permissões ou papéis confidenciais. Controle de papéis sensíveis acesso a configurações de segurança e rede, registros e informações de (PII) e não são recomendadas para participantes de grupos externos.

Em grandes organizações, os administradores podem não saber quando membros externos são adicionados a grupos privilegiados. Os Registros de auditoria do Cloud gravam atribuições de papéis a grupos, mas esses eventos de registro não contêm informações sobre os membros do grupo, que podem ocultar o possível impacto de algumas mudanças no grupo.

Se você compartilha seus registros do Google Workspace com o Google Cloud, a detecção de ameaças a eventos monitora seus fluxos de registro em busca de novos participantes adicionados aos Grupos do Google da sua organização. Como os registros estão no nível da organização, o Event Threat Detection só verifica os registros do Google Workspace quando você ativa o Security Command Center no nível da organização. O Event Threat Detection não consegue verificar esses registros quando você ativa o Security Command Center para envolvidos no projeto.

A detecção de ameaças a eventos identifica os membros externos do grupo e, usando os Registros de auditoria do Cloud, analisa os papéis do IAM de cada grupo afetado para verificar a grupos recebem papéis sensíveis. Essas informações são usadas para detectar as seguintes alterações inseguras em Grupos do Google privilegiados:

Participantes externos adicionados a grupos privilegiados
Permissões ou funções confidenciais concedidas a grupos com membros externos
Grupos privilegiados que foram alterados para permitir que qualquer pessoa do público geral participe

O Event Threat Detection grava as descobertas no Security Command Center. As descobertas contêm os endereços de e-mail dos membros externos recém-adicionados, os membros internos do grupo que iniciam eventos, os nomes dos grupos e os papéis confidenciais associados aos grupos. Use as informações para remover membros externos dos grupos ou revogar papéis confidenciais concedidos a grupos.

Para mais informações sobre as descobertas de detecção de ameaças a eventos, consulte Regras de detecção de ameaças a eventos.

Papéis e permissões confidenciais do IAM

Nesta seção, explicamos como a Detecção de ameaças a eventos define papéis do IAM. As detecções, como alterações na concessão anômala do IAM e em grupo não seguro do Google, só descobrirão as alterações se elas envolverem papéis de alta ou média confidencialidade. A confidencialidade dos papéis afeta a gravidade atribuída às descobertas.

Os papéis de alta confidencialidade controlam serviços essenciais nas organizações, incluindo faturamento, configurações de firewall e geração de registros. As descobertas que correspondem a esses papéis são classificadas como de alta gravidade.
Os papéis com média confidencialidade têm permissões de edição, que permitem que os principais façam alterações nos recursos do Google Cloud, e permissões de visualização e execução em serviços de armazenamento de dados, que geralmente contêm dados confidenciais. A gravidade atribuída às descobertas depende do recurso:
- Se os papéis de média confidencialidade forem concedidos no nível da organização, as descobertas serão classificadas como de alta gravidade.
- Se os papéis de confidencialidade média forem concedidos em níveis mais baixos da hierarquia de recursos (pastas, projetos e buckets, entre outros), as descobertas serão classificadas como de média gravidade.

A concessão desses papéis confidenciais é considerada perigosa se o beneficiário for um membro externo ou uma identidade anormal, como um principal que está inativo há muito tempo.

Conceder papéis confidenciais a membros externos cria uma possível ameaça porque eles podem ser usados indevidamente para comprometer contas e exfiltrar dados.

Encontre categorias que usam esses papéis confidenciais:

Persistência: concessão anômala do IAM
- Subregra: external_service_account_added_to_policy
- Subregra: external_member_added_to_policy
Acesso às credenciais: papel confidencial concedido ao grupo híbrido
Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa

Encontre categorias que usam um subconjunto dos papéis confidenciais:

Persistência: concessão anômala do IAM
- Subregra: service_account_granted_sensitive_role_to_member

A sub-regra service_account_granted_sensitive_role_to_member geralmente segmenta membros externos e internos. Portanto, usa apenas um subconjunto de papéis confidenciais, conforme explicado em Regras do Event Threat Detection.

Categoria	Papel	Descrição
Papéis básicos: contêm milhares de permissões em todos os serviços do Google Cloud.	`roles/owner`	Papéis básicos
	`roles/editor`	Papéis básicos
Papéis de segurança: controlar o acesso às configurações de segurança	`roles/cloudkms.*`	Todos os papéis do Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Tudo Papéis do Web Security Scanner
	`roles/dlp.*`	Todos os papéis de proteção de dados confidenciais
	`roles/iam.*`	Tudo Papéis do IAM
	`roles/secretmanager.*`	Todos os papéis do Secret Manager
	`roles/securitycenter.*`	Todos os papéis do Security Command Center
Papéis de registro: controlam o acesso aos registros de uma organização	`roles/errorreporting.*`	Tudo Papéis do Error Reporting
	`roles/logging.*`	Todos os papéis do Cloud Logging
	`roles/stackdriver.*`	Todos os papéis do Cloud Monitoring
Papéis de informações pessoais: controlam o acesso a recursos que contêm informações de identificação pessoal, incluindo informações bancárias e de contato	`roles/billing.*`	Tudo Papéis do Cloud Billing
	`roles/healthcare.*`	Tudo Papéis da API Cloud Healthcare
	`roles/essentialcontacts.*`	Todos os papéis de Contatos Essenciais
Papéis de rede: controlam o acesso às configurações de rede da organização	`roles/dns.*`	Todos os papéis do Cloud DNS
	`roles/domains.*`	Tudo Papéis do Cloud Domains
	`roles/networkconnectivity.*`	Tudo Papéis do Network Connectivity Center
	`roles/networkmanagement.*`	Tudo Papéis do Network Connectivity Center
	`roles/privateca.*`	Tudo Papéis do Certificate Authority Service
Papéis de serviço: controlam o acesso aos recursos de serviço no Google Cloud.	`roles/cloudasset.*`	Todos os papéis do Inventário de recursos do Cloud
	`roles/servicedirectory.*`	Tudo Papéis do Diretório de serviços
	`roles/servicemanagement.*`	Tudo Papéis do Service Management
	`roles/servicenetworking.*`	Todos os papéis da Rede de serviços
	`roles/serviceusage.*`	Todos os papéis do Service Usage
Papéis do Compute Engine: controlar o acesso a recursos virtuais que executam jobs de longa duração e são associadas a regras regras	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Todos os administradores do Compute Engine Editor

Categoria Papel Descrição

Categoria	Papel	Descrição
Papéis de edição: papéis do IAM que incluem permissões para fazer alterações nos recursos do Google Cloud.	Exemplos: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Os nomes de papéis geralmente terminam com títulos como Administrador, Proprietário, Editor ou Writer. Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade
Papéis de armazenamento de dados: papéis do IAM que incluem permissões para visualizar e executar serviços de armazenamento de dados	Exemplos: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade
Todos os papéis com média confidencialidade Aprovação de acesso `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Ações `roles/actions.Admin` AI Platform. `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` Gateway de API `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorização binária `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Beta Funções do Cloud Run `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run (em inglês) `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Análise de artefatos `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Metastore do Dataproc `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Hub do Google Kubernetes Engine `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Serviço gerenciado para Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore para Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Monitoramento de configuração de operações `roles/opsconfigmonitoring.resourceMetadata.writer` Serviço de política da organização `roles/axt.admin` `roles/orgpolicy.policyAdmin` Outros papéis `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Beacon de proximidade `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recomendações `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Recomendador `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager (em inglês) `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Configurações de recursos `roles/resourcesettings.admin` Acesso VPC sem servidor `roles/vpcaccess.admin` Gestão de consumidores de serviço `roles/serviceconsumermanagement.tenancyUnitsAdmin` Serviço de transferência do Cloud Storage `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebooks do Vertex AI Workbench gerenciados pelo usuário `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

Papéis de edição: papéis do IAM que incluem permissões para fazer alterações nos recursos do Google Cloud.

Exemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Os nomes de papéis geralmente terminam com títulos como Administrador, Proprietário, Editor ou Writer.

Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade

Papéis de armazenamento de dados: papéis do IAM que incluem permissões para visualizar e executar serviços de armazenamento de dados

Exemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Expanda o nó na última linha da tabela para ver Todos os papéis com média confidencialidade

Todos os papéis com média confidencialidade

Aprovação de acesso

roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager

roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Ações

roles/actions.Admin

AI Platform.

roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

Gateway de API

roles/apigateway.admin

App Engine

roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML

roles/automl.admin
roles/automl.editor

BigQuery

roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorização binária

roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable

roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build

roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager

roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints

roles/endpoints.portalAdmin^Beta

Funções do Cloud Run

roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT

roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences

roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring

roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run (em inglês)

roles/run.admin
roles/run.developer

Cloud Scheduler

roles/cloudscheduler.admin

Cloud Source Repositories

roles/source.admin
roles/source.writer

Spanner

roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage

roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL

roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks

roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU

tpu.admin

Cloud Trace

roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine

roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Análise de artefatos

roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog

roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow

roles/dataflow.admin
roles/dataflow.developer

Dataproc

roles/dataproc.admin
roles/dataproc.editor

Metastore do Dataproc

roles/metastore.admin
roles/metastore.editor

Datastore

roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc

roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore

roles/file.editor

Firebase

roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers

roles/gameservices.admin

Google Cloud VMware Engine

vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Hub do Google Kubernetes Engine

roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace

roles/gsuiteaddons.developer

Identity-Aware Proxy

roles/iap.admin
roles/iap.settingsAdmin

Serviço gerenciado para Microsoft Active Directory

roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore para Redis

roles/redis.admin
roles/redis.editor

API On-Demand Scanning

roles/ondemandscanning.admin

Monitoramento de configuração de operações

roles/opsconfigmonitoring.resourceMetadata.writer

Serviço de política da organização

roles/axt.admin
roles/orgpolicy.policyAdmin

Outros papéis

roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Beacon de proximidade

roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub

roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite

roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA

roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recomendações

roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recomendador

roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager (em inglês)

roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Configurações de recursos

roles/resourcesettings.admin

Acesso VPC sem servidor

roles/vpcaccess.admin

Gestão de consumidores de serviço

roles/serviceconsumermanagement.tenancyUnitsAdmin

Serviço de transferência do Cloud Storage

roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI

roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebooks do Vertex AI Workbench gerenciados pelo usuário

roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows

roles/workflows.admin
roles/workflows.editor

Tipos de registro e requisitos de ativação

Esta seção lista os registros usados pela Detecção de ameaças a eventos, além das ameaças que a detecção de ameaças a eventos procura em cada registro e o que você precisa para ativar cada registro.

É necessário ativar um registro para o Event Threat Detection apenas se todas as seguintes condições forem verdadeiras:

Você está usando o produto ou serviço que grava no registro.
É preciso proteger o produto ou serviço contra as ameaças detectadas pelo Event Threat Detection no registro.
É um registro de auditoria de acesso a dados ou outro registro que fica desativado por padrão.

Algumas ameaças podem ser detectadas em vários registros. Se o Event Threat Detection detectar uma ameaça em um registro que já esteja ativado, não será necessário ativar outro registro para detectar essa ameaça.

Se um registro não estiver listado nesta seção, o Event Threat Detection não o verificará, mesmo que esteja ativado. Para mais informações, consulte Verificações de registro possivelmente redundantes.

Como descrito na tabela a seguir, alguns tipos de registro são apenas disponíveis no nível da organização. Se você ativar o Security Command Center no para envolvidos no projeto, a Detecção de ameaças a eventos não verifica esses registros e não produz nenhuma descoberta.

Verificações de registros possivelmente redundantes

A detecção de ameaças a eventos oferece detecção de malware na rede ao verificar qualquer um destes registros:

Geração de registros do Cloud DNS
Geração de registros do Cloud NAT
Registro de regras de firewall
Registros de fluxo de VPC

Se você já estiver usando a geração de registros do Cloud DNS, a detecção de ameaças a eventos poderá detectar malware usando a resolução de domínio. Para a maioria dos usuários, os registros do Cloud DNS são suficientes para a detecção de malware na rede.

Se você precisar de outro nível de visibilidade além da resolução de domínio, ative os registros de fluxo da VPC, mas esses registros podem gerar custos. Para gerenciar recomendamos aumentar o intervalo de agregação para 15 minutos reduzir a taxa de amostragem para entre 5% e 10%, mas há uma compensação entre recall (amostra maior) e gerenciamento de custos (taxa de amostragem menor).

Se você já estiver usando a geração de registros de regras de firewall ou o Cloud NAT são úteis no lugar dos registros de fluxo de VPC.

Não é preciso ativar mais de um destes: geração de registros do Cloud NAT, geração de registros de regras de firewall ou registros de fluxo da VPC.

Registros que você precisa ativar

Esta seção lista os registros do Cloud Logging e do Google Workspace que podem ser ativados ou configurados para aumentar o número de ameaças que o Event Threat Detection pode detectar.

Determinadas ameaças, como aquelas feitas pela personificação anômala ou de uma conta de serviço, pode ser encontrada na maioria dos registros de auditoria. Para esses tipos de ameaças, você determina quais registros precisam ser ativados com base nos produtos e serviços que você está usando.

A tabela a seguir mostra registros específicos que você precisa ativar para ameaças que podem ser detectadas apenas em determinados tipos de registro.

Tipo de registro	Ameaças detectadas	Configuração obrigatória
Geração de registros do Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Ativar a geração de registros do Cloud DNS
Registros do Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Ativar a geração de registros do Cloud NAT
Geração de registros de regras de firewall	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Ative a geração de registros de regras de firewall.
Registros de auditoria de acesso a dados do Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Ative os registros de auditoria de acesso a dados do Logging para GKE
Registros de auditoria do administrador do Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Compartilhar registros de auditoria do administrador do Google Workspace com o Cloud Logging Não é possível verificar esse tipo de registro em ativações no nível do projeto.
Registros de auditoria de login do Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Compartilhar os registros de auditoria de login do Google Workspace com Cloud Logging (em inglês) Não é possível verificar esse tipo de registro em ativações no nível do projeto.
Registros de serviço de back-end do balanceador de carga de aplicativo externo	`Initial Access: Log4j Compromise Attempt`	Ativar a geração de registros do balanceador de carga de aplicativo externo
Registros de auditoria de acesso a dados do Cloud SQL MySQL	`Exfiltration: Cloud SQL Data Exfiltration`	Ative os registros de auditoria de acesso a dados do Logging para Cloud SQL para MySQL
Registros de auditoria de acesso a dados do Cloud SQL para PostgreSQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Ative os registros de auditoria de acesso a dados do Logging para o Cloud SQL para PostgreSQL. Para detectar a ameaça `Exfiltration: Cloud SQL Over-Privileged Grant`, você também precisa ativar a extensão pgAudit.
Registros de auditoria de acesso a dados do AlloyDB para PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant`	Ative os registros de auditoria de acesso a dados do Logging para o AlloyDB para PostgreSQL Para detectar as ameaças `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` e `Privilege Escalation: AlloyDB Over-Privileged Grant`, ative a extensão pgAudit.
Registros de auditoria de acesso a dados do IAM	`Discovery: Service Account Self-Investigation`	Ativar os registros de auditoria de acesso a dados do Logging para o Resource Manager
Registros de auditoria de acesso a dados do SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Ativar os registros de auditoria de acesso a dados do Logging para o Cloud SQL para SQL Server
Registros de auditoria de acesso a dados genéricos	`Initial Access: Leaked Service Account Key Used` `Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Ative os registros de auditoria de acesso a dados do Logging.
authlogs/authlog em máquinas virtuais	`Brute force SSH`	Instale o Agente de operações ou o Agente do Logging legado nos hosts de VM.
Registros de fluxo de VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP` `Outgoing DoS`	Ativar os registros de fluxo da VPC
Registros de auditoria de backup e DR	`Data destruction: Google Cloud Backup and DR expire all images` `Inhibit system recovery: Google Cloud Backup and DR delete policy` `Inhibit system recovery: Google Cloud Backup and DR delete template` `Inhibit system recovery: Google Cloud Backup and DR delete profile` `Inhibit system recovery: Google Cloud Backup and DR delete storage pool` `Inhibit system recovery: deleted Google Cloud Backup and DR host` `Data destruction: Google Cloud Backup and DR expire image` `Data destruction: Google Cloud Backup and DR remove appliance` `Inhibit system recovery: Google Cloud Backup and DR remove plan` `Impact: Google Cloud Backup and DR reduce backup expiration` `Impact: Google Cloud Backup and DR reduce backup frequency`	Ativar os registros de auditoria de backup e DR

Registros que estão sempre ativados

A tabela a seguir lista os registros do Cloud Logging que você não precisa exibir ou configurar. Esses registros estão sempre ativados e são verificados automaticamente pelo Event Threat Detection.

Tipo de registro	Ameaças detectadas	Configuração obrigatória
Registros de acesso a dados para BigQueryAuditMetadata	Exfiltração: exfiltração de dados do BigQuery Exfiltração: extração de dados do BigQuery Exfiltração: dados do BigQuery para o Google Drive	Nenhum
Registros de auditoria de atividade do administrador do Google Kubernetes Engine (GKE)	Escalonamento de privilégios: mudanças em objetos sensíveis com RBAC do Kubernetes. Escalonamento de privilégios: criação de vinculações sensíveis do Kubernetes. Escalonamento de privilégios: lançamento de contêiner com privilégios do Kubernetes. Escalonamento de privilégios: crie uma CSR do Kubernetes para o certificado mestre. Evasão de defesa: sessões anônimas receberam acesso de administrador ao cluster Acesso inicial: recurso anônimo do GKE criado na Internet (pré-lançamento) Acesso inicial: recurso do GKE modificado anonimamente pela Internet (pré-lançamento) Escalonamento de privilégios: usuários efetivamente anônimos receberam acesso ao cluster do GKE (pré-lançamento). Execução: execução suspeita ou anexar a um pod do sistema (pré-lançamento) Escalonamento de privilégios: carga de trabalho criada com um caminho de host confidencial Montar (pré-lançamento) Escalonamento de privilégios: carga de trabalho com shareProcessNamespace ativado (Prévia) Escalonamento de privilégios: ClusterRoles com verbos privilegiados (Prévia) Escalonamento de privilégios: ClusterRoleBinding para papel privilegiado (Prévia) Evasão de defesa: solicitação de assinatura de certificado (CSR) excluída manualmente (pré-lançamento) Acesso às credenciais: falha na tentativa de aprovar a solicitação de assinatura de certificado (CSR) do Kubernetes (Pré-lançamento). Acesso a credenciais: assinatura de certificado do Kubernetes aprovada manualmente Solicitação (CSR) (pré-lançamento) Execução: pod do Kubernetes criado com possível shell reverso Argumentos (pré-lançamento) Evasão de defesa: possível mascaramento de pods do Kubernetes (pré-lançamento) Escalonamento de privilégios: nomes suspeitos de contêineres do Kubernetes - Exploitation and Escape (Pré-lançamento) Impacto: nomes de contêineres do Kubernetes suspeitos: mineração de moedas (Visualização)	Nenhum
Registros de auditoria da atividade do administrador do IAM	Acesso às credenciais: papel confidencial concedido ao grupo híbrido Escalonamento de privilégios: papel confidencial concedido a conta de serviço inativa Persistência: papel de representação concedido a uma conta de serviço inativa Persistência: concessão anômala de IAM (pré-lançamento) Persistência: conta não gerenciada com papel confidencial concedido	Nenhum
Registros de atividade do administrador do MySQL	Exfiltração: backup de restauração do Cloud SQL para organização externa	Nenhum
Registros de atividades do administrador do PostgreSQL	Exfiltração: backup de restauração do Cloud SQL para organização externa	Nenhum
Registros de atividade do administrador do SQL Server	Exfiltração: backup de restauração do Cloud SQL para organização externa	Nenhum
Registros genéricos de auditoria de atividades do administrador	Acesso inicial: ação da conta de serviço inativa> Acesso inicial: criação de chave em uma conta de serviço inativa Acesso inicial: permissões negadas em excesso Acesso inicial: chave da conta de serviço vazada usada Persistência: chave SSH adicionada pelo administrador do Compute Engine Persistência: script de inicialização adicionado pelo administrador do Compute Engine Persistência: novo método de API Persistência: nova região geográfica Persistência: novo user agent Escalonamento de privilégios: falsificação de identidade anômala de conta de serviço para atividade de administrador Escalonamento de privilégios: delegação anômala de conta de serviço em várias etapas para "Atividade do administrador" Escalonamento de privilégios: falsificador de identidade anômalo de conta de serviço para atividade de administrador Movimento lateral: disco de inicialização modificado anexado à instância (Prévia)	Nenhum
Registros de auditoria do VPC Service Controls	Evasão de defesa: modificar o VPC Service Control (pré-lançamento)	Nenhum

A seguir

Saiba mais sobre usando a detecção de ameaças a eventos.
Saiba como investigar e desenvolver planos de resposta em busca de ameaças.