Event Threat Detection 概览

什么是 Event Threat Detection?

Event Threat Detection 是 Security Command Center 付费级的内置服务,可持续监控您的组织,并以近乎实时的方式识别系统内的威胁。Event Threat Detection 会定期更新检测程序,以识别新出现的云规模的威胁。

Event Threat Detection 的工作原理

Event Threat Detection 可监控您组织的 Cloud Logging 流和 Google Workspace 日志,并在项目可用时使用这些日志。Cloud Logging 包含会创建、读取或修改资源配置或元数据的 API 调用以及其他操作的日志条目。Google Workspace 日志会跟踪您网域中的用户登录情况,并提供在 Google Workspace 管理控制台中执行的操作的记录。

日志条目包含 Event Threat Detection 用于快速检测威胁的状态和事件信息。Event Threat Detection 会应用检测逻辑和专有威胁情报(包括 Tripwire 指示器匹配、时段分析、高级分析、机器学习和异常值检测),以近乎实时的方式识别威胁。

当 Event Threat Detection 检测到威胁时,它会将发现结果写入 Security Command Center 和 Cloud Logging 项目。从 Cloud Logging 和 Google Workspace 日志记录中,您可以使用 Pub/Sub 将发现结果导出到其他系统,并使用 Cloud Functions 对其进行处理。

此外,您还可以使用 Chronicle 来调查一些发现结果。Chronicle 是一项 Google Cloud 服务,可让您以统一的时间调查威胁并透视相关实体。如需了解如何将发现结果发送到 Chronicle,请参阅调查 Chronicle 中的发现结果

您查看和修改发现结果和日志的能力取决于您被授予的 Identity and Access Management (IAM) 角色。如需详细了解 Security Command Center IAM 角色,请参阅访问权限控制

Event Threat Detection 规则

规则定义了 Event Threat Detection 检测到的威胁类型,以及让检测器工作所必须启用的日志类型。管理员活动审核日志始终会写入;您无法配置或停用它们。

Event Threat Detection 包含以下默认规则:

显示名 API 名称 日志源类型 说明
主动扫描:Log4j 易受 RCE 攻击 不可用 Cloud DNS 日志
注意:您必须启用 Cloud DNS 日志记录才能使用此规则。
通过识别由受支持 Log4j 漏洞扫描工具启动的经过去混淆处理的网域的 DNS 查询,检测活跃的 Log4j 漏洞。
SSH 暴力破解 BRUTE_FORCE_SSH syslog 检测主机上的 SSH 暴力破解能力。
凭据访问:添加到特权群组的外部成员 EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace 日志
登录审核
权限
DATA_READ

检测外部成员添加到特权 Google 群组(被授予敏感角色或权限的群组)的时间。仅当组尚未包含与新成员相同的组织中的其他外部成员时,才会生成发现结果。如需了解详情,请参阅不安全的 Google 群组更改

发现结果的分类为,具体取决于与组更改相关的角色的敏感性。如需了解详情,请参阅敏感 IAM 角色和权限

凭据访问:向公众开放的特权群组 PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
管理员审核
权限:
DATA_READ

检测特权 Google 群组(授予了敏感角色或权限的群组)何时变为可供公众访问。如需了解详情,请参阅不安全的 Google 群组更改

发现结果的分类为,具体取决于与组更改相关的角色的敏感性。如需了解详情,请参阅敏感 IAM 角色和权限

凭据访问:授予混合群组的敏感角色 SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs
管理员活动日志

检测何时向外部成员授予 Google 群组的敏感角色。如需了解详情,请参阅不安全的 Google 群组更改

发现结果的分类为,具体取决于与组更改相关的角色的敏感性。如需了解详情,请参阅敏感 IAM 角色和权限

发现:服务帐号自行调查 SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs
Resource Manager 数据访问日志
权限:
DATA_READ

检测用于调查与同一服务帐号关联的角色和权限的 IAM 服务帐号凭据。

敏感角色 预览版

发现结果的严重程度分为,具体取决于授予的角色的敏感度。如需了解详情,请参阅敏感 IAM 角色和权限

评估:从匿名代理访问 ANOMALOUS_ACCESS Cloud Audit Logs
管理员活动日志
检测源自匿名代理 IP 地址(例如 Tor IP 地址)的 Google Cloud 服务修改。
数据渗漏:BigQuery 数据渗漏 DATA_EXFILTRATION_BIG_QUERY Cloud Audit LogsBigQueryAuditMetadata 数据访问日志
权限:
DATA_READ
检测以下场景:

  • 检测受保护组织所拥有并保存在组织外部的资源,包括复制或转移操作。
  • 尝试访问受 VPC Service Controls 保护的 BigQuery 资源。
渗漏:BigQuery 数据提取
预览版
DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud Audit LogsBigQueryAuditMetadata 数据访问日志
权限:
DATA_READ
检测以下场景:

  • 受保护的组织所拥有的 BigQuery 资源通过提取操作保存到组织外部的 Cloud Storage 存储桶中。
  • 受保护的组织所拥有的 BigQuery 资源通过提取操作保存到该组织拥有的可公开访问的 Cloud Storage 存储桶中。
渗漏:Cloud SQL 数据渗漏
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud Audit Logs MySQL 数据访问日志
PostgreSQL 数据访问日志
SQL Server 数据访问日志
检测以下场景:

  • 活动实例数据导出到组织外部的 Cloud Storage 存储桶。
  • 活动实例数据导出到组织拥有且可公开访问的 Cloud Storage 存储桶。
防御受影响:强身份验证被停用 ENFORCE_STRONG_AUTHENTICATION Google Workspace:
管理员审核
您的组织已停用两步验证。
防御受影响:两步验证被停用 2SV_DISABLE Google Workspace 日志
登录审核
权限
DATA_READ
用户停用了两步验证。
初始访问权限:帐号因遭到盗用而被停用 ACCOUNT_DISABLED_HIJACKED Google Workspace 日志
登录审核
权限
DATA_READ
用户的帐号因可疑活动而被暂停。
初始访问权限:因密码泄露而被停用 ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace 日志
登录审核
权限
DATA_READ
由于检测到密码泄露,用户的帐号已被停用。
初始访问权限:受政府支持的攻击 GOV_ATTACK_WARNING Google Workspace 日志
登录审核
权限
DATA_READ
政府支持的攻击者可能尝试破解了用户帐号或计算机。
初始访问权限:Log4j 入侵尝试 不可用 Cloud Load Balancing 日志
Cloud HTTP 负载均衡器
注意:您必须启用 HTTP(S) 负载均衡日志记录才能使用此规则。
检测标头或网址参数中的 Java 命名和目录接口 (JNDI) 查找。这些查找可能表明 Log4Shell 被漏洞利用的尝试。这些发现结果的严重程度较低,因为它们仅表明检测或漏洞利用尝试,而非漏洞或危害。
此规则始终处于启用状态。
初始访问权限:可疑登录被阻止 SUSPICIOUS_LOGIN Google Workspace 日志
登录审核
权限
DATA_READ
检测到并阻止了用户帐号的可疑登录。
恶意软件错误网域 MALWARE_BAD_DOMAIN Cloud DNS 日志
管理员活动日志
根据与已知恶意网域的连接或查询内容的恶意软件检测恶意软件。
恶意软件错误 IP MALWARE_BAD_IP VPC 流日志
防火墙规则日志
Cloud NAT 日志
根据与已知不良 IP 地址的连接检测恶意软件。
恶意软件:挖矿网域错误 CRYPTOMINING_POOL_DOMAIN Cloud DNS 日志
管理员活动日志
根据与已知挖矿网域的连接或查询挖掘加密内容。
恶意软件:挖矿 IP 错误 CRYPTOMINING_POOL_IP VPC 流日志
防火墙规则日志
Cloud NAT 日志
根据与已知挖矿 IP 地址的连接检测加密。
传出 DoS OUTGOING_DOS VPC 流日志 检测拒绝服务攻击流量传出事件。
持久性:Compute Engine 管理员添加了 SSH 密钥 GCE_ADMIN_ADD_SSH_KEY Cloud Audit Logs
管理员活动日志
检测对已建立的实例(超过 1 周)上的 Compute Engine 实例元数据 SSH 密钥的修改。
持久性:Compute Engine 管理员添加了启动脚本 GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit Logs
管理员活动日志
检测对已建立的实例(早于 1 周)上的 Compute Engine 实例元数据启动脚本值的修改。
持久化:IAM 异常授权 IAM_ANOMALOUS_GRANT Cloud Audit Logs
管理员活动日志

检测向非组织成员的 IAM 用户和服务帐号授予的权限。注意:此发现结果只有具有 gmail.com 电子邮件地址的 Security Command Center 用户才触发。

敏感角色 预览版

发现结果的严重程度分为,具体取决于授予的角色的敏感度。如需了解详情,请参阅敏感 IAM 角色和权限

持久性:新 API 方法
不可用
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs
管理员活动日志
检测 IAM 服务帐号对 Google Cloud 服务的异常使用。
持久性:新地理位置
不可用
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs
管理员活动日志
根据发出请求的 IP 地址的地理位置,检测到 IAM 用户和服务帐号从异常位置访问 Google Cloud。
持久性:新用户代理 IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs
管理员活动日志
检测到 IAM 服务帐号从异常或可疑用户代理访问 Google Cloud。
持久性:单点登录启用切换 TOGGLE_SSO_ENABLED Google Workspace:
管理员审核
管理员帐号的“启用单点登录 (SSO)”设置已停用。
持久性:单点登录设置发生了更改 CHANGE_SSO_SETTINGS Google Workspace:
管理员审核
管理员帐号的 SSO 设置已更改。

如需创建自定义检测规则,您可以将日志数据导出到 BigQuery,然后运行用于捕获威胁模型的唯一或定期 SQL 查询。

不安全的 Google 群组更改

本部分介绍 Event Threat Detection 如何使用 Google Workspace 日志、Cloud Audit Logs 和 IAM 政策来检测不安全的 Google 群组更改。

Google Cloud 客户可以使用 Google 群组管理其组织成员的角色和权限,或对一系列用户应用访问权限政策。管理员可以直接向成员授予角色和权限,然后将成员添加到特定群组,而不是直接向成员授予角色。群组成员会继承群组的所有角色和权限,使成员可以访问特定资源和服务。

虽然 Google 群组是大规模管理访问权限控制的便捷方式,但如果组织或网域外部的外部用户被添加到特权群组(即群组)中,则可能会带来风险授予敏感角色或权限。敏感角色用于控制对安全和网络设置、日志以及个人身份信息 (PII) 的访问权限,不建议外部群组成员使用。

在大型组织中,管理员可能不知道外部成员添加到特权群组的时间。Cloud Audit Logs 会记录向群组授予的角色,但这些日志事件不包含群组成员的相关信息,这可能会掩盖部分群组更改的潜在影响。

如果您与 Google Cloud 共享 Google Workspace 日志,则 Event Threat Detection 会监控您的日志记录流,以查找添加到组织 Google 群组的新成员。

Event Threat Detection 可识别外部群组成员,并通过 Cloud Audit Logs 审核每个受影响群组的 IAM 角色,检查这些群组是否被授予了敏感角色。这些信息用于检测特权 Google 群组的以下不安全更改:

  • 已加入特权群组的外部群组成员
  • 授予群组外部成员的敏感角色或权限
  • 更改为允许公众加入的特权群组

Event Threat Detection 会将发现结果写入 Security Command Center。发现结果包含新添加的外部成员的电子邮件地址、内部群组(用于启动事件、群组名称)以及与群组关联的敏感角色。您可以使用这些信息从群组中移除外部成员或撤消授予群组的敏感角色。

如需详细了解 Event Threat Detection 的发现结果,请参阅 Event Threat Detection 规则

敏感 IAM 角色和权限

仅当更改涉及高或中敏感度角色时,不安全的 Google 群组更改才会生成发现结果。角色的敏感度会影响分配给发现结果的严重级别。

  • 高敏感度角色控制组织中的关键服务,包括结算、防火墙设置和日志记录。与这些角色匹配的发现结果会被归类为严重程度。
  • 中敏感角色具有修改权限,可让主帐号更改 Google Cloud 资源;以及查看通常对敏感数据拥有的数据存储服务的权限并执行这些权限。分配给发现结果的严重级别取决于资源:
    • 如果在组织级层授予了中敏感度角色,则发现结果将归类为严重性。
    • 如果在资源层次结构中的较低级层授予了中敏感角色(文件夹、项目和存储分区等),则发现结果将归类为严重性。

Event Threat Detection 可检测出与以下高风险和中等敏感性角色相匹配的不安全 Google 群组变更。

表 1:高敏感度角色
类别 角色 说明
基本角色:具有针对所有 Google Cloud 服务的数千项权限。 roles/owner 基本角色
roles/editor
安全角色:控制对安全设置的访问权限 roles/cloudkms.* 所有 Cloud Key Management Service 角色
roles/cloudsecurityscanner.* 所有 Web Security Scanner 角色
roles/dlp.* 所有 Cloud Data Loss Prevention 角色
roles/iam.* 所有 IAM 角色
roles/secretmanager.* 所有 Secret Manager 角色
roles/securitycenter.* 所有 Security Command Center 角色
Logging 角色:控制对组织日志的访问权限 roles/errorreporting.* 所有 Error Reporting 角色
roles/logging.* 所有 Cloud Logging 角色
roles/stackdriver.* 所有 Cloud Monitoring 角色
个人信息角色:控制对个人身份信息(包括银行和联系信息)资源的访问权限 roles/billing.* 所有 Cloud Billing 角色
roles/healthcare.* 所有 Cloud Healthcare API 角色
roles/essentialcontacts.* 所有重要联系人角色
网络角色:控制对组织网络设置的访问权限 roles/dns.* 所有 Cloud DNS 角色
roles/domains.* 所有 Cloud Domains 角色
roles/networkconnectivity.* 所有 Network Connectivity Center 角色
roles/networkmanagement.* 所有 Network Connectivity Center 角色
roles/privateca.* 所有 Certificate Authority Service 角色
服务角色:控制对 Google Cloud 中服务资源的访问权限 roles/cloudasset.* 所有 Cloud Asset Inventory 角色
roles/servicedirectory.* 所有 Service Directory 角色
roles/servicemanagement.* 所有 Service Management 角色
roles/servicenetworking.* 所有 Service Networking 角色
roles/serviceusage.* 所有 Service Usage 角色
Compute Engine 角色:控制对 Compute Engine 虚拟机的访问,这些虚拟机承担长时间运行的作业并与防火墙规则相关联。

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

所有 Compute EngineAdminEditor 角色
表 2. 中等敏感度角色
类别 角色 说明
修改角色:包含更改 Google Cloud 资源权限的 IAM 角色

示例:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

角色名称通常以标题为 AdminOwnerEditorWriter 结尾。

展开表最后一行中的节点,以查看所有中敏感度角色

数据存储角色 :IAM 角色,包含用于查看和执行数据存储服务的权限

示例:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

展开表最后一行中的节点,以查看所有中敏感度角色
所有中等敏感度角色

Access Approval
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

操作
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Binary Authorization
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdmin(Beta 版)

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

容器分析
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis
roles/redis.admin
roles/redis.editor

On-Demand Scanning API
roles/ondemandscanning.admin

Ops Config Monitoring
roles/opsconfigmonitoring.resourceMetadata.writer

组织政策服务
roles/axt.admin
roles/orgpolicy.policyAdmin

其他角色
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recommendations AI
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recommender
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Resource Settings
roles/resourcesettings.admin

无服务器 VPC 访问通道
roles/vpcaccess.admin

Service Consumer Management
roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Vertex AI Workbench 用户管理的笔记本
roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows
roles/workflows.admin
roles/workflows.editor

日志类型

Event Threat Detection 依赖于 Google Cloud 和 Google Workspace 生成的日志。大多数日志默认处于关闭状态,您可以决定应生成哪些日志以及哪些产品可以访问这些日志。但若要使用 Event Threat Detection,您必须为 Event Threat Detection 可以查看的组织、文件夹和项目开启日志。

Event Threat Detection 会自动使用管理员活动日志,这些日志是 Cloud Audit Logs 的一部分。您无需配置管理员活动日志,这些日志是系统自动生成的。

此外,如果启用额外日志(该服务用于检测特定威胁),Event Threat Detection 的运行效果最佳。如需为以下每个来源启用日志,请使用以下指南:

Google Workspace 审核日志在您的 Google Workspace 环境中启用和维护。但是,您必须将它们与 Google Cloud 共享,以便 Event Threat Detection 能够访问并检测 Google Workspace 威胁。如需了解如何共享 Google Workspace 日志,请参阅以下指南:

后续步骤