Utiliser Event Threat Detection

>

Examinez les résultats de Event Threat Detection dans le tableau de bord de Security Command Center et consultez des exemples de résultats de Event Threat Detection.

Event Threat Detection est un service intégré pour le niveau Premium de Security Command Center, qui surveille le flux Cloud Logging de votre organisation et détecte les menaces quasiment en temps réel. Pour en savoir plus, consultez la présentation de la détection d'événements.

La vidéo suivante décrit les étapes de configuration d'Event Threat Detection et fournit des informations sur l'utilisation du tableau de bord. Pour en savoir plus sur l'affichage et la gestion des résultats d'Event Threat Detection, consultez la section Examiner les résultats de cette page.

Examiner les résultats

Pour afficher les résultats du service Event Threat Detection, celui-ci doit être activé dans les paramètres Services de Security Command Center. Après avoir activé Event Threat Detection et les journaux de votre organisation, de vos dossiers et devos projets, le service génère les résultats.

Vous pouvez afficher les résultats d'Event Threat Detection dans Security Command Center. Si vous avez configuré des exportations continues pour écrire des journaux, vous pouvez également afficher les résultats dans Cloud Logging. Pour générer un résultat et vérifier votre configuration, vous pouvez déclencher intentionnellement un détecteur et tester Event Threat Detection.

Event Threat Detection est activé en quelques secondes. Les latences de détection sont généralement inférieures à 15 minutes entre le moment où un journal est écrit et celui où un résultat est disponible dans Security Command Center. Pour en savoir plus sur la latence, consultez la page Présentation de la latence de Security Command Center.

Examiner les résultats dans Security Command Center

Les rôles Security Command Center sont attribués au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments, les sources de sécurité et les marques de sécurité dépend du niveau auquel vous avez accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Pour examiner les résultats de Event Threat Detection dans Security Command Center :

  1. Accédez à l'onglet Résultats de Security Command Center dans Google Cloud Console.
    Accéder à l'onglet "Résultats"
  2. À côté de Afficher par, cliquez sur Type de source.
  3. Dans la liste Type de source, sélectionnez Event Threat Detection.
  4. Pour afficher des informations détaillées sur un résultat spécifique, cliquez sur le nom de ce résultat sous category. Le panneau des résultats de recherche se développe pour afficher des informations, y compris les suivantes :
    • En quoi l'événement a consisté
    • Quand l'événement a eu lieu
    • La source des données de résultat
    • La priorité de détection ; par exemple, Élevée
    • Les actions effectuées, telles que l'ajout d'un rôle de gestion de l'authentification et des accès (IAM) à un utilisateur Gmail
    • L'utilisateur ayant effectué l'action, indiqué à côté de properties_principalEmail
  5. Pour afficher tous les résultats issus des actions du même utilisateur, procédez comme suit :
    1. Dans le panneau de détails des résultats, copiez l'adresse e-mail à côté de properties_principalEmail.
    2. Fermez le panneau des détails de résultat.
    3. Dans la zone Filtre de l'onglet "Résultats", saisissez sourceProperties.properties_principalEmail:USER_EMAIL, où USER_EMAIL correspond à l'adresse e-mail que vous avez copiée précédemment.

Security Command Center affiche tous les résultats associés aux actions effectuées par l'utilisateur que vous avez spécifié.

Afficher les résultats dans Cloud Logging

Pour afficher les résultats d'Event Threat Detection dans Cloud Logging, procédez comme suit:

  1. Accédez à l'Explorateur de journaux dans Cloud Console.

    Accéder à l'explorateur de journaux

  2. Dans le sélecteur de projet en haut de la page, sélectionnez le projet dans lequel vous stockez vos journaux Event Threat Detection.

  3. Cliquez sur l'onglet Générateur de requêtes.

  4. Dans la liste déroulante Ressource, sélectionnez Détecteur de menaces.

    • Pour afficher les résultats de tous les détecteurs, sélectionnez all detector_name.
    • Pour afficher les résultats d'un détecteur spécifique, sélectionnez le nom de ce détecteur.
  5. Cliquez sur Ajouter. La requête apparaît dans la zone de texte du générateur de requêtes.

  6. Vous pouvez également saisir la requête suivante dans la zone de texte:

    resource.type="threat_detector"
    

  7. Cliquez sur Exécuter la requête (Run Query). La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.

  8. Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.

Vous pouvez créer des requêtes de journaux avancées pour spécifier un ensemble d'entrées à partir d'un nombre quelconque de journaux.

Catégories de résultats

Voici quelques exemples de résultats de Event Threat Detection :

Surveillance et journalisation Description
Exfiltration de données

Event Threat Detection détecte l'exfiltration de données de BigQuery en examinant les journaux d'audit pour deux scénarios :

  • Une ressource est enregistrée en dehors de votre organisation, ou une tentative d'opération de copie est bloquée par VPC Service Controls.
  • Il y a une tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.
Attaque par force brute SSH Event Threat Detection détecte la force brute SSH de l'authentification par mot de passe en examinant les journaux syslog pour identifier les échecs répétés, suivis d'une réussite.
Minage de cryptomonnaie Event Threat Detection détecte les logiciels malveillants de minage de monnaie en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions à des domaines incorrects pour les pools de minage.
Abus IAM

Octrois IAM anormaux : Event Threat Detection détecte l'ajout d'octrois IAM pouvant être considérées comme des anomalies ; par exemple :

  • Ajouter un utilisateur gmail.com à une stratégie dotée du rôle d'éditeur de projet
  • Inviter un utilisateur gmail.com en tant que propriétaire de projet à partir de Google Cloud Console
  • Compte de service accordant des autorisations sensibles
  • Rôle personnalisé disposant d'autorisations sensibles
  • Compte de service ajouté depuis l'extérieur de votre organisation
Logiciels malveillants Event Threat Detection détecte les logiciels malveillants en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de commande et de contrôle et des adresses IP connus.
Hameçonnage Event Threat Detection détecte le hameçonnage en examinant les journaux de flux VPC et les journaux Cloud DNS pour identifier les connexions à des domaines de hameçonnage et des adresses IP connues.
Comportement IAM anormal
Aperçu
Event Threat Detection détecte les comportements IAM anormaux en examinant les journaux d'audit Cloud pour identifier les accès à partir d'adresses IP anormales et de user-agents anormal.
Révision du compte de service
Aperçu
Event Threat Detection détecte les identifiants et autorisations associés à ce compte de service lorsqu'un identifiant de compte de service est utilisé.

Exemples de formats de résultat

Cette section inclut les formats de sortie JSON pour les résultats individuels d'Event Threat Detection, tels qu'ils apparaissent lorsque vous créez des exportations à partir du tableau de bord Security Command Center ou si vous exécutez des méthodes de liste dans l'API Security Command Center.

Les exemples de sortie contiennent les champs les plus courants pour tous les résultats. Cependant, tous les champs peuvent ne pas apparaître dans tous les résultats. Le résultat obtenu dépend de la configuration d'une ressource, ainsi que du type et de l'état des résultats.

Force brute: SSH

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "state": "ACTIVE",
      "category": "Brute Force: SSH",
      "sourceProperties": {
        "evidence": [
          {
            "sourceLogId": {
              "projectId": "PROJECT_ID",
              "timestamp": {
                "nanos": 0.0,
                "seconds": "65"
              },
              "insertId": "INSERT_ID",
              "resourceContainer": "projects/PROJECT_ID"
            }
          }
        ],
        "properties": {
          "projectId": "PROJECT_ID",
          "zone": "us-west1-a",
          "instanceId": "INSTANCE_ID",
          "attempts": [
            {
              "sourceIp": "SOURCE_IP_ADDRESS",
              "username": "PROJECT_ID",
              "vmName": "INSTANCE_ID",
              "authResult": "SUCCESS"
            },
            {
              "sourceIp": "SOURCE_IP_ADDRESS",
              "username": "PROJECT_ID",
              "vmName": "INSTANCE_ID",
              "authResult": "FAIL"
            },
            {
              "sourceIp": "SOURCE_IP_ADDRESS",
              "username": "PROJECT_ID",
              "vmName": "INSTANCE_ID",
              "authResult": "FAIL"
            }
          ]
        },
        "detectionPriority": "HIGH",
        "sourceId": {
          "projectNumber": "PROJECT_NUMBER",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/techniques/T1078/003/"
          }
        },
        "detectionCategory": {
          "technique": "brute_force",
          "indicator": "flow_log",
          "ruleName": "ssh_brute_force"
        },
        "affectedResources": [
          {
            "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
          }
        ]
      },
      "severity": "HIGH",
      "eventTime": "1970-01-01T00:00:00Z",
      "createTime": "1970-01-01T00:00:00Z"
    }
 }
    

Découverte: enquête automatique sur le compte de service


{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "state": "ACTIVE",
    "category": "Discovery: Service Account Self-Investigation",
    "sourceProperties": {
      "sourceId": {
        "projectNumber": "PROJECT_NUMBER",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "technique": "discovery",
        "indicator": "audit_log",
        "ruleName": "iam_anomalous_behavior",
        "subRuleName": "service_account_gets_own_iam_policy"
      },
      "detectionPriority": "LOW",
      "affectedResources": [{
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
      }],
      "evidence": [{
        "sourceLogId": {
          "projectId": "PROJECT_ID",
          "resourceContainer": "projects/PROJECT_ID",
          "timestamp": {
            "seconds": "1619200104",
            "nanos": 9.08E8
          },
          "insertId": "INSERT_ID"
        }
      }],
      "properties": {
        "serviceAccountGetsOwnIamPolicy": {
          "principalEmail": "USER_EMAIL@PROJECT_ID.iam.gserviceaccount.com",
          "projectId": "PROJECT_ID",
          "callerIp": "IP_ADDRESS",
          "callerUserAgent": "CALLER_USER_AGENT",
          "rawUserAgent": "RAW_USER_AGENT"
        }
      },
      "contextUris": {
        "mitreUri": {
          "displayName": "Permission Groups Discovery: Cloud Groups",
          "url": "https://attack.mitre.org/techniques/T1069/003/"
        },
        "cloudLoggingQueryUri": [{
          "displayName": "Cloud Logging Query Link",
          "url": "LOGGING_LINK"
        }]
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2021-04-23T17:48:24.908Z",
    "createTime": "2021-04-23T17:48:26.922Z",
    "propertyDataTypes": {
      "sourceId": {
        "structValue": {
          "fields": {
            "projectNumber": {
              "primitiveDataType": "STRING"
            },
            "customerOrganizationNumber": {
              "primitiveDataType": "STRING"
            }
          }
        }
      },
      "evidence": {
        "listValues": {
          "propertyDataTypes": [{
            "structValue": {
              "fields": {
                "sourceLogId": {
                  "structValue": {
                    "fields": {
                      "projectId": {
                        "primitiveDataType": "STRING"
                      },
                      "resourceContainer": {
                        "primitiveDataType": "STRING"
                      },
                      "timestamp": {
                        "dataType": "TIMESTAMP",
                        "structValue": {
                          "fields": {
                            "seconds": {
                              "primitiveDataType": "STRING"
                            },
                            "nanos": {
                              "primitiveDataType": "NUMBER"
                            }
                          }
                        }
                      },
                      "insertId": {
                        "primitiveDataType": "STRING"
                      }
                    }
                  }
                }
              }
            }
          }]
        }
      },
      "detectionPriority": {
        "primitiveDataType": "STRING"
      },
      "contextUris": {
        "structValue": {
          "fields": {
            "mitreUri": {
              "dataType": "HYPERLINK",
              "structValue": {
                "fields": {
                  "display_name": {
                    "primitiveDataType": "STRING"
                  },
                  "url": {
                    "primitiveDataType": "STRING"
                  }
                }
              }
            },
            "cloudLoggingQueryUri": {
              "listValues": {
                "propertyDataTypes": [{
                  "dataType": "HYPERLINK",
                  "structValue": {
                    "fields": {
                      "display_name": {
                        "primitiveDataType": "STRING"
                      },
                      "url": {
                        "primitiveDataType": "STRING"
                      }
                    }
                  }
                }]
              }
            }
          }
        }
      },
      "detectionCategory": {
        "structValue": {
          "fields": {
            "technique": {
              "primitiveDataType": "STRING"
            },
            "indicator": {
              "primitiveDataType": "STRING"
            },
            "ruleName": {
              "primitiveDataType": "STRING"
            },
            "subRuleName": {
              "primitiveDataType": "STRING"
            }
          }
        }
      },
      "affectedResources": {
        "listValues": {
          "propertyDataTypes": [{
            "structValue": {
              "fields": {
                "gcpResourceName": {
                  "primitiveDataType": "STRING"
                }
              }
            }
          }]
        }
      },
      "properties": {
        "structValue": {
          "fields": {
            "serviceAccountGetsOwnIamPolicy": {
              "structValue": {
                "fields": {
                  "principalEmail": {
                    "primitiveDataType": "STRING"
                  },
                  "projectId": {
                    "primitiveDataType": "STRING"
                  },
                  "callerIp": {
                    "primitiveDataType": "STRING"
                  },
                  "callerUserAgent": {
                    "primitiveDataType": "STRING"
                  },
                  "rawUserAgent": {
                    "primitiveDataType": "STRING"
                  }
                }
              }
            }
          }
        }
      }
    },
    "severity": "LOW",
    "workflowState": "NEW",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectDisplayName": "PROJECT_ID",
    "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parentDisplayName": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project"
  }
}

    

Exfiltration: exfiltration de données BigQuery

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resource_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "state": "ACTIVE",
      "category": "Exfiltration: BigQuery Data Exfiltration",
      "sourceProperties": {
        "affectedResources": [
          {
            "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
          },
          {
            "gcpResourceName": "//bigquery.googleapis.com/projects/PROJECT_ID/jobs/JOB_ID"
          }
        ],
        "detectionCategory": {
          "technique": "org_exfiltration",
          "indicator": "audit_log",
          "ruleName": "big_query_exfil",
          "subRuleName": "exfil_to_external_table"
        },
        "detectionPriority": "HIGH",
        "sourceId": {
          "projectNumber": "PROJECT_NUMBER",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/techniques/T1567/002/"
          }
        },
        "evidence": [
          {
            "sourceLogId": {
              "projectId": "PROJECT_ID",
              "timestamp": {
                "nanos": 0.0,
                "seconds": "0"
              },
              "insertId": "INSERT_ID",
              "resourceContainer": "projects/PROJECT_ID"
            }
          }
        ],
        "properties": {
          "dataExfiltrationAttempt": {
            "jobLink": "https://console.cloud.google.com/bigquery?j=bq:US:bqtriggerjob_1234_UNUSABLE_LINK&project=SOURCE_PROJECT_ID&page=queryresults",
            "jobState": "SUCCEEDED",
            "query": "SQL_QUERY",
            "userEmail": "PROJECT_ID@PROJECT_ID.iam.gserviceaccount.com",
            "job": {
              "projectId": "SOURCE_PROJECT_ID",
              "jobId": "JOB_ID",
              "location": "US"
            },
            "sourceTables": [
              {
                "resourceUri": "https://console.cloud.google.com/bigquery?p=SOURCE_PROJECT_ID&d=DATASET_ID&t=TABLE_ID&page=table",
                "projectId": "SOURCE_PROJECT_ID",
                "datasetId": "DATASET_ID",
                "tableId": "TABLE_ID"
              }
            ],
            "destinationTables": [
              {
                "resourceUri": "https://console.cloud.google.com/bigquery?p=PROJECT_ID&d=DATASET_ID&t=TABLE_ID&page=table",
                "projectId": "DESTINATION_PROJECT_ID",
                "datasetId": "DATASET_ID",
                "tableId": "TABLE_ID"
              }
            ]
          }
        }
      },
      "severity": "HIGH",
      "eventTime": "1970-01-01T00:00:00Z",
      "createTime": "1970-01-01T00:00:00Z"
    }
 }
    

Logiciels malveillants: domaine incorrect

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "state": "ACTIVE",
      "category": "Malware: Bad Domain",
      "sourceProperties": {
        "sourceId": {
          "customerOrganizationNumber": "ORGANIZATION_ID",
          "projectNumber": "PROJECT_NUMBER"
        },
        "affectedResources": [{
          "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
        }],
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/techniques/T1568/"
          },          "virustotalIndicatorQueryUri": [
            {
              "displayName": "VirusTotal Domain Link",
              "url": "https://www.virustotal.com/gui/domain/DOMAIN/detection"
            }
          ]
        },
        "evidence": [
          {
            "sourceLogId": {
              "projectId": "PROJECT_ID",
              "timestamp": {
                "nanos": 0.0,
                "seconds": "0"
              },
              "insertId": "INSERT_ID",
              "resourceContainer": "projects/PROJECT_ID"
            }
          }
        ],
        "properties": {
          "instanceDetails": "/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
          "domains": [
            "DOMAIN"
          ],
          "network": {
            "location": "REGION",
            "project": "PROJECT_ID"
          },
          "dnsContexts": [
            {
              "authAnswer": true,
              "sourceIp": "IP_ADDRESS",
              "queryName": "DOMAIN",
              "queryType": "AAAA",
              "responseCode": "NOERROR",
              "responseData": [
                {
                  "domainName": "DOMAIN.",
                  "ttl": 299,
                  "responseClass": "IN",
                  "responseType": "AAAA",
                  "responseValue": "IP_ADDRESS"
                }
              ]
            }
          ]
        },
        "detectionPriority": "HIGH",
        "detectionCategory": {
          "technique": "C2",
          "indicator": "domain",
          "subRuleName": "google_intel",
          "ruleName": "bad_domain"
        }
      },
      "severity": "HIGH",
      "eventTime": "1970-01-01T00:00:00Z",
      "createTime": "1970-01-01T00:00:00Z"
    }
 }
    

Logiciels malveillants: adresse IP incorrecte

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "state": "ACTIVE",
      "category": "Malware: Bad IP",
      "sourceProperties": {
        "evidence": [
          {
            "sourceLogId": {
              "projectId": "PROJECT_ID",
              "timestamp": {
                "nanos": 0.0,
                "seconds": "0"
              },
              "insertId": "INSERT_ID",
              "resourceContainer": "projects/PROJECT_ID"
            }
          }
        ],
        "properties": {
          "ips": [
            "SOURCE_IP_ADDRESS",
            "DESTINATION_IP_ADDRESS"
          ],
          "ipConnection": {
            "srcIp": "SOURCE_IP_ADDRESS",
            "srcPort": SOURCE_PORT,
            "destIp": "DESTINATION_IP_ADDRESS",
            "destPort": DESTINATION_PORT,
            "protocol": 6
          },
          "network": {
            "project": "PROJECT_ID",
            "location": "ZONE",
            "subnetworkId": "SUBNETWORK_ID",
            "subnetworkName": "default"
          },
          "instanceDetails": "/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID"
        },
        "detectionPriority": "HIGH",
        "sourceId": {
          "projectNumber": "PROJECT_NUMBER",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/tactics/TA0011/"
          },
          "virustotalIndicatorQueryUri": [
            {
              "displayName": "VirusTotal IP Link",
              "url": "https://www.virustotal.com/gui/ip-address/SOURCE_IP_ADDRESS/detection"
            },
            {
              "displayName": "VirusTotal IP Link",
              "url": "https://www.virustotal.com/gui/ip-address/DESTINATION_IP_ADDRESS/detection"
            }
          ]
        },
        "detectionCategory": {
          "technique": "C2",
          "indicator": "ip",
          "ruleName": "bad_ip",
          "subRuleName": "google_intel"
        },
        "affectedResources": [
          {
            "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
          }
        ]
      },
      "severity": "HIGH",
      "eventTime": "1970-01-01T00:00:00Z",
      "createTime": "1970-01-01T00:00:00Z"
    }
}
    

Logiciel malveillant: DoS sortant

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
      "state": "ACTIVE",
      "category": "Malware: Outgoing DoS",
      "sourceProperties": {
        "evidence": [
          {
            "sourceLogId": {
              "timestamp": {
                "nanos": 0.0,
                "seconds": "0"
              },
              "resourceContainer": "projects/PROJECT_ID"
            }
          }
        ],
        "properties": {
          "sourceInstanceDetails": "/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
          "ipConnection": {
            "srcIp": "SOURCE_IP_ADDRESS",
            "srcPort": SOURCE_PORT,
            "destIp": "DESTINATION_IP_ADDRESS",
            "destPort": DESTINATION_PORT,
            "protocol": 17
          }
        },
        "detectionPriority": "HIGH",
        "sourceId": {
          "organizationNumber": "ORGANIZATION_ID",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "affectedResources": [{
          "gcpResourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID"
        }],
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/techniques/T1498/"
          }
        },
        "detectionCategory": {
          "technique": "malware",
          "indicator": "flow_log",
          "ruleName": "outgoing_dos"
        }
      },
      "severity": "HIGH",
      "eventTime": "1970-01-01T00:00:00Z",
      "createTime": "1970-01-01T00:00:00Z"
    }
}
    

Persistence: IAM analogues

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "state": "ACTIVE",
    "category": "Persistence: IAM Anomalous Grant",
    "sourceProperties": {
      "sourceId": {
        "projectNumber": "PROJECT_NUMBER",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "evidence": [{
        "sourceLogId": {
          "projectId": "PROJECT_ID",
          "resourceContainer": "projects/PROJECT_ID",
          "timestamp": {
            "seconds": "1611833917",
            "nanos": 8.71508E8
          },
          "insertId": "INSERT_ID"
        }
      }],
      "detectionPriority": "HIGH",
      "findingId": "FINDING_ID",
      "contextUris": {
        "mitreUri": {
          "displayName": "MITRE Link",
          "url": "https://attack.mitre.org/techniques/T1078/004/"
        },
        "cloudLoggingQueryUri": [{
          "displayName": "Cloud Logging Query Link",
          "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-01-28T11:38:37.871508Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project\u003dPROJECT_ID"
        }],
        "relatedFindingUri": {
          "displayName": "Related Anomalous Grant Findings",
          "url": "https://console.cloud.google.com/security/command-center/findings?organizationId\u003dORGANIZATION_ID\u0026pageState\u003d(%22cscc-inventory%22:(%22f%22:%22%255B%257B_22k_22_3A_22sourceProperties.detectionCategory.ruleName_22_2C_22t_22_3A10_2C_22v_22_3A_22_5C_22iam_anomalous_grant_5C_22_22%257D_2C%257B_22k_22_3A_22_22_2C_22t_22_3A10_2C_22v_22_3A_22_5C_22%2528sourceProperties.properties.sensitiveRoleGrant.principalEmail_3A_5C_5C_5C_22PRINCIPAL_EMAIL_5C_5C_5C_22%2529_5C_22_22%257D%255D%22))"
        }
      },
      "detectionCategory": {
        "technique": "persistence",
        "indicator": "audit_log",
        "ruleName": "iam_anomalous_grant",
        "subRuleName": "external_member_invited_to_policy"
      },
      "affectedResources": [{
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
      }],
      "properties": {
        "sensitiveRoleGrant": {
          "principalEmail": "PRINCIPAL_EMAIL",
          "members": ["user:USER_EMAIL"]
        }
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2021-01-28T11:38:41.301Z",
    "createTime": "2021-01-28T11:38:42.198Z",
    "propertyDataTypes": {
      "sourceId": {
        "structValue": {
          "fields": {
            "projectNumber": {
              "primitiveDataType": "STRING"
            },
            "customerOrganizationNumber": {
              "primitiveDataType": "STRING"
            }
          }
        }
      },
      "evidence": {
        "listValues": {
          "propertyDataTypes": [{
            "structValue": {
              "fields": {
                "sourceLogId": {
                  "structValue": {
                    "fields": {
                      "projectId": {
                        "primitiveDataType": "STRING"
                      },
                      "resourceContainer": {
                        "primitiveDataType": "STRING"
                      },
                      "timestamp": {
                        "dataType": "TIMESTAMP",
                        "structValue": {
                          "fields": {
                            "seconds": {
                              "primitiveDataType": "STRING"
                            },
                            "nanos": {
                              "primitiveDataType": "NUMBER"
                            }
                          }
                        }
                      },
                      "insertId": {
                        "primitiveDataType": "STRING"
                      }
                    }
                  }
                }
              }
            }
          }]
        }
      },
      "detectionPriority": {
        "primitiveDataType": "STRING"
      },
      "findingId": {
        "primitiveDataType": "STRING"
      },
      "contextUris": {
        "structValue": {
          "fields": {
            "mitreUri": {
              "dataType": "HYPERLINK",
              "structValue": {
                "fields": {
                  "display_name": {
                    "primitiveDataType": "STRING"
                  },
                  "url": {
                    "primitiveDataType": "STRING"
                  }
                }
              }
            },
            "cloudLoggingQueryUri": {
              "listValues": {
                "propertyDataTypes": [{
                  "dataType": "HYPERLINK",
                  "structValue": {
                    "fields": {
                      "display_name": {
                        "primitiveDataType": "STRING"
                      },
                      "url": {
                        "primitiveDataType": "STRING"
                      }
                    }
                  }
                }]
              }
            },
            "relatedFindingUri": {
              "dataType": "HYPERLINK",
              "structValue": {
                "fields": {
                  "display_name": {
                    "primitiveDataType": "STRING"
                  },
                  "url": {
                    "primitiveDataType": "STRING"
                  }
                }
              }
            }
          }
        }
      },
      "detectionCategory": {
        "structValue": {
          "fields": {
            "technique": {
              "primitiveDataType": "STRING"
            },
            "indicator": {
              "primitiveDataType": "STRING"
            },
            "ruleName": {
              "primitiveDataType": "STRING"
            },
            "subRuleName": {
              "primitiveDataType": "STRING"
            }
          }
        }
      },
      "affectedResources": {
        "listValues": {
          "propertyDataTypes": [{
            "structValue": {
              "fields": {
                "gcpResourceName": {
                  "primitiveDataType": "STRING"
                }
              }
            }
          }]
        }
      },
      "properties": {
        "structValue": {
          "fields": {
            "sensitiveRoleGrant": {
              "structValue": {
                "fields": {
                  "principalEmail": {
                    "primitiveDataType": "STRING"
                  },
                  "members": {
                    "listValues": {
                      "propertyDataTypes": [{
                        "primitiveDataType": "STRING"
                      }]
                    }
                  }
                }
              }
            }
          }
        }
      }
    },
    "severity": "HIGH",
    "workflowState": "NEW",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectDisplayName": "PROJECT_ID",
    "parentName": "//cloudresourcemanager.googleapis.com/folders/FOLDER_ID",
    "parentDisplayName": "PARENT_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": [{
      "resourceFolder": "//cloudresourcemanager.googleapis.com/folders/FOLDER_ID",
      "resourceFolderDisplayName": "PARENT_NAME"
    }]
  }
}
    

Étape suivante