Cloud Threats 类别概览
本文档简要介绍了“云端威胁”类别中的规则集、所需的数据源,以及您可以用来调整每个规则集生成的提醒的配置。这些规则集可帮助您使用 Google Cloud 数据识别 Google Cloud 环境中的威胁,以及使用 AWS 数据识别 AWS 环境中的威胁。
规则集说明
“云端威胁”类别中提供了以下规则集。
CDIR 是云端检测、调查和响应的缩写。
针对 Google Cloud 数据的精选检测
Google Cloud 规则集可帮助您使用事件和上下文数据识别 Google Cloud 环境中的威胁,其中包括以下规则集:
- 管理员操作:与管理员操作相关的活动,被视为可疑,但可能合法,具体取决于组织的使用情况。
- CDIR SCC 增强型渗漏:包含上下文感知规则,用于将 Security Command Center 渗漏发现结果与其他日志来源(例如 Cloud Audit Logs 日志、Sensitive Data Protection 上下文、BigQuery 上下文和 Security Command Center 配置错误日志)相关联。
- CDIR SCC 增强型防御规避:包含上下文感知规则,用于将 Security Command Center 规避或防御规避发现结果与其他 Google Cloud 数据源(例如 Cloud Audit Logs 中的数据相关联。
- CDIR SCC 增强型恶意软件:包含情境感知规则,可将 Security Command Center 恶意软件发现结果与 IP 地址和网域的出现频率及其流行度得分等数据相关联,以及 Cloud DNS 日志等其他数据源。
- CDIR SCC 增强型持久性:包含上下文感知规则,用于将 Security Command Center 持久性发现结果与 Cloud DNS 日志和 IAM 分析日志等来源中的数据相关联。
- CDIR SCC 增强型特权提升:包含情境感知规则,用于将 Security Command Center 特权提升发现结果与来自多个其他数据源(例如 Cloud Audit Logs 的数据相关联。
- CDIR SCC Credential Access:包含情境感知规则,用于将 Security Command Center Credential Access 发现结果与来自多个其他数据源(例如 Cloud Audit Logs)的数据相关联
- CDIR SCC 增强型发现:包含上下文感知规则,用于将 Security Command Center 发现问题上报结果与 Google Cloud 服务和 Cloud Audit Logs 等来源中的数据相关联。
- CDIR SCC 暴力破解:包含情境感知规则,用于将 Security Command Center 暴力破解升级发现结果与 Cloud DNS 日志等数据相关联。
- CDIR SCC Data Destruction:包含情境感知规则,用于将 Security Command Center 数据销毁上报发现结果与来自多个其他数据源(例如 Cloud Audit Logs)的数据相关联。
- CDIR SCC Inhibit System Recovery:包含情境感知规则,用于将 Security Command Center 的“抑制系统恢复”发现结果与来自多个其他数据源(例如 Cloud Audit Logs 的数据相关联。
- CDIR SCC Execution:包含情境感知规则,用于将 Security Command Center Execution 发现结果与来自 Cloud Audit Logs 等多个其他数据源的数据相关联。
- CDIR SCC 初始访问:包含情境感知规则,用于将 Security Command Center 初始访问发现结果与来自多个其他数据源(例如 Cloud Audit Logs 的数据相关联。
- CDIR SCC Impair Defenses:包含情境感知规则,用于将 Security Command Center Impair Defenses 发现结果与来自多个其他数据源(例如 Cloud Audit Logs 的数据相关联。
- CDIR SCC 影响:包含用于检测 Security Command Center 中严重程度分类为严重、高、中和低的影响发现结果的规则。
- CDIR SCC Cloud IDS:包含用于检测 Security Command Center 中严重程度分类为“严重”“高”“中”和“低”的 Cloud Intrusion Detection System 发现结果的规则。
- CDIR SCC Cloud Armor:包含用于检测 Security Command Center 中的 Google Cloud Armor 发现结果的规则。
- CDIR SCC 自定义模块:包含用于从 Security Command Center 检测 Event Threat Detection 自定义模块发现结果的规则。
- 云端黑客工具:从已知的攻击性安全平台检测到的活动,或从专门针对云端资源的威胁行为者在野外使用的攻击性工具或软件检测到的活动。
- Cloud SQL 勒索:检测与 Cloud SQL 数据库中数据渗漏或勒索相关的活动。
- Kubernetes 可疑工具:检测开源 Kubernetes 工具中的侦察和利用行为。
- Kubernetes RBAC 滥用:检测与滥用基于角色的访问控制 (RBAC) 的 Kubernetes 活动相关联的活动,这些活动会尝试提升权限或横向移动。
- Kubernetes 证书敏感操作:检测可用于建立持久性或提升特权的 Kubernetes 证书和证书签名请求 (CSR) 操作。
- IAM 滥用:与滥用 IAM 角色和权限的活动相关,可能导致在给定 Cloud 项目内或跨 Cloud 组织横向移动或提升权限。
- 潜在渗漏活动:检测与潜在数据渗漏相关的活动。
- 资源伪装:检测使用其他资源或资源类型的名称或特征创建的 Google Cloud 资源。这可能用于掩盖资源执行或在资源中执行的恶意活动,目的是使其看起来合法。
- 无服务器威胁:检测与 Google Cloud 中无服务器资源(例如 Cloud Run 和 Cloud Run 函数)的潜在入侵或滥用相关的活动。
- 服务中断:检测破坏性或破坏性操作,如果这些操作在正常运行的生产环境中执行,可能会导致严重的中断。在测试和开发环境中,检测到的行为很常见,并且可能是良性的。
- 可疑行为:在大多数环境中被认为不常见且可疑的活动。
- 可疑的基础架构更改:检测与已知的持久化策略一致的生产基础架构修改
- 配置变弱:与削弱或降低安全控制措施的活动相关联。被视为可疑,但可能合法,具体取决于组织的使用情况。
- Chrome 中潜在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外可能敏感数据的丢失。这包括与 30 天的基准数据相比,被视为异常的 Chrome 行为。
- Google 云端硬盘中可能存在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外部可能敏感数据的丢失。这包括与 30 天的基准数据相比,被视为异常的云端硬盘行为。
- Gmail 中可能存在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,例如数据渗漏或 Google Workspace 组织外部可能敏感数据的丢失。这包括与 30 天的基准数据相比,被视为异常的 Gmail 行为。
- Workspace 账号可能遭到入侵:检测内部人员威胁行为,表明账号可能遭到入侵,并可能导致在 Google Workspace 组织内尝试提升权限或横向移动。这包括与 30 天的基准相比被视为罕见或异常的行为。
- Workspace 中可疑的管理员操作:检测高权限用户(例如管理员)的行为,如果这些行为表明可能存在规避行为、安全级别降低或过去 30 天内从未见过的罕见异常行为,则会发出警报。
CDIR 是云端检测、调查和响应的缩写。
支持的设备和日志类型
以下部分介绍了“云端威胁”类别中的规则集所需的数据。
如需从 Google Cloud 服务中提取数据,请参阅将 Cloud 日志注入到 Google Security Operations。如果您需要使用其他机制收集这些日志,请与您的 Google Security Operations 代表联系。
Google 安全运维提供默认解析器,用于解析和标准化来自 Google Cloud 服务的原始日志,以便创建包含这些规则集所需数据的 UDM 记录。
如需查看 Google Security Operations 支持的所有数据源的列表,请参阅支持的默认解析器。
所有规则集
如需使用任何规则集,我们建议您收集 Google Cloud 审核日志。某些规则要求客户启用 Cloud DNS 日志记录。确保 Google Cloud 服务已配置为将数据记录到以下日志:
Cloud SQL 勒索规则集
如需使用 Cloud SQL 勒索规则集,我们建议您收集以下 Google Cloud 数据:
- 所有规则集部分中列出的日志数据。
- Cloud SQL 日志。
CDIR SCC 增强型规则集
所有以 CDIR SCC Enhanced 开头的规则集均使用 Security Command Center Premium 发现结果,并将其与其他几个 Google Cloud 日志来源(包括以下来源)的上下文相关联:
- Cloud Audit Logs
- Cloud DNS 日志
- Identity and Access Management (IAM) 分析
- 敏感数据保护情境
- BigQuery 上下文
- Compute Engine 情境
如需使用 CDIR SCC 增强型规则集,我们建议您收集以下 Google Cloud 数据:
- 所有规则集部分中列出的日志数据。
以下日志数据(按产品名称和 Google Security Operations 提取标签列出):
- BigQuery (
GCP_BIGQUERY_CONTEXT) - Compute Engine (
GCP_COMPUTE_CONTEXT) - IAM (
GCP_IAM_CONTEXT) - 敏感数据保护 (
GCP_DLP_CONTEXT) - Cloud Audit Logs (
GCP_CLOUDAUDIT) - Google Workspace 活动记录 (
WORKSPACE_ACTIVITY) - Cloud DNS 查询 (
GCP_DNS)
- BigQuery (
以下 Security Command Center 发现结果类,按
findingClass标识符和 Google Security Operations 提取标签列出:Threat(GCP_SECURITYCENTER_THREAT)Misconfiguration(GCP_SECURITYCENTER_MISCONFIGURATION)Vulnerability(GCP_SECURITYCENTER_VULNERABILITY)SCC Error(GCP_SECURITYCENTER_ERROR)
CDIR SCC 增强型规则集也依赖于 Google Cloud 服务中的数据。如需将所需数据发送到 Google Security Operations,请务必完成以下操作:
- 为所需的 Google Cloud 产品和服务启用日志记录。
- 启用 Security Command Center 高级版和相关服务。
- 将 Google Cloud 日志的提取配置为 Google Security Operations。
- 配置将 Event Threat Detection 发现结果导出到 Google Security Operations。默认情况下,系统会提取所有 Security Command Center 发现结果。如需详细了解 Google Security Operations 默认解析器如何映射数据字段,请参阅导出 Security Command Center 发现结果。
- 启用 Cloud Audit Logs,并配置将 Cloud Audit Logs 导出到 Google Security Operations。 如需了解详情,请参阅收集 Cloud Audit Logs。
- 启用 Google Workspace 日志并将这些日志发送到 Google Security Operations。 如需了解详情,请参阅收集 Google Workspace 日志。
- 配置将 Google Cloud 资产元数据和上下文相关数据导出到 Google Security Operations。 如需了解详情,请参阅将 Google Cloud 资产元数据导出到 Google Security Operations 和将 Sensitive Data Protection 数据导出到 Google Security Operations。
当 Security Command Center Event Threat Detection、Google Cloud Armor、Security Command Center Sensitive Actions Service 和 Event Threat Detection 的自定义模块中的发现结果被识别出来时,以下规则集会创建检测:
- CDIR SCC Cloud IDS
- CDIR SCC Cloud Armor
- CDIR SCC 影响
- CDIR SCC 增强型持久化
- CDIR SCC 增强型防护规避
- CDIR SCC 自定义模块
Kubernetes 可疑工具规则集
如需使用 Kubernetes 可疑工具规则集,我们建议您收集所有规则集部分中列出的数据。确保 Google Cloud 服务已配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志
Kubernetes RBAC 滥用规则集
如需使用 Kubernetes RBAC 滥用规则集,我们建议您收集 所有规则集部分中列出的 Cloud Audit Logs。
Kubernetes 证书敏感操作规则集
如需使用 Kubernetes Certificate Sensitive Actions 规则集,我们建议您收集 All rule sets 部分中列出的 Cloud Audit Logs。
与 Google Workspace 相关的规则集
以下规则集可检测 Google Workspace 数据中的模式:
- Chrome 中可能存在内部人员数据外泄
- 云端硬盘中可能存在内部人员数据渗漏
- 潜在的 Gmail 内部人员数据渗漏
- Workspace 账号可能遭到入侵
- 可疑的 Workspace 管理员操作
这些规则集需要以下日志类型,按产品名称和 Google 安全运营数据提取标签列出:
- Workspace Activities (
WORKSPACE_ACTIVITY) - Workspace Alerts (
WORKSPACE_ALERTS) - Workspace ChromeOS 设备 (
WORKSPACE_CHROMEOS) - Workspace Mobile Devices (
WORKSPACE_MOBILE) - Workspace 用户 (
WORKSPACE_USERS) - Google Chrome 浏览器云管理 (
CHROME_MANAGEMENT) - Gmail 日志 (
GMAIL_LOGS)
如需注入所需数据,请执行以下操作:
收集本文档的所有规则集部分中列出的数据。
如需收集
WORKSPACE_ACTIVITY、WORKSPACE_CHROMEOS、CHROME_MANAGEMENT和GMAIL日志,请参阅将 Google Workspace 数据提取到 Google 安全运营中心。如需注入以下日志,请参阅收集 Google Workspace 日志:
WORKSPACE_ALERTSWORKSPACE_MOBILEWORKSPACE_USERS
“无服务器威胁”规则集
- 收集本文档的所有规则集部分中列出的数据。
- Cloud Run 日志 (
GCP_RUN)。
Cloud Run 日志包括请求日志和容器日志,这些日志会作为 GCP_RUN 日志类型在 Google 安全运维中提取。您可以使用直接提取或使用 Feed 和 Cloud Storage 提取 GCP_RUN 日志。如需了解特定日志过滤条件和更多提取详情,请参阅将 Google Cloud 日志导出到 Google Security Operations。以下导出过滤条件会导出 Google Cloud Cloud Run (GCP_RUN) 日志,以及通过直接提取机制以及通过 Cloud Storage 和Sinks导出的默认日志:
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
针对 AWS 规则集的精选检测
此类别中的 AWS 规则集可帮助您使用事件和上下文数据识别 AWS 环境中的威胁,其中包括以下规则集:
- AWS - 计算:检测与 EC2 和 Lambda 等 AWS 计算资源相关的异常活动。
- AWS - 数据:检测与数据资源(例如公开提供的 RDS 快照或 S3 存储分区)相关的 AWS 活动。
- AWS - GuardDuty:针对行为、凭据访问、加密挖矿、发现、逃避、执行、渗漏、影响、初始访问、恶意软件、渗透测试、持久性、政策、特权提升和未经授权的访问情况提供情境感知型 AWS GuardDuty 提醒。
- AWS - Hacktools:检测 AWS 环境中是否使用了 Hacktools,例如扫描器、工具包和框架。
- AWS - Identity:检测与 IAM 和身份验证活动相关的 AWS 活动,例如来自多个地理位置的异常登录、过度宽松的角色创建或可疑工具中的 IAM 活动。
- AWS - 日志记录和监控:检测与停用日志记录和监控服务(例如 CloudTrail、CloudWatch 和 GuardDuty)相关的 AWS 活动。
- AWS - 网络:检测对 AWS 网络设置(例如安全组和防火墙)的不安全更改。
- AWS - 组织:检测与贵组织相关的 AWS 活动,例如添加或移除账号,以及与区域使用情况相关的意外事件。
- AWS - 密钥:检测与密钥、令牌和密码相关的 AWS 活动,例如删除 KMS 密钥或 Secrets Manager 密钥。
支持的设备和日志类型
以下 Google Security Operations 数据源已过测试,支持这些规则集,按产品名称和提取标签列出。
- AWS CloudTrail (
AWS_CLOUDTRAIL) - AWS GuardDuty (
GUARDDUTY) - AWS EC2 主机 (
AWS_EC2_HOSTS) - AWS EC2 实例 (
AWS_EC2_INSTANCES) - AWS EC2 VPCS (
AWS_EC2_VPCS) - AWS Identity and Access Management (IAM) (
AWS_IAM)
如需了解如何设置 AWS 数据提取,请参阅配置 AWS 数据提取。
如需查看所有受支持的数据源的列表,请参阅支持的默认解析器。
以下部分介绍了用于识别数据中模式的规则集所需的数据。
您可以使用 Amazon Simple Storage Service (Amazon S3) 存储桶作为来源类型来注入 AWS 数据,也可以选择将 Amazon S3 与 Amazon Simple Queue Service (Amazon SQS) 搭配使用。概括来讲,您需要执行以下操作:
- 将 Amazon S3 或 Amazon S3 与 Amazon SQS 配置在一起,以收集日志数据。
- 配置 Google 安全运营 Feed,以从 Amazon S3 或 Amazon SQS 注入数据
如需了解配置 AWS 服务和配置 Google 安全运营 Feed 以注入 AWS 数据的详细步骤,请参阅将 AWS 日志注入到 Google 安全运营。
您可以使用 AWS 托管式检测测试测试规则来验证 AWS 数据是否已提取到 Google Security Operations SIEM。这些测试规则有助于验证 AWS 日志数据是否按预期提取。设置 AWS 数据提取后,您可以在 AWS 中执行应触发测试规则的操作。
如需了解如何使用 AWS 托管式检测测试测试规则验证 AWS 数据的提取情况,请参阅验证“云端威胁”类别的 AWS 数据注入情况。
调整规则集返回的提醒
您可以使用规则排除对象来减少规则或规则集生成的检测数量。
规则排除项用于定义排除某个事件的条件,以免该事件被规则集或规则集中的特定规则评估。创建一条或多条规则排除项,以帮助减少检测量。如需了解具体操作方法,请参阅配置规则排除项。