“云威胁”类别概览

支持的语言:

本文档概述了“云威胁”类别中的规则集、所需的数据源,以及可用于调整每个规则集生成的提醒的配置。这些规则集有助于使用 Google Cloud 数据识别 Google Cloud环境中的威胁,以及使用 AWS 数据识别 AWS 环境中的威胁。

规则集说明

“云威胁”类别中提供了以下规则集。

CDIR 缩写代表 Cloud Detection, Investigation, and Response(云检测、调查和响应)。

针对 Google Cloud 数据的精选检测

Google Cloud 规则集可帮助使用事件和情境数据识别 Google Cloud 环境中的威胁,并包含以下规则集:

  • 管理员操作:与管理员操作相关的活动,被视为可疑但可能合法,具体取决于组织用途。
  • CDIR SCC 增强型数据渗出:包含可将 Security Command Center 数据渗出发现结果与其他日志来源(包括 Cloud Audit Logs 日志、Sensitive Data Protection 上下文、BigQuery 上下文和 Security Command Center 错误配置日志)相关联的上下文感知规则。
  • CDIR SCC 增强型规避检测:包含可将 Security Command Center 规避或防御规避发现结果与其他Google Cloud 数据源(包括 Cloud Audit Logs)中的数据相关联的上下文感知规则。
  • CDIR SCC 增强型恶意软件:包含可将 Security Command Center 恶意软件发现结果与数据(包括 IP 地址和网域的出现情况及其普及程度得分)相关联的上下文感知规则,此外还包含其他数据源(包括 Cloud DNS 日志)。
  • CDIR SCC 增强型持久性:包含可将 Security Command Center 持久性发现结果与来自各种来源(包括 Cloud DNS 日志和 IAM 分析日志)的数据相关联的情境感知规则。
  • CDIR SCC 增强型权限升级:包含上下文感知规则,可将 Security Command Center 权限升级发现结果与来自多个其他数据源(包括 Cloud Audit Logs)的数据相关联。
  • CDIR SCC 凭据访问:包含可将 Security Command Center 凭据访问发现结果与来自多个其他数据源(包括 Cloud Audit Logs)的数据相关联的情境感知规则
  • CDIR SCC 增强型发现:包含可将 Security Command Center 发现升级发现结果与来自 Google Cloud 服务和 Cloud Audit Logs 等来源的数据相关联的上下文感知规则。
  • CDIR SCC 暴力破解:包含可将 Security Command Center 暴力破解升级发现结果与数据(包括 Cloud DNS 日志)相关联的情境感知规则。
  • CDIR SCC 数据销毁:包含可将 Security Command Center 数据销毁升级发现结果与来自多个其他数据源(包括 Cloud Audit Logs)的数据相关联的上下文感知规则。
  • CDIR SCC Inhibit System Recovery:包含可将 Security Command Center Inhibit System Recovery 发现结果与来自多个其他数据源(包括 Cloud Audit Logs)的数据相关联的情境感知规则。
  • CDIR SCC 执行:包含可将 Security Command Center 执行发现结果与来自多个其他数据源(包括 Cloud Audit Logs 的数据相关联的情境感知规则。
  • CDIR SCC 初始访问:包含可将 Security Command Center 初始访问发现结果与来自多个其他数据源(包括 Cloud Audit Logs 的数据相关联的情境感知规则。
  • CDIR SCC Impair Defenses:包含可将 Security Command Center“削弱防御”发现结果与来自多个其他数据源(包括 Cloud Audit Logs)的数据相关联的上下文感知规则。
  • CDIR SCC 影响:包含用于检测 Security Command Center 中严重程度分类为“严重”“高”“中”和“低”的影响发现结果的规则。
  • CDIR SCC Cloud IDS:包含用于检测 Security Command Center 中严重程度分类为“严重”“高”“中”和“低”的 Cloud Intrusion Detection System 发现结果的规则。
  • CDIR SCC Cloud Armor:包含用于检测 Security Command Center 中的 Google Cloud Armor 发现结果的规则。
  • CDIR SCC 自定义模块:包含用于检测 Security Command Center 中的 Event Threat Detection 自定义模块发现结果的规则。
  • Cloud Hacktool:检测到来自已知攻击性安全平台或威胁行为者在野外使用的攻击性工具或软件的活动,这些工具或软件专门针对云资源。
  • Cloud SQL 勒索:检测与 Cloud SQL 数据库中的数据渗漏或勒索相关联的活动。
  • Kubernetes 可疑工具:检测来自开源 Kubernetes 工具的侦察和利用行为。
  • Kubernetes RBAC 滥用:检测与滥用基于角色的访问权限控制 (RBAC) 相关的 Kubernetes 活动,这些活动试图提升权限或横向移动。
  • Kubernetes 证书敏感操作:检测可能用于建立持久性或提升权限的 Kubernetes 证书和证书签名请求 (CSR) 操作。
  • IAM 滥用:与滥用 IAM 角色和权限相关的活动,可能会在给定的 Cloud 项目内或跨 Cloud 组织进行权限升级或横向移动。
  • 潜在的数据渗漏活动:检测与潜在数据渗漏相关的活动。
  • 资源伪装:检测使用其他资源或资源类型的名称或特征创建的 Google Cloud 资源。这可能被用于掩盖资源中或通过资源进行的恶意活动,目的是使其看起来合法。
  • 无服务器威胁:检测与 Google Cloud中无服务器资源(包括 Cloud Run 和 Cloud Run 函数)的潜在入侵或滥用相关的活动。
  • 服务中断:检测破坏性或中断性操作,如果这些操作在正常运行的生产环境中执行,可能会导致严重的中断。检测到的行为在测试和开发环境中很常见,可能属于良性行为。
  • 可疑行为:在大多数环境中被认为是不常见且可疑的活动。
  • 可疑的基础设施变更:检测与已知持久性策略相符的生产基础设施修改
  • 配置变弱:与削弱或降低安全控制相关的活动。被视为可疑,但根据组织使用情况,可能属于合法。
  • Chrome 中潜在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,包括在 Google Workspace 组织外部渗漏或丢失潜在的敏感数据。这包括与 30 天基准相比,Chrome 中被视为异常的行为。
  • 潜在的内部人员 Google 云端硬盘数据渗漏:检测与潜在的内部人员威胁行为相关的活动,包括数据渗漏或 Google Workspace 组织外部可能存在的敏感数据丢失。这包括与 30 天基准相比,云端硬盘中被视为异常的行为。
  • Gmail 中潜在的内部人员数据渗漏:检测与潜在的内部人员威胁行为相关的活动,包括在 Google Workspace 组织外部渗漏或丢失可能敏感的数据。这包括与 30 天基准相比被视为异常的 Gmail 行为。
  • Workspace 账号可能被盗用:检测到内部威胁行为,表明账号可能已被盗用,并可能导致 Google Workspace 组织内出现权限升级尝试或横向移动尝试。这包括与 30 天基准相比被视为罕见或异常的行为。
  • 可疑的 Workspace 管理操作:检测到表明用户可能在规避安全措施、降级安全性或出现过去 30 天内从未见过的异常行为,且这些用户拥有较高的权限(包括管理员)。

支持的设备和日志类型

以下部分介绍了“云威胁”类别中的规则集所需的数据。

如需注入来自 Google Cloud 服务的数据,请参阅将 Cloud 日志注入到 Google SecOps。 如果您需要使用其他机制来收集这些日志,请与您的 Google SecOps 代表联系。

Google SecOps 提供默认解析器,用于解析和规范化来自 Google Cloud 服务的原始日志,以创建包含这些规则集所需数据的 UDM 记录。

如需查看 Google SecOps 支持的所有数据源的列表,请参阅支持的默认解析器

所有规则集

如需使用任何规则集,我们建议您收集 Google CloudCloud 审核日志。某些规则要求客户启用 Cloud DNS 日志记录。确保 Google Cloud 服务已配置为将数据记录到以下日志中:

Cloud SQL 勒索规则集

如需使用 Cloud SQL 勒索软件规则集,建议您收集以下 Google Cloud 数据:

CDIR SCC 增强型规则集

所有以名称 CDIR SCC Enhanced 开头的规则集都使用 Security Command Center Premium 发现结果,这些结果会根据多个其他 Google Cloud 日志来源进行情境化,包括:

  • Cloud Audit Logs
  • Cloud DNS 日志
  • Identity and Access Management (IAM) 分析
  • Sensitive Data Protection 上下文
  • BigQuery 上下文
  • Compute Engine 上下文

如需使用 CDIR SCC 增强型规则集,我们建议您收集以下 Google Cloud 数据:

  • 所有规则集部分中列出的日志数据。

  • 以下日志数据(按产品名称和 Google SecOps 注入标签列出):

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • 敏感数据保护 (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Google Workspace 活动记录 (WORKSPACE_ACTIVITY)
    • Cloud DNS 查询 (GCP_DNS)

  • 以下是 Security Command Center 发现结果类别,按 findingClass 标识符和 Google SecOps 注入标签列出:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

CDIR SCC Enhanced 规则集还依赖于来自 Google Cloud 服务的数据。如需将所需数据发送到 Google SecOps,请确保完成以下操作:

以下规则集会在发现 Security Command Center Event Threat DetectionGoogle Cloud ArmorSecurity Command Center 敏感操作服务Event Threat Detection 自定义模块的发现结果时创建检测:

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC 影响
  • CDIR SCC 增强持久性
  • CDIR SCC 增强型防护规避
  • CDIR SCC 自定义模块

Kubernetes 可疑工具规则集

如需使用 Kubernetes 可疑工具规则集,建议您收集所有规则集部分中列出的数据。确保 Google Cloud服务已配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志

Kubernetes RBAC 滥用规则集

如需使用 Kubernetes RBAC 滥用规则集,我们建议您收集所有规则集部分中列出的 Cloud Audit Logs

Kubernetes 证书敏感操作规则集

如需使用 Kubernetes 证书敏感操作规则集,建议您收集所有规则集部分中列出的 Cloud Audit Logs

与 Google Workspace 相关的规则集

以下规则集可检测 Google Workspace 数据中的模式:

  • Chrome 中潜在的内部人员数据渗漏
  • 云端硬盘中可能存在的内部人员数据渗漏
  • Gmail 中可能存在内部人员数据渗漏
  • Workspace 账号可能被盗用
  • 可疑的工作区管理操作

这些规则集需要以下日志类型,按产品名称和 Google SecOps 注入标签列出:

  • 工作区活动 (WORKSPACE_ACTIVITY)
  • Workspace Alerts (WORKSPACE_ALERTS)
  • Workspace ChromeOS 设备 (WORKSPACE_CHROMEOS)
  • Workspace Mobile Devices (WORKSPACE_MOBILE)
  • Workspace 用户 (WORKSPACE_USERS)
  • Google Chrome 浏览器云管理 (CHROME_MANAGEMENT)
  • Gmail 日志 (GMAIL_LOGS)

如需注入所需的数据,请执行以下操作:

无服务器威胁规则集

Cloud Run 日志包括请求日志和容器日志,这些日志在 Google SecOps 中以 GCP_RUN 日志类型注入。可以使用直接提取或使用 Feed 和 Cloud Storage 来提取 GCP_RUN 日志。如需了解具体的日志过滤条件和更多注入详情,请参阅将 Google Cloud 日志导出到 Google SecOps。以下导出过滤条件除了通过直接提取机制以及通过 Cloud Storage 和接收器导出默认日志外,还会导出 Google Cloud Cloud Run (GCP_RUN) 日志:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

针对 AWS 规则集的精选检测

此类别中的 AWS 规则集有助于使用事件和上下文数据识别 AWS 环境中的威胁,包括以下规则集:

  • AWS - 计算:检测与 AWS 计算资源(包括 EC2 和 Lambda)相关的异常活动。
  • AWS - 数据:检测与数据资源(包括公开提供的 RDS 快照或 S3 存储分区)相关的 AWS 活动。
  • AWS - GuardDuty:针对行为、凭据访问、加密货币挖矿、发现、规避、执行、数据渗出、影响、初始访问、恶意软件、渗透测试、持久性、政策、权限升级和未经授权的访问的情境感知 AWS GuardDuty 提醒。
  • AWS - 黑客工具:检测 AWS 环境中是否使用了扫描器、工具包和框架等黑客工具。
  • AWS - 身份:与 IAM 和身份验证活动相关的 AWS 活动的检测结果,包括来自多个地理位置的异常登录、权限过大的角色创建或来自可疑工具的 IAM 活动。
  • AWS - 日志记录和监控:检测与停用日志记录和监控服务(包括 CloudTrail、CloudWatch 和 GuardDuty)相关的 AWS 活动。
  • AWS - 网络:检测对 AWS 网络设置(例如安全组和防火墙)的不安全更改。
  • AWS - 组织:检测与组织关联的 AWS 活动,包括添加或移除账号,以及与区域使用情况相关的意外事件。
  • AWS - Secret:检测与 Secret、令牌和密码相关的 AWS 活动,包括删除 KMS Secret 或 Secrets Manager Secret。

AWS 支持的设备和日志类型

这些规则集已经过测试,并且支持以下 Google SecOps 数据源(按产品名称和提取标签列出)。

如需了解如何设置 AWS 数据注入,请参阅配置 AWS 数据注入

如需查看所有支持的数据源的列表,请参阅支持的默认解析器

以下部分介绍了用于识别数据中模式的规则集所需的数据。

您可以使用 Amazon Simple Storage Service (Amazon S3) 存储桶作为来源类型来注入 AWS 数据,也可以选择将 Amazon S3 与 Amazon Simple Queue Service (Amazon SQS) 搭配使用。概括来讲,您需要执行以下操作:

  • 配置 Amazon S3 或 Amazon S3 with Amazon SQS 以收集日志数据。
  • 配置 Google SecOps Feed 以从 Amazon S3 或 Amazon SQS 中注入数据

如需详细了解配置 AWS 服务和配置 Google SecOps Feed 以注入 AWS 数据所需的步骤,请参阅将 AWS 日志注入到 Google SecOps

您可以使用 AWS 受管检测测试规则来验证 AWS 数据是否已注入到 Google SecOps SIEM。这些测试规则有助于验证 AWS 日志数据是否按预期提取。设置 AWS 数据提取后,您可以在 AWS 中执行应触发测试规则的操作。

如需了解如何使用 AWS 受管检测测试测试规则验证 AWS 数据的提取,请参阅验证“云威胁”类别的 AWS 数据注入

针对 Azure 数据的精选检测

此类别中的某些规则集旨在与 Azure 数据搭配使用,以利用事件数据、情境数据和提醒来识别 Azure 环境中的威胁。其中包括:

  • Azure - 计算:检测与 Azure 计算资源(包括 Kubernetes 和虚拟机 [VM])相关的异常活动。
  • Azure - 数据:检测与数据资源相关的活动,包括 Azure Blob 权限、修改以及邀请外部用户在租户中使用 Azure 服务。
  • Azure - Defender for Cloud:识别从上下文感知型 Microsoft Defender for Cloud 收到的与用户行为、凭据访问、加密货币挖矿、发现、规避、执行、渗透、影响、初始访问、恶意软件、渗透测试、持久性、政策、权限升级或未经授权的访问相关的所有 Azure 云服务中的提醒。
  • Azure - 黑客工具:检测 Azure 环境中黑客工具的使用情况,包括 Tor 和 VPN 匿名化工具、扫描器和红队工具包。
  • Azure - 身份:检测与身份验证和授权相关的活动,指示异常行为,包括从多个地理位置同时访问、过于宽松的访问权限管理政策或来自可疑工具的 Azure RBAC 活动。
  • Azure - 日志记录和监控:检测与停用 Azure 中的日志记录和监控服务相关的活动。
  • Azure - 网络:检测 Azure 网络设备或设置(包括安全组或防火墙、Azure Web 应用防火墙和拒绝服务政策)中不安全且值得注意的更改。
  • Azure - 组织:检测与组织相关的活动,包括添加或移除订阅和账号。
  • Azure - 密钥:检测与密钥、令牌和密码相关的活动(例如对 Azure Key Vault 或存储账号访问密钥的修改)。

支持的设备和 Azure 所需的日志类型

这些规则集已经过测试,并支持以下数据源(按产品名称和 Google SecOps 注入标签列出)。

注入 Azure 和 Microsoft Entra ID 数据

您必须从每个数据源注入数据,以覆盖尽可能多的规则。如需了解如何从每个来源注入数据,请参阅以下文档。

以下部分介绍了如何使用预定义的测试规则验证 Azure 数据的提取。

验证 Azure 数据的注入

借助 Google SecOps “数据注入和健康状况”信息中心,您可以查看有关使用 SIEM 注入功能注入到 Google SecOps 中的所有数据的类型、数量和健康状况的信息。

您还可以使用 Azure 托管检测测试规则来验证 Azure 数据的提取。设置好提取后,您可以在 Azure 门户中执行应触发测试规则的操作。它们旨在验证数据是否已提取,以及是否采用预期格式,以便使用针对 Azure 数据的精选检测。

启用 Azure 托管式检测测试规则

  1. 在 Google Security Operations 中,依次点击检测 > 规则和检测,以打开“精选检测”页面
  2. 依次选择受管检测测试 > Azure 受管检测测试
  3. 宽泛精确规则同时启用状态提醒

发送用户操作数据以触发测试规则

如需验证数据是否按预期提取,请创建用户并登录,以验证这些操作是否会触发测试规则。如需了解如何在 Microsoft Entra ID 中创建用户,请参阅如何创建、邀请和删除用户

  1. 在 Azure 中,创建新的 Microsoft Entra ID 用户。

    1. 前往 Azure 门户。
    2. 打开 Microsoft Entra ID
    3. 依次点击添加创建新用户。 请执行以下操作来定义用户:
      1. 请输入以下信息:
        • 用户正文名称:GCTI_ALERT_VALIDATION
        • 用户正文名称:GCTI_ALERT_VALIDATION
        • 显示名:GCTI_ALERT_VALIDATION
      2. 选择自动生成密码,为相应用户自动生成密码。
      3. 选中已启用账号复选框。
      4. 打开审核 + 创建标签页。
      5. 记住自动生成的密码。您将在后续步骤中使用此文件。
      6. 点击创建
    4. 在无痕模式下打开浏览器窗口,然后前往 Azure 门户。
    5. 使用新创建的用户和密码登录。
    6. 更改用户密码。
    7. 根据组织政策,注册多重身份验证 (MFA)。
    8. 确保您已成功退出 Azure 门户。

  2. 请执行以下操作,验证是否已在 Google Security Operations 中创建提醒:

    1. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面

    2. 点击信息中心

    3. 在检测列表中,检查是否触发了以下规则:

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. 确认数据已发送且这些规则已触发后,停用或取消配置用户账号。

发送示例提醒以触发测试规则

执行以下步骤,验证在 Azure 中生成示例安全提醒是否会触发测试规则。如需详细了解如何在 Microsoft Defender for Cloud 中生成示例安全提醒,请参阅 Microsoft Defender for Cloud 中的提醒验证

  1. 在 Azure 门户中,导航到所有服务
  2. 安全性下,打开 Microsoft Defender for Cloud
  3. 前往安全提醒
  4. 点击示例提醒,然后执行以下操作:
    1. 选择您的订阅。
    2. Defender for Cloud 方案选择全部
    3. 点击创建示例提醒
  5. 验证测试提醒是否已触发。
  6. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面
  7. 点击信息中心
  8. 在检测列表中,检查是否触发了以下规则:
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

在 Microsoft Graph 浏览器中执行 GET API 请求,以触发测试规则

执行以下步骤,验证在 Azure 中生成示例安全提醒是否会触发测试规则。

  1. 前往 Microsoft Graph 浏览器
  2. 确保在右上角选择了合适的租户。
  3. 点击 Run Query
  4. 验证测试提醒是否已触发。
  5. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面
  6. 点击信息中心
  7. 在检测列表中,检查 tst_microsoft_graph_api_get_activity 规则是否已触发。

停用 Azure 受管检测测试规则集

  1. 在 Google Security Operations 中,依次点击检测 > 规则和检测打开精选检测页面
  2. 依次选择受管检测测试 > Azure 受管检测测试规则。
  3. 针对宽泛精确规则,同时停用状态提醒

针对 Office 365 数据的精选检测

此类别中的 Office 365 规则集有助于使用事件和情境数据识别 Office 365 环境中的威胁,并包含以下规则集:

  • Office 365 - 管理:检测 Office 365 中的恶意、可疑和高风险活动,包括备份政策变更、Microsoft Purview 和 ATP 检测。

  • Office 365 - 电子取证:检测 Office 365 电子取证中的恶意、可疑和高风险活动,包括尝试搜索凭据或其他敏感数据。

  • Office 365 - 电子邮件:检测 Office 365 电子邮件中的恶意、可疑和高风险活动,包括网络钓鱼尝试、有风险的电子邮件设置更改和可疑的电子邮件活动。

  • Office 365 - 表单:检测 Office 365 表单中的恶意、可疑和高风险活动,包括网络钓鱼尝试,以及表单账号的状态更新。

  • Office 365 - 身份:检测 Office 365 中与身份和访问权限管理相关的恶意、可疑和高风险活动,包括潜在的令牌盗窃、有风险的身份验证配置、MFA 攻击、密码攻击和已知的黑客工具。

  • Office 365 - Sharepoint 和 OneDrive:检测 Office 365 Sharepoint 和 OneDrive 中的恶意、可疑和高风险活动,包括恶意软件上传、匿名文件共享以及对凭据和财务数据的搜索。

  • Office 365 - Teams:检测 Office 365 Teams 中的恶意、可疑和高风险活动,包括冒充 Teams 账号、导出录制内容和转写内容。

支持的设备和 Office 365 所需的日志类型

这些规则集已经过测试,并支持以下数据源(按产品名称和 Google SecOps 注入标签列出):

针对 Okta 规则集的精选检测

此类别中的 Okta 规则集通过分析事件和情境数据来帮助检测 Okta 环境中的威胁。该规则集包含以下内容:

  • Okta:识别 Okta 平台内发生的一系列恶意和可疑活动,包括 MFA 攻击、暴力破解尝试、密码喷洒、登录异常等。

支持的设备和 Okta 所需的日志类型

这些规则集已经过测试,并支持以下数据源(按产品名称和 Google SecOps 注入标签列出):

调整规则集返回的提醒

您可以使用规则排除项来减少规则或规则集生成的检测数量。

规则排除项定义了用于排除某个事件的条件,以使该事件不被规则集或规则集中的特定规则评估。创建一条或多条规则排除项,以帮助减少检测量。如需了解具体操作方法,请参阅配置规则排除项

后续步骤

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。