Panoramica della categoria Cloud Threats

Supportato in:

Questo documento fornisce una panoramica degli insiemi di regole nella categoria Minacce cloud, delle origini dati richieste e della configurazione che puoi utilizzare per ottimizzare gli avvisi generati da ciascun insieme di regole. Questi insiemi di regole consentono di identificare le minacce negli ambienti Google Cloud che utilizzano i dati di Google Cloud e negli ambienti AWS che utilizzano i dati AWS.

Descrizioni dei set di regole

Nella categoria Minacce cloud sono disponibili i seguenti insiemi di regole.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response (rilevamento, indagine e risposta cloud).

Rilevamenti selezionati per i dati di Google Cloud

I set di regole di Google Cloud aiutano a identificare le minacce negli ambienti Google Cloud utilizzando i dati sugli eventi e sul contesto e includono i seguenti set di regole:

  • Azione amministrativa: attività associata ad azioni amministrative, ritenute مشکوکe, ma potenzialmente legittime a seconda dell'utilizzo dell'organizzazione.
  • CDIR SCC Enhanced Exfiltration: contiene regole sensibili al contesto che correlano i risultati di esfiltrazione di Security Command Center con altre origini log, come i log di Cloud Audit Logs, il contesto Sensitive Data Protection, il contesto BigQuery e i log di configurazione errata di Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: contiene regole sensibili al contesto che correlano i risultati di Evasion o Defense Evasion di Security Command Center con i dati di altre origini dati Google Cloud, come Cloud Audit Logs.
  • CDIR SCC Enhanced Malware: contiene regole basate sul contesto che correlano i risultati relativi al malware di Security Command Center con dati quali l'occorrenza di indirizzi IP e domini e i relativi punteggi di prevalenza, oltre ad altre origini dati come i log di Cloud DNS.
  • CDIR SCC Enhanced Persistence: contiene regole basate sul contesto che correlano i risultati della persistenza di Security Command Center con i dati di origini come i log di Cloud DNS e i log di analisi IAM.
  • CDIR SCC Enhanced Privilege Escalation: contiene regole basate sul contesto che correlano i risultati di riassegnazione dei privilegi di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • Accesso alle credenziali di SCC CDIR: contiene regole sensibili al contesto che correlano i risultati relativi all'accesso alle credenziali di Security Command Center con i dati di diverse altre origini dati, come gli Cloud Audit Logs
  • Rilevamento avanzato CDIR SCC: contiene regole basate sul contesto che correlano i risultati della riassegnazione del rilevamento di Security Command Center con i dati di origini come i servizi Google Cloud e Cloud Audit Logs.
  • CDIR SCC Brute Force: contiene regole sensibili al contesto che correlano i risultati di riassegnazione per attacco di forza bruta di Security Command Center con dati quali i log di Cloud DNS.
  • CDIR SCC Data Destruction: contiene regole basate sul contesto che correlano i risultati della riassegnazione per distruzione dei dati di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: contiene regole basate sul contesto che correlano i risultati di Inhibit System Recovery di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Execution: contiene regole basate sul contesto che correlano i risultati di esecuzione di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Accesso iniziale: contiene regole basate sul contesto che correlano i risultati di Accesso iniziale di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Impair Defenses: contiene regole basate sul contesto che correlano i risultati di Impair Defenses di Security Command Center con i dati di diverse altre origini dati, come Cloud Audit Logs.
  • CDIR SCC Impact: contiene regole che rilevano i risultati Impact di Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud IDS: contiene regole che rilevano i risultati Cloud Intrusion Detection System da Security Command Center con una classificazione di gravità Critica, Alta, Media e Bassa.
  • CDIR SCC Cloud Armor: contiene regole che rilevano i risultati di Google Cloud Armor da Security Command Center.
  • Modulo personalizzato CDIR SCC: contiene regole che rilevano i risultati del modulo personalizzato Event Threat Detection da Security Command Center.
  • Hacktool cloud: attività rilevate da piattaforme di sicurezza offensive note o da strumenti o software offensivi utilizzati in modo non controllato da utenti malintenzionati che hanno come target specifico le risorse cloud.
  • Ransom Cloud SQL: rileva le attività associate all'esfiltrazione o al riscatto di dati all'interno dei database Cloud SQL.
  • Strumenti Kubernetes sospetti: rileva il comportamento di ricognizione ed esecuzione di exploit da parte degli strumenti Kubernetes open source.
  • Abuso del RBAC di Kubernetes: rileva l'attività di Kubernetes associata all'abuso del controllo degli accessi basato su ruoli (RBAC) che tenta l'escalation dei privilegi o il movimento laterale.
  • Azioni sensibili dei certificati Kubernetes: rileva le azioni dei certificati Kubernetes e delle richieste di firma del certificato (CSR) che potrebbero essere utilizzate per stabilire la persistenza o la riassegnazione dei privilegi.
  • Abuso di IAM: attività associate all'abuso di ruoli e autorizzazioni IAM per eseguire potenzialmente la riassegnazione dei privilegi o spostarsi lateralmente all'interno di un determinato progetto Cloud o di un'organizzazione Cloud.
  • Attività di esfiltrazione potenziale: rileva le attività associate alla potenziale esfiltrazione di dati.
  • Mascariatura delle risorse: rileva le risorse Google Cloud create con nomi o caratteristiche di un'altra risorsa o di un altro tipo di risorsa. Questo potrebbe essere utilizzato per mascherare attività dannose eseguite dalla risorsa o al suo interno, con l'intenzione di apparire legittime.
  • Minacce serverless : rileva le attività associate a potenziali compromessi o abusi delle risorse serverless in Google Cloud, come Cloud Run e le funzioni Cloud Run.
  • Interruzione del servizio: rileva azioni dannose o di interruzione che, se eseguite in un ambiente di produzione funzionante, possono causare un'interruzione significativa. Il comportamento rilevato è comune e probabilmente innocuo negli ambienti di test e sviluppo.
  • Comportamento sospetto: attività ritenute insolite e sospette nella maggior parte degli ambienti.
  • Modifica dell'infrastruttura sospetta: rileva le modifiche all'infrastruttura di produzione in linea con le tattiche di persistenza note
  • Configurazione indebolita: attività associata all'indebolimento o al degrado di un controllo di sicurezza. Ritenute sospette, potenzialmente legittime a seconda dell'uso dell'organizzazione.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Chrome: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Chrome considerati anomali rispetto a una linea di base di 30 giorni.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Drive: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Drive considerati anomali rispetto a un valore di riferimento di 30 giorni.
  • Possibile esfiltrazione di dati da parte di addetti ai lavori da Gmail: rileva le attività associate a potenziali comportamenti di minaccia da parte di addetti ai lavori, come l'esfiltrazione di dati o la perdita di dati potenzialmente sensibili al di fuori di un'organizzazione Google Workspace. Sono inclusi i comportamenti di Gmail considerati anomali rispetto a un valore di riferimento di 30 giorni.
  • Potenziale compromissione dell'account Workspace: rileva comportamenti di minacce interne che indicano che l'account potrebbe essere stato potenzialmente compromesso e che potrebbero verificarsi tentativi di riassegnazione dei privilegi o di spostamento laterale all'interno di un'organizzazione Google Workspace. Sono inclusi i comportamenti considerati rari o anomali rispetto a un valore di riferimento di 30 giorni.
  • Azioni amministrative di Workspace sospette: rileva comportamenti che indicano potenziali evasioni, downgrade della sicurezza o comportamenti rari e anomali mai osservati negli ultimi 30 giorni da parte di utenti con privilegi più elevati, come gli amministratori.

L'abbreviazione CDIR sta per Cloud Detection, Investigation, and Response (rilevamento, indagine e risposta cloud).

Dispositivi e tipi di log supportati

Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole nella categoria Cloud Threats.

Per importare i dati dai servizi Google Cloud, consulta Importare i log di Cloud in Google Security Operations. Contatta il tuo rappresentante di Google Security Operations se devi raccogliere questi log utilizzando un altro meccanismo.

Google Security Operations fornisce analizzatori predefiniti che analizzano e normalizzano i log non elaborati degli UDM per creare record UDM con i dati richiesti da questi insiemi di regole.

Per un elenco di tutte le origini dati supportate da Google Security Operations, consulta Parsatori predefiniti supportati.

Tutti i set di regole

Per utilizzare qualsiasi insieme di regole, ti consigliamo di raccogliere gli audit log di Cloud di Google. Alcune regole richiedono che i clienti abilitino il logging di Cloud DNS. Assicurati che i servizi Google Cloud siano configurati per registrare i dati nei seguenti log:

Set di regole Ransom per Cloud SQL

Per utilizzare l'insieme di regole Cloud SQL Ransom, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

Set di regole SCC avanzate CDIR

Tutti gli insiemi di regole che iniziano con il nome CDIR SCC Enhanced utilizzano i risultati di Security Command Center Premium con il contesto di diverse altre origini log di Google Cloud, tra cui:

  • Cloud Audit Logs
  • Log di Cloud DNS
  • Analisi di Identity and Access Management (IAM)
  • Contesto di Sensitive Data Protection
  • Contesto BigQuery
  • Contesto Compute Engine

Per utilizzare i set di regole CDIR SCC Enhanced, ti consigliamo di raccogliere i seguenti dati di Google Cloud:

  • Dati dei log elencati nella sezione Tutti gli insieme di regole.

  • I seguenti dati dei log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Sensitive Data Protection (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Attività di Google Workspace (WORKSPACE_ACTIVITY)
    • Query Cloud DNS (GCP_DNS)

  • Le seguenti classi di risultati di Security Command Center, elencate per identificatore findingClass ed etichetta di importazione di Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Gli insiemi di regole CDIR SCC Enhanced dipendono anche dai dati dei servizi Google Cloud. Per inviare i dati richiesti a Google Security Operations, assicurati di completare quanto segue:

I seguenti insiemi di regole creano un rilevamento quando vengono identificati risultati di Event Threat Detection di Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service e moduli personalizzati per Event Threat Detection:

  • Cloud IDS di CDIR SCC
  • CDIR SCC Cloud Armor
  • Impatto del CDIR sugli SCC
  • Persistenza avanzata SCC CDIR
  • CDIR SCC Enhanced Defense Evasion
  • Modulo personalizzato SCC CDIR

Set di regole per gli strumenti sospetti di Kubernetes

Per utilizzare il set di regole Strumenti sospetti Kubernetes, ti consigliamo di raccogliere i dati elencati nella sezione Tutti i set di regole. Assicurati che i servizi Google Cloud siano configurati per registrare i dati nei log dei nodi di Google Kubernetes Engine (GKE)

Set di regole relative agli abusi di Kubernetes RBAC

Per utilizzare il set di regole Abuso RBAC Kubernetes, ti consigliamo di raccogliere i log di controllo cloud elencati nella sezione Tutti i set di regole.

Set di regole per le azioni sensibili dei certificati Kubernetes

Per utilizzare l'insieme di regole Azioni sensibili relative ai certificati Kubernetes, ti consigliamo di raccogliere i log di controllo di Cloud elencati nella sezione Tutti gli insiemi di regole.

Insiemi di regole relativi a Google Workspace

I seguenti insiemi di regole rilevano schemi nei dati di Google Workspace:

  • Potenziale esfiltrazione di dati degli addetti ai lavori da Chrome
  • Potenziale esfiltrazione di dati da parte di addetti ai lavori da Drive
  • Potenziale esfiltrazione di dati privilegiati da Gmail
  • Potenziale compromissione dell'account Workspace
  • Azioni amministrative di Workspace sospette

Questi insiemi di regole richiedono i seguenti tipi di log, elencati in base al nome del prodotto e all'etichetta di importazione di Google Security Operations:

  • Attività di Workspace (WORKSPACE_ACTIVITY)
  • Avvisi di Workspace (WORKSPACE_ALERTS)
  • Dispositivi ChromeOS di Workspace (WORKSPACE_CHROMEOS)
  • Dispositivi mobili Workspace (WORKSPACE_MOBILE)
  • Utenti di Workspace (WORKSPACE_USERS)
  • Google Chrome Browser Cloud Management (CHROME_MANAGEMENT)
  • Log di Gmail (GMAIL_LOGS)

Per importare i dati richiesti:

Serie di regole relative alle minacce serverless

I log di Cloud Run includono log delle richieste e log dei container che vengono importati come tipo di log GCP_RUN in Google Security Operations. I log di GCP_RUN possono essere importati utilizzando l'importazione diretta o tramite Feed e Cloud Storage. Per filtri dei log specifici e ulteriori dettagli sull'importazione, consulta Esportazione dei log di Google Cloud in Google Security Operations. Il seguente filtro di esportazione esporta i log di Google Cloud Cloud Run (GCP_RUN), oltre ai log predefiniti sia tramite il meccanismo di importazione diretta sia tramite Cloud Storage e Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Rilevamenti selezionati per i set di regole AWS

I set di regole AWS in questa categoria aiutano a identificare le minacce negli ambienti AWS utilizzando dati sugli eventi e sul contesto e includono i seguenti set di regole:

  • AWS - Compute: rileva attività anomale relative alle risorse di calcolo AWS come EC2 e Lambda.
  • AWS - Dati: rileva l'attività AWS associata alle risorse di dati come gli snapshot RDS o i bucket S3 resi disponibili pubblicamente.
  • AWS - GuardDuty: avvisi AWS GuardDuty sensibili al contesto per comportamento, accesso alle credenziali, criptominazione, rilevamento, evasione, esecuzione, esfiltrazione, impatto, accesso iniziale, malware, test di penetrazione, persistenza, criteri, riassegnazione dei privilegi e accesso non autorizzato.
  • AWS - Hacktools: rileva l'utilizzo di hacktool in un ambiente AWS, come scanner, toolkit e framework.
  • AWS - Identity: rilevamenti per attività AWS associate ad attività IAM e di autenticazione, come accessi insoliti da più località geografiche, creazione di ruoli eccessivamente permissivi o attività IAM da strumenti sospetti.
  • AWS - Logging and Monitoring: rileva l'attività AWS relativa alla disattivazione di servizi di logging e monitoraggio, come CloudTrail, CloudWatch e GuardDuty.
  • AWS - Network: rileva alterazioni non sicure alle impostazioni di rete AWS, come gruppi di sicurezza e firewall.
  • AWS - Organization: rileva l'attività AWS associata alla tua organizzazione, come l'aggiunta o la rimozione di account ed eventi imprevisti relativi all'utilizzo della regione.
  • AWS - Secrets: rileva l'attività AWS associata a secret, token e password, ad esempio l'eliminazione di secret KMS o di secret di Secrets Manager.

Dispositivi e tipi di log supportati

Questi insiemi di regole sono stati testati e sono supportati dalle seguenti origini dati di Google Security Operations, elencate per nome del prodotto ed etichetta di importazione.

Per informazioni sulla configurazione dell'importazione dei dati AWS, consulta Configurare l'importazione dei dati AWS.

Per un elenco di tutte le origini dati supportate, consulta Parsatori predefiniti supportati.

Le sezioni seguenti descrivono i dati richiesti dagli insiemi di regole che identificano i pattern nei dati.

Puoi importare i dati AWS utilizzando un bucket Amazon Simple Storage Service (Amazon S3) come tipo di origine o, facoltativamente, utilizzando Amazon S3 con Amazon Simple Queue Service (Amazon SQS). In linea generale, dovrai:

  • Configura Amazon S3 o Amazon S3 con Amazon SQS per raccogliere i dati dei log.
  • Configura un feed Google Security Operations per importare i dati da Amazon S3 o Amazon SQS

Consulta Importare i log AWS in Google Security Operations per conoscere la procedura dettagliata per configurare i servizi AWS e un feed di Google Security Operations per importare i dati AWS.

Puoi utilizzare le regole di test AWS Managed Detection Testing per verificare che i dati AWS siano importati nel SIEM di Google Security Operations. Queste regole di test consentono di verificare se i dati dei log AWS vengono importati come previsto. Dopo aver configurato l'importazione dei dati AWS, esegui azioni in AWS che dovrebbero attivare le regole di test.

Consulta Verificare l'importazione dati AWS per la categoria Cloud Threats per informazioni su come verificare l'importazione dei dati AWS utilizzando le regole di test AWS Managed Detection Testing.

Avvisi di ottimizzazione restituiti dai set di regole

Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte del insieme di regole o da regole specifiche al suo interno. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Per informazioni su come eseguire questa operazione, consulta Configurare le esclusioni delle regole.

Passaggi successivi