Was ist Event Threat Detection?
Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation oder Projekte kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.
Funktionsweise von Event Threat Detection
Event Threat Detection überwacht den Cloud Logging-Stream Ihrer Organisation oder Ihrer Projekte. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, nutzt Event Threat Detection Logs für Ihre Projekte, sobald sie erstellt werden. Außerdem kann Event Threat Detection Google Workspace-Logs überwachen. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.
Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.
Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Mit Cloud Logging und Google Workspace-Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Run-Funktionen verarbeiten.
Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können Sie einige Ergebnisse zusätzlich mit Google Security Operations untersuchen. Google SecOps ist ein Google Cloud-Dienst, mit dem Sie Bedrohungen untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können. Eine Anleitung zum Senden von Ergebnissen an Google SecOps finden Sie unter Ergebnisse in Google SecOps untersuchen.
Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Event Threat Detection-Regeln
Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.
Derzeit umfasst Event Threat Detection folgende Standardregeln:
Anzeigename | API-Name | Logquelltypen | Beschreibung |
---|---|---|---|
Aktiver Scan: Log4j-Sicherheitslücken für RCE | Nicht verfügbar | Cloud DNS-Logs | Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden. |
Systemwiederherstellung verhindern: Google Cloud-Sicherungs- und Notfallwiederherstellungshost gelöscht | BACKUP_HOSTS_DELETE_HOST |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten des Sicherungs- und Notfallwiederherstellungsdiensts |
Ein Host wurde aus der Sicherung und Notfallwiederherstellung gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt. |
Datenvernichtung: Image in Google Cloud Backup und DR ablaufen lassen | BACKUP_EXPIRE_IMAGE |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Ein Nutzer hat das Löschen eines Sicherungs-Images aus „Sicherung und Notfallwiederherstellung“ angefordert. Das Löschen eines Sicherungs-Images verhindert nicht, dass zukünftige Sicherungen erstellt werden. |
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung – Plan entfernen | BACKUP_REMOVE_PLAN |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Das Löschen eines Sicherungsplans kann zukünftige Sicherungen verhindern. |
Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen | BACKUP_EXPIRE_IMAGES_ALL |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Ein Nutzer hat das Löschen aller Sicherungs-Images für eine geschützte Anwendung aus dem Sicherungs- und Notfallwiederherstellungssystem angefordert. Das Löschen von Sicherungs-Images verhindert nicht, dass zukünftige Sicherungen erstellt werden. |
Systemwiederherstellung verhindern: Google Cloud Backup und DR-Löschvorlage | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde gelöscht. Die Möglichkeit, in Zukunft Sicherungen einzurichten, kann beeinträchtigt sein. |
Systemwiederherstellung verhindern: Richtlinie zum Löschen von Google Cloud-Sicherungen und Notfallwiederherstellungen | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Eine Sicherungs- und Notfallwiederherstellungsrichtlinie, die festlegt, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde gelöscht. Künftige Sicherungen, bei denen die Richtlinie verwendet wird, können fehlschlagen. |
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen | BACKUP_PROFILES_DELETE_PROFILE |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Ein Sicherungs- und Notfallwiederherstellungsprofil, das definiert, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde gelöscht. Künftige Sicherungen, die das Profil verwenden, können fehlschlagen. |
Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Eine Sicherungs-Appliance wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Anwendungen, die mit der gelöschten Sicherungs-Appliance verknüpft sind, sind möglicherweise nicht geschützt. |
Systemwiederherstellung verhindern: Google Cloud Backup und DR löschen Speicherpool | BACKUP_STORAGE_POOLS_DELETE |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Ein Speicherpool, der einen Cloud Storage-Bucket mit Sicherungen und Notfallwiederherstellungen verknüpft, wurde aus Sicherungen und Notfallwiederherstellungen entfernt. Künftige Sicherungen an dieses Speicherziel schlagen fehl. |
Auswirkung: Verkürzter Ablauf von Sicherungen bei Google Cloud-Sicherung und -Notfallwiederherstellung | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Das Ablaufdatum für eine Sicherung, die durch die Sicherung und Notfallwiederherstellung geschützt ist, wurde verkürzt. |
Auswirkung: Google Cloud Backup und DR haben die Sicherungshäufigkeit reduziert | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud Audit-Logs: Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung |
Der Sicherungszeitplan für die Sicherung und Notfallwiederherstellung wurde geändert, um die Sicherungshäufigkeit zu verringern. |
Brute-Force-SSH | BRUTE_FORCE_SSH |
authlog | Erkennung erfolgreicher SSH-Brute Force auf einem Host. |
Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Cloud IDS-Logs |
Bedrohungsereignisse, die von Cloud IDS erkannt werden. Cloud IDS erkennt Layer 7-Angriffe durch Analyse gespiegelter Pakete und sendet bei Erkennen eines Bedrohungsereignisses ein Ergebnis der Bedrohungsklasse an das Security Command Center. Suchen Sie nach Kategorienamen, die mit „Cloud IDS“ beginnen und gefolgt werden von der Cloud IDS-Bedrohungs-ID. Die Cloud IDS-Integration in die Ereignisbedrohungserkennung umfasst keine Cloud IDS-Sicherheitslückenerkennungen. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Informationen zum Cloud IDS-Logging. |
Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Erkennt Ereignisse, bei denen ein externes Mitglied zu einer privilegierten Google-Gruppe hinzugefügt wird (einer Gruppe, der vertrauliche Rollen oder Berechtigungen gewährt werden). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden je nach Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Audit-Log zur Administratoraktivität Berechtigungen: DATA_READ
|
Erkennt Ereignisse, bei denen eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden je nach Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt Ereignisse, bei denen vertrauliche Rollen einer Google-Gruppe mit externen Mitgliedern zugewiesen werden. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden je nach Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslastbereitstellung erstellt (Vorabversion) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennt Arbeitslastbereitstellungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben. |
Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslast-Deployment aktualisiert (Vorabversion) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennt Arbeitslastaktualisierungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben. |
Defense Evasion: VPC Service Control modifizieren | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud-Audit-Logs VPC Service Controls-Audit-Logs |
Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, der zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit-Logs: GKE Data Access-Logs |
Ein potenziell böswilliger Akteur hat mithilfe des Befehls
|
Erkennung: Dienstkonto-Prüfung | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud Audit-Logs: IAM-Datenzugriffs-Audit-Logs Berechtigungen: DATA_READ
|
Erkennung von IAM-Dienstkonto-Anmeldedaten, die zum Untersuchen von Rollen und Berechtigungen verwendet werden, die diesem Dienstkonto zugeordnet sind. Vertrauliche Rollen Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
E-Mail: Zugriff vom Anonymisierungs-Proxy | ANOMALOUS_ACCESS |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennung von Änderungen am Google Cloud-Dienst, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen. |
Exfiltration: BigQuery-Daten-Exfiltration | DATA_EXFILTRATION_BIG_QUERY |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt folgende Szenarien:
|
Exfiltration: BigQuery-Datenextraktion | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt folgende Szenarien:
Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. |
Exfiltration: BigQuery-Daten in Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt Folgendes:
|
Exfiltration: Zu öffentlicher BigQuery-Ressource verschieben | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt Folgendes:
|
Exfiltration: Cloud SQL-Daten-Exfiltration |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud-Audit-Logs:
MySQL-Datenzugriffslogs PostgreSQL-Datenzugriffslogs SQL Server-Datenzugriffslogs |
Erkennt folgende Szenarien:
Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. |
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit-Logs:
MySQL-Administratoraktivitätslogs PostgreSQL-Administratoraktivitätslogs SQL Server-Administratoraktivitätslogs |
Erkennt Ereignisse, bei denen die Sicherung einer Cloud SQL-Instanz auf einer Instanz außerhalb der Organisation wiederhergestellt wird. |
Exfiltration: Cloud SQL Überprivilegierte Berechtigung | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud-Audit-Logs:
PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt wurden. |
Erster Zugriff: Datenbank-Superuser schreibt in Nutzertabellen | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud-Audit-Logs:
Cloud SQL for PostgreSQL-Datenzugriffslogs Cloud SQL for MySQL-Datenzugriffslogs Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen ein Cloud SQL-Superuser (postgres für PostgreSQL-Server oder root für MySQL-Nutzer) in Nicht-Systemtabellen schreibt.
|
Rechteausweitung: Überprivilegierte Berechtigung für AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud-Audit-Logs:
AlloyDB for PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB for PostgreSQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt wurden. |
Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud-Audit-Logs:
AlloyDB for PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen ein AlloyDB for PostgreSQL-Superuser (postgres ) in Nicht-Systemtabellen schreibt.
|
Anfänglicher Zugriff: Aktion über inaktives Dienstkonto | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit-Logs: Administratoraktivitätslogs | Erkennt Ereignisse, bei denen ein inaktives vom Nutzer verwaltetes Dienstkonto eine Aktion ausgelöst hat. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. |
Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt Ereignisse, bei denen einem inaktiven nutzerverwalteten Dienstkonto eine oder mehrere vertrauliche IAM-Rollen gewährt wurden. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen inaktiv ist. Vertrauliche Rollen Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs | Erkennt Ereignisse, bei denen einem Hauptkonto Berechtigungen zum Identitätswechsel für ein inaktives, von Nutzern verwaltetes Dienstkonto gewährt werden. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. |
Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud Audit-Logs: Administratoraktivitätslogs | Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt wird. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. |
Erstzugriff: Gehackter Dienstkontoschlüssel verwendet | LEAKED_SA_KEY_USED |
Cloud Audit-Logs:
Administratoraktivitätslogs Datenzugriffslogs |
Erkennt Ereignisse, bei denen ein geleakter Dienstkontoschlüssel zur Authentifizierung der Aktion verwendet wird. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im Internet veröffentlicht wurde. |
Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen | EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit-Logs: Administratoraktivitätslogs | Erkennt Ereignisse, bei denen ein Prinzipal wiederholt Fehler vom Typ Berechtigung verweigert auslöst, indem er Änderungen an mehreren Methoden und Diensten versucht. |
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Audit-Log zur Administratoraktivität |
Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert |
2SV_DISABLE
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Erstzugriff: Konto deaktiviert – Gehackt |
ACCOUNT_DISABLED_HIJACKED
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Erstzugriff: Deaktiviert – Passwortleck |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Erstzugriff: Von staatlichen Stellen unterstützter Angriff |
GOV_ATTACK_WARNING
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Anfangszugriff: Log4j-Kompromittierungsversuch | Nicht verfügbar |
Cloud Load Balancing-Logs: Cloud-HTTP-Load-Balancer Hinweis: Sie müssen das Logging für externe Application Load Balancer aktivieren, um diese Regel zu verwenden. |
Erkennt JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung. Diese Regel ist immer aktiviert. |
Erstzugriff: Verdächtige Anmeldung blockiert |
SUSPICIOUS_LOGIN
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Log4j-Malware: Ungültige Domain | LOG4J_BAD_DOMAIN |
Cloud DNS-Logs | Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain, die bei Log4j-Angriffen verwendet wird. |
Log4j-Malware: Ungültige IP-Adresse | LOG4J_BAD_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird. |
Malware: Schädliche Domain | MALWARE_BAD_DOMAIN |
Cloud DNS-Logs | Erkennung von Malware anhand einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain. |
Malware: Schädliche IP-Adresse | MALWARE_BAD_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse. |
Malware: Ungültige Domain für Kryptomining | CRYPTOMINING_POOL_DOMAIN |
Cloud DNS-Logs | Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain. |
Malware: Schädliche Kryptomining-IP-Adresse | CRYPTOMINING_POOL_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Kryptomining-Erkennung anhand einer Verbindung zu einer bekannten Mining-IP-Adresse. |
Ausgehender DoSHerunterfahren | OUTGOING_DOS |
VPC-Flusslogs | Erkennung von ausgehendem Denial of Service-Traffic. |
Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit-Logs: Compute Engine Admin Activity-Audit-Logs |
Erkennung einer Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche). |
Persistenz: GCE-Administrator hat Startskript hinzugefügt | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit-Logs: Compute Engine Admin Activity-Audit-Logs |
Erkennung einer Änderung am Startskriptwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche). |
Persistenz: Ungewöhnliche IAM-Gewährung | IAM_ANOMALOUS_GRANT |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Dieser Hinweis enthält Unterregeln mit detaillierteren Informationen zu den einzelnen Fällen dieses Hinweises. In der folgenden Liste sind alle möglichen Unterregeln aufgeführt:
|
Persistenz: Einem nicht verwalteten Konto wurde eine sensible Rolle gewährt (Vorabversion) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennen, wenn einer nicht verwalteten Konten eine sensible Rolle gewährt wird |
Persistenz: Neue API-Methode |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten. |
Persistenz: Neue Region | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Persistenz: Neuer User-Agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Persistenz: Umschalter für SSO-Aktivierung |
TOGGLE_SSO_ENABLED
|
Google Workspace: Audit-Log zur Administratoraktivität |
Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Persistenz: SSO-Einstellungen geändert |
CHANGE_SSO_SETTINGS
|
Google Workspace: Audit-Log zur Administratoraktivität |
Die SSO-Einstellungen für das Administratorkonto wurden geändert. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennt, wenn ein potenziell anomaler Identitätsdiebstahl bei einem Dienstkonto für eine Administratoraktivität verwendet wird. |
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennt, wenn für eine administrative Aktivität eine anormale delegierte Anfrage mit mehreren Schritten gefunden wird. |
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit-Logs: Datenzugriffslogs |
Erkennt, wenn für eine Datenzugriffsaktivität eine anormale mehrstufige delegierte Anfrage gefunden wird. |
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit-Logs: Administratoraktivitätslogs |
Erkennt, wenn ein potenziell anomaler Anrufer/Identitätsdieb in einer Delegierungskette für eine administrative Aktivität verwendet wird. |
Eskalierung von Berechtigungen: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit-Logs: Datenzugriffslogs |
Erkennt, wenn ein potenziell anomaler Caller/Imposter in einer Delegierungskette für eine Datenzugriffsaktivität verwendet wird. |
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Zur Ausweitung der Berechtigungen hat ein potenziell böswilliger Akteur versucht, ein ClusterRole -, RoleBinding - oder ClusterRoleBinding -Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle
cluster-admin mithilfe einer PUT - oder PATCH -Anfrage zu ändern.
|
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Akteur hat eine
Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm Zugriff auf
cluster-admin gewährt.
|
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding - oder ClusterRoleBinding -Objekt für die Rolle
cluster-admin zu erstellen.
|
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit-Logs: GKE Data Access-Logs |
Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die
Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
|
Rechteausweitung: Start eines privilegierten Kubernetes-Containers | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.
Bei einem privilegierten Container ist das Feld |
Persistenz: Dienstkontoschlüssel erstellt | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt das Erstellen eines Dienstkontoschlüssels. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko eines unbefugten Zugriffs auf Google Cloud-Ressourcen erhöhen. |
Rechteausweitung: Globales Shutdown-Script hinzugefügt | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn einem Projekt ein globales Shutdown-Script hinzugefügt wird. |
Persistenz: Globales Startscript hinzugefügt | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn einem Projekt ein globales Startscript hinzugefügt wird. |
Defense Evasion: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Organisationsebene gewährt wird. |
Defense Evasion: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Projektebene gewährt wird. |
Lateral Movement: Ausführung von Betriebssystem-Patches über Dienstkonto | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud-Audit-Logs. Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn ein Dienstkonto die Compute Engine-Patchfunktion verwendet, um das Betriebssystem einer derzeit laufenden Compute Engine-Instanz zu aktualisieren. |
Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud-Audit-Logs: Compute Engine-Audit-Logs |
Erkennt, wenn ein Bootlaufwerk von einer Compute Engine-Instanz getrennt und an eine andere angehängt wird. Dies kann auf einen schädlichen Versuch hindeuten, das System mit einem manipulierten Bootlaufwerk zu manipulieren. |
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit-Logs: GKE Data Access-Logs |
Erkennt, wenn ein Dienstkonto im aktuellen Kubernetes-Namespace auf Secrets oder Dienstkonto-Token zugreift. |
Ressourcenentwicklung: Angriffsaktivität in Sicherheitsdistribution | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt erfolgreiche Manipulationen von Google Cloud-Ressourcen durch bekannte Penetrationstests oder offensive Sicherheitsdistributionen. |
Berechtigungseskalierung: Neues Dienstkonto ist „Owner“ oder „Editor“ | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn ein neues Dienstkonto mit den Rollen „Bearbeiter“ oder „Inhaber“ für ein Projekt erstellt wird. |
Ermittlung: Tool zur Informationserfassung verwendet | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt die Verwendung von ScoutSuite, einem Cloud-Sicherheits-Audittool, das von Angreifern verwendet wird. |
Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn die Berechtigung iam.serviceAccounts.implicitDelegation missbraucht wird, um Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren.
|
Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn ein Dienstkonto die Methode
serviceAccounts.signJwt verwendet, um ein Zugriffstoken für ein anderes Dienstkonto zu generieren.
|
Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt die projektübergreifende Verwendung der IAM-Berechtigung Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt die projektübergreifende Verwendung der IAM-Berechtigung Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Rechteausweitung: Verdächtige Verwendung projektübergreifender Berechtigungen | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt die projektübergreifende Verwendung der IAM-Berechtigung Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Command-and-Control-Aktivitäten: DNS-Tunneling | DNS_TUNNELING_IODINE_HANDSHAKE |
Cloud DNS-Logs | Erkennt den Handshake des DNS-Tunneling-Tools Iodine. |
Umgehung von Abwehrmaßnahmen: Versuch einer VPC-Routen-Masquerade | VPC_ROUTE_MASQUERADE |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt das manuelle Erstellen von VPC-Routen, die sich als Google Cloud-Standardrouten ausgeben und ausgehenden Traffic zu externen IP-Adressen zulassen. |
Auswirkungen: Abrechnung deaktiviert | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn die Abrechnung für ein Projekt deaktiviert wurde. |
Auswirkungen: Abrechnung deaktiviert | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn die Abrechnung für mehrere Projekte in einer Organisation innerhalb kurzer Zeit deaktiviert wurde. |
Auswirkung: Block mit hoher Priorität der VPC-Firewall | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn eine VPC-Firewallregel hinzugefügt wird, die den gesamten Traffic blockiert und die Priorität 0 hat. |
Auswirkung: Die Massenlöschung von VPC-Firewallregeln ist vorübergehend nicht verfügbar | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt die Massenlöschung von VPC-Firewallregeln durch Konten, die keine Dienstkonten sind. Diese Regel ist vorübergehend nicht verfügbar. Verwenden Sie die Cloud-Audit-Logs, um Aktualisierungen Ihrer Firewallregeln zu überwachen. |
Auswirkungen: Service API deaktiviert | SERVICE_API_DISABLED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn eine Google Cloud-Dienst-API in einer Produktionsumgebung deaktiviert ist. |
Auswirkung: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn eine verwaltete Instanzgruppe für maximales Autoscaling konfiguriert ist. |
Erkennung: Nicht autorisierter API-Aufruf des Dienstkontos | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt, wenn ein Dienstkonto einen nicht autorisierten projektübergreifenden API-Aufruf ausführt. |
Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Erkennt das Erstellen eines ClusterRoleBinding -Objekts für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), durch das anonymen Nutzern das root-cluster-admin-binding -Verhalten hinzugefügt wird.
|
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Erkennt Ereignisse der Ressourcenerstellung von praktisch anonymen Internetnutzern. |
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorabversion) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Erkennt Ereignisse zur Ressourcenmanipulation von praktisch anonymen Internetnutzern. |
Berechtigungseskalierung: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt (Vorabversion) | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine RBAC-Bindung erstellt, die auf einen der folgenden Nutzer oder Gruppen verweist:
Diese Nutzer und Gruppen sind praktisch anonym und sollten beim Erstellen von Rollenbindungen oder Clusterrollenbindungen an RBAC-Rollen vermieden werden. Prüfen Sie, ob die Bindung erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie. |
Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat die Befehle exec oder attach verwendet, um eine Shell aufzurufen oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird.
Diese Methoden werden manchmal für legitime Zwecke zur Fehlerbehebung verwendet. Der Namespace kube-system ist jedoch für von Kubernetes erstellte Systemobjekte vorgesehen. Unerwartete Befehlsausführung oder Shell-Erstellung sollten überprüft werden.
|
Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Arbeitslast erstellt, die eine hostPath -Volumebereitstellung auf einen sensiblen Pfad im Dateisystem des Hostknotens enthält. Der Zugriff auf diese Pfade im Hostdateisystem kann für den Zugriff auf privilegierte oder vertrauliche Informationen auf dem Knoten und für Container-Escapes verwendet werden. Lassen Sie nach Möglichkeit keine hostPath -Volumes in Ihrem Cluster zu.
|
Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorabversion) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Arbeitslast bereitgestellt, bei der die Option shareProcessNamespace auf true festgelegt war. Dadurch können alle Container denselben Linux-Prozess-Namespace verwenden.
So kann ein nicht vertrauenswürdiger oder manipulierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, den Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift, die in anderen Containern ausgeführt werden.
|
Rechteausweitung: ClusterRole mit privilegierten Verben (Vorabversion) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine RBAC-ClusterRole erstellt, die die Verben bind , escalate oder impersonate enthält. Ein Subjekt, das mit einer Rolle mit diesen Verben verknüpft ist, kann sich als andere Nutzer mit höheren Berechtigungen ausgeben, an zusätzliche Roles oder ClusterRoles mit zusätzlichen Berechtigungen gebunden werden oder seine eigenen ClusterRole-Berechtigungen ändern. Dies kann dazu führen, dass diese Subjekte Cluster-Administratorberechtigungen erhalten.
|
Rechteausweitung: ClusterRoleBinding für privilegierte Rolle (Vorabversion) | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf die Standardsystem:controller:clusterrole-aggregation-controller
ClusterRole verweist. Diese Standard-ClusterRole hat das Verb escalate , mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was eine Rechteausweitung ermöglicht.
|
Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) | GKE_MANUALLY_DELETED_CSR |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell gelöscht. CSRs werden automatisch von einem Garbage-Collection-Controller entfernt. Böswillige Akteure können sie jedoch manuell löschen, um eine Erkennung zu vermeiden. Wenn die gelöschte CSR für ein genehmigtes und ausgestelltes Zertifikat war, hat der potenziell böswillige Akteur jetzt eine zusätzliche Authentifizierungsmethode für den Zugriff auf den Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Subjekt, können aber sehr weitreichend sein. Der Widerruf von Zertifikaten wird von Kubernetes nicht unterstützt. |
Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden (Vorabversion) | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode, mit der Angreifer dauerhaften Zugriff auf einen manipulierten Cluster erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein. |
Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) | GKE_CSR_APPROVED |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell genehmigt. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode, mit der Angreifer dauerhaften Zugriff auf einen manipulierten Cluster erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein. |
Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt (Vorabversion) | GKE_REVERSE_SHELL_POD |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die normalerweise mit einer Reverse-Shell in Verbindung gebracht werden. Angreifer verwenden Reverse-Shells, um ihren ursprünglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und beliebige Befehle auszuführen. |
Defense Evasion: Mögliches Kubernetes-Pod-Masquerading (Vorabversion) | GKE_POD_MASQUERADING |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der der Standardarbeitslasten ähnelt, die GKE für den regulären Clusterbetrieb erstellt. Diese Technik wird als Masquerading bezeichnet. |
Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die denen gängiger Tools ähnelt, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden. |
Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen (Vorabversion) | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der von gängigen Kryptowährungs-Coin-Minern ähnelt. Dies kann ein Versuch eines Angreifers sein, der den ersten Zugriff auf den Cluster erhalten hat, die Ressourcen des Clusters für das Mining von Kryptowährungen zu verwenden. |
Benutzerdefinierte Module für Event Threat Detection
Neben den integrierten Erkennungsregeln bietet Event Threat Detection auch Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.
Wenn Sie Erkennungsregeln erstellen möchten, für die keine benutzerdefinierten Modulvorlagen verfügbar sind, können Sie Ihre Logdaten nach BigQuery exportieren und dann einmalige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.
Unsichere Änderungen an Google-Gruppen
In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Die Erkennung von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.
Google-Gruppen sind zwar eine praktische Möglichkeit, die Zugriffssteuerung in großem Umfang zu verwalten, können aber ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.
In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.
Wenn Sie Ihre Google Workspace-Logs für Google Cloud freigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Logs auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Logs nur dann scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Protokolle nicht scannen, wenn Sie Security Command Center auf Projektebene aktivieren.
Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:
- Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
- Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
- Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann
Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.
Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.
Vertrauliche IAM-Rollen und -Berechtigungen
In diesem Abschnitt wird erläutert, wie in Event Threat Detection sensible IAM-Rollen definiert werden. Erkennungen wie „Anomaler IAM-Zugriff“ und „Unsichere Änderungen an Google-Gruppen“ generieren nur dann Ergebnisse, wenn Änderungen Rollen mit hoher oder mittlerer Vertraulichkeit betreffen. Die Vertraulichkeit von Rollen wirkt sich auf die Bewertung der Ergebnisse aus.
- Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
- Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud-Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
- Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
- Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.
Die Gewährung dieser sensiblen Rollen gilt als gefährlich, wenn der Begünstigte ein externes Mitglied oder eine ungewöhnliche Identität ist, z. B. ein Prinzipal, der seit langem inaktiv ist.
Wenn Sie externen Mitgliedern sensible Rollen zuweisen, entsteht eine potenzielle Bedrohung, da diese Rollen für die Manipulation von Konten und die Datenexfiltration missbraucht werden können.
Beispiele für Kategorien, in denen diese sensiblen Rollen verwendet werden:
- Persistenz: Ungewöhnliche IAM-Gewährung
- Unterregel:
external_service_account_added_to_policy
- Unterregel:
external_member_added_to_policy
- Unterregel:
- Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt
- Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt
Beispiele für Suchkategorien, in denen eine Teilmenge der sensiblen Rollen verwendet wird:
- Persistenz: Ungewöhnliche IAM-Gewährung
- Unterregel:
service_account_granted_sensitive_role_to_member
- Unterregel:
Die service_account_granted_sensitive_role_to_member
-Unterregel richtet sich allgemein sowohl an externe als auch an interne Mitglieder und verwendet daher nur einen Teil der vertraulichen Rollen, wie in den Regeln für Event Threat Detection erläutert.
Kategorie | Rolle | Beschreibung |
---|---|---|
Einfache Rollen: umfassen Tausende von Berechtigungen für alle Google Cloud-Dienste. | roles/owner |
Einfache Rollen |
roles/editor |
||
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen | roles/cloudkms.* |
Alle Cloud Key Management Service-Rollen |
roles/cloudsecurityscanner.* |
Alle Web Security Scanner-Rollen | |
roles/dlp.* |
Alle Rollen für den Schutz sensibler Daten | |
roles/iam.* |
Alle IAM-Rollen | |
roles/secretmanager.* |
Alle Secret Manager-Rollen | |
roles/securitycenter.* |
Alle Security Command Center-Rollen | |
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation | roles/errorreporting.* |
Alle Error Reporting-Rollen |
roles/logging.* |
Alle Cloud Logging-Rollen | |
roles/stackdriver.* |
Alle Cloud Monitoring-Rollen | |
Rollen mit personenbezogenen Daten: steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen | roles/billing.* |
Alle Cloud Billing-Rollen |
roles/healthcare.* |
Alle Cloud Healthcare API-Rollen | |
roles/essentialcontacts.* |
Alle „Wichtige Kontakte“-Rollen | |
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation | roles/dns.* |
Alle Cloud DNS-Rollen |
roles/domains.* |
Alle Cloud Domains-Rollen | |
roles/networkconnectivity.* |
Alle Network Connectivity Center-Rollen | |
roles/networkmanagement.* |
Alle Network Connectivity Center-Rollen | |
roles/privateca.* |
Alle Certificate Authority Service-Rollen | |
Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud | roles/cloudasset.* |
Alle Cloud Asset Inventory-Rollen |
roles/servicedirectory.* |
Alle Service Directory-Rollen | |
roles/servicemanagement.* |
Alle Service Management-Rollen | |
roles/servicenetworking.* |
Alle Service Networking-Rollen | |
roles/serviceusage.* |
Alle Service Usage-Rollen | |
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind. |
|
Alle Compute Engine-Rollen: Administrator und Bearbeiter |
Kategorie | Rolle | Beschreibung |
---|---|---|
Rollen bearbeiten: IAM-Rollen, die Berechtigungen zum Ändern von Google Cloud-Ressourcen umfassen |
Beispiele:
|
Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor. Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen. |
Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten |
Beispiele:
|
Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen. |
Alle Rollen mit mittlerer Vertraulichkeit
Managed Service for Microsoft Active Directory
Organisationsrichtliniendienst
Vertex AI Workbench: Nutzerverwaltete Notebooks
|
Protokolltypen und Aktivierungsanforderungen
In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.
Sie müssen ein Protokoll für Event Threat Detection nur aktivieren, wenn Folgendes zutrifft:
- Sie verwenden das Produkt oder den Dienst, das bzw. der in das Protokoll schreibt.
- Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, die die Ereignisbedrohungserkennung im Protokoll erkennt.
- Das Protokoll ist ein Audit-Log für den Datenzugriff oder ein anderes Protokoll, das standardmäßig deaktiviert ist.
Bestimmte Bedrohungen können in mehreren Protokollen erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem bereits aktivierten Log erkennen kann, müssen Sie kein weiteres Log aktivieren, um dieselbe Bedrohung zu erkennen.
Wenn ein Protokoll in diesem Abschnitt nicht aufgeführt ist, wird es von Event Threat Detection nicht gescannt, auch wenn es aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Log-Scans.
Wie in der folgenden Tabelle beschrieben, sind einige Protokolltypen nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center auf Projektebene aktivieren, werden diese Logs von Event Threat Detection nicht gescannt und es werden keine Ergebnisse erstellt.
Grundlegende Protokollquellen
Event Threat Detection verwendet grundlegende Datenquellen, um potenziell schädliche Aktivitäten in Ihrem Netzwerk zu erkennen.
Wenn Sie Event Threat Detection ohne VPC-Flusslogs aktivieren, wird sofort ein unabhängiger, duplizierter und interner Stream von VPC-Flusslogs analysiert. Wenn Sie ein vorhandenes Ergebnis von Event Threat Detection genauer untersuchen möchten, müssen Sie VPC-Flusslogs aktivieren und den Log-Explorer und den Flussanalysator manuell aufrufen. Wenn Sie VPC-Flusslogs zu einem späteren Zeitpunkt aktivieren, enthalten nur zukünftige Ergebnisse die relevanten Links für weitere Untersuchungen.
Wenn Sie Event Threat Detection mit VPC-Flusslogs aktivieren, werden die VPC-Flusslogs in Ihrer Bereitstellung sofort analysiert. Außerdem werden Links zum Log-Explorer und zu Flow Analyzer angezeigt, damit Sie weitere Untersuchungen durchführen können.
Potenziell redundante Logscans
Event Threat Detection kann Malware im Netzwerk erkennen, indem eines der folgenden Logs gescannt wird:
- Cloud DNS-Logging
- Cloud NAT-Logging
- Logging von Firewallregeln
- VPC-Flusslogs
Wenn Sie bereits Cloud DNS-Protokolle verwenden, kann Event Threat Detection Malware anhand der Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Protokolle für die Netzwerkerkennung von Malware aus.
Wenn Sie eine zusätzliche Transparenz über die Domainauflösung hinaus benötigen, können Sie VPC-Flusslogs aktivieren. Diese können jedoch Kosten verursachen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Abtastrate auf 5% bis 10 % zu reduzieren. Allerdings ist dies ein Kompromiss zwischen Recall (höhere Abtastrate) und Kostenmanagement (niedrigere Abtastrate). Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT verwenden, können Sie diese Protokolle anstelle von VPC-Flussprotokollen verwenden.
Sie müssen nicht mehr als eine der folgenden Optionen aktivieren: Cloud NAT-Logging, Logging von Firewallregeln oder VPC-Flusslogs.
Zu aktivierende Protokolle
In diesem Abschnitt sind die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der von Event Threat Detection erkannten Bedrohungen zu erhöhen.
Bestimmte Bedrohungen, z. B. durch eine anormale Identitätsübernahme oder Delegation eines Dienstkontos, sind in den meisten Audit-Logs zu finden. Für diese Arten von Bedrohungen legen Sie anhand der von Ihnen verwendeten Produkte und Dienste fest, welche Protokolle Sie aktivieren müssen.
In der folgenden Tabelle sind bestimmte Protokolle aufgeführt, die Sie für Bedrohungen aktivieren müssen, die nur in bestimmten Protokolltypen erkannt werden können.
Logtyp | Bedrohungen erkannt | Konfiguration erforderlich |
---|---|---|
Cloud DNS-Protokollierung |
|
Cloud DNS-Logging aktivieren |
Cloud NAT-Logging |
|
Cloud NAT-Logging aktivieren |
Firewallregeln protokollieren |
|
Aktivieren Sie das Logging von Firewallregeln. |
Audit-Logs für den Datenzugriff der Google Kubernetes Engine (GKE) |
|
Audit-Logs zum Datenzugriff für GKE aktivieren |
Audit-Logs von Google Workspace Admin |
|
Google Workspace Admin-Audit-Logs für Cloud Logging freigeben Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden. |
Audit-Logs von Google Workspace Login |
|
Google Workspace Login Audit-Logs für Cloud Logging freigeben Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden. |
Backend-Dienstprotokolle des externen Application Load Balancers | Initial Access: Log4j Compromise Attempt |
Logging für externen Application Load Balancer aktivieren |
Audit-Logs für den Cloud SQL MySQL-Datenzugriff | Exfiltration: Cloud SQL Data Exfiltration |
Audit-Logs zum Datenzugriff für Cloud SQL for MySQL aktivieren |
Cloud SQL for PostgreSQL-Audit-Logs für den Datenzugriff |
|
|
AlloyDB for PostgreSQL-Auditprotokolle für den Datenzugriff |
|
|
Audit-Logs zum IAM-Datenzugriff |
Discovery: Service Account Self-Investigation
|
Audit-Logs zum Datenzugriff für Resource Manager aktivieren |
SQL Server-Audit-Logs zum Datenzugriff | Exfiltration: Cloud SQL Data Exfiltration |
Audit-Logs für den Datenzugriff für Cloud SQL for SQL Server aktivieren |
Generische Audit-Logs zum Datenzugriff |
|
Logging von Audit-Logs zum Datenzugriff aktivieren. |
authlogs/authlog auf virtuellen Maschinen | Brute force SSH |
Ops-Agent oder den alten Logging-Agent auf Ihren VM-Hosts installieren |
VPC-Flusslogs |
|
VPC-Flusslogs aktivieren |
Immer aktive Protokolle
In der folgenden Tabelle sind die Cloud Logging-Protokolle aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.
Logtyp | Bedrohungen erkannt | Konfiguration erforderlich |
---|---|---|
BigQueryAuditMetadata-Datenzugriffslogs |
Exfiltration: BigQuery-Daten-Exfiltration Exfiltration: BigQuery-Datenextraktion Exfiltration: BigQuery-Daten in Google Drive Exfiltration: Verschieben in eine öffentliche BigQuery-Ressource (Vorabversion) |
Keine |
Audit-Logs zu Administratoraktivitäten in der Google Kubernetes Engine (GKE) |
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen Rechteausweitung: Start eines privilegierten Kubernetes-Containers Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion) Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorabversion) Berechtigungseskalierung: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt (Vorabversion) Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion) Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion) Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorabversion) Rechteausweitung: ClusterRole mit privilegierten Verben (Vorabversion) Rechteausweitung: ClusterRoleBinding für privilegierte Rolle (Vorabversion) Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden (Vorabversion) Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt (Vorabversion) Defense Evasion: Mögliches Kubernetes-Pod-Masquerading (Vorabversion) Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion) Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen (Vorabversion) |
Keine |
Audit-Logs zur IAM-Administratoraktivität |
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt Persistenz: Ungewöhnliche IAM-Gewährung (Vorabversion) Persistenz: Eine sensible Rolle wurde einem nicht verwalteten Konto gewährt |
Keine |
MySQL-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Keine |
PostgreSQL-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Keine |
SQL Server-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Keine |
Generische Audit-Logs zur Administratoraktivität |
Erstzugriff: Aktion über inaktives Dienstkonto> Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen Erstzugriff: Gehackter Dienstkontoschlüssel verwendet Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt Persistenz: GCE-Administrator hat Startskript hinzugefügt Persistenz: Neue API-Methode Persistenz: Neue Region Persistenz: Neuer User-Agent Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion) |
Keine |
Audit-Logs von VPC Service Controls | Umgehung von Abwehrmaßnahmen: VPC Service Control ändern (Vorabversion) | Keine |
Audit-Logs zur Administratoraktivität für Sicherung und Notfallwiederherstellung |
Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Richtlinie zum Löschen Systemwiederherstellung verhindern: Google Cloud Backup und DR-Löschvorlage Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen Systemwiederherstellung verhindern: Google Cloud Backup und DR löschen Speicherpool Systemwiederherstellung verhindern: gelöschter Google Cloud-Sicherungs- und Notfallwiederherstellungshost Datenvernichtung: Image in Google Cloud Backup und DR ablaufen lassen Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung – Plan entfernen Auswirkungen: Google Cloud-Sicherung und Notfallwiederherstellung verkürzen den Ablauf von Sicherungen Auswirkung: Google Cloud-Sicherung und Notfallwiederherstellung verringern die Sicherungshäufigkeit |
Keine |
Nächste Schritte
- Weitere Informationen zur Verwendung von Event Threat Detection
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.