Übersicht über Event Threat Detection

Was ist Event Threat Detection?

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation oder Projekte kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.

Funktionsweise von Event Threat Detection

Event Threat Detection überwacht den Cloud Logging-Stream für Ihre Organisation oder Projekte. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, nutzt Event Threat Detection Logs für Ihre Projekte, sobald sie erstellt werden. Außerdem kann Event Threat Detection Google Workspace-Logs überwachen. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.

Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.

Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Mit Cloud Logging und Google Workspace-Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Run-Funktionen verarbeiten.

Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können Sie einige Ergebnisse zusätzlich mit Google Security Operations untersuchen. Google SecOps ist ein Google Cloud Dienst, mit dem Sie Bedrohungen untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können. Eine Anleitung zum Senden von Ergebnissen an Google SecOps finden Sie unter Ergebnisse in Google SecOps untersuchen.

Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.

Event Threat Detection-Regeln

Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.

Derzeit umfasst Event Threat Detection folgende Standardregeln:

Anzeigename API-Name Logquelltypen Beschreibung
Aktiver Scan: Log4j-Sicherheitslücken für RCE Nicht verfügbar Cloud DNS-Logs Scanner für Log4j-Sicherheitslücken haben DNS-Abfragen für nicht verschleierte Domains initiiert und erkannt. Diese Sicherheitslücke kann zur Remote-Codeausführung (Remote Code Execution, RCE) führen.
Systemwiederherstellung verhindern: Google Cloud-Sicherungs- und Notfallwiederherstellungshost gelöscht BACKUP_HOSTS_DELETE_HOST Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten des Sicherungs- und Notfallwiederherstellungsdiensts 		Ein Host wurde aus der Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt.
Datenvernichtung: Image in Google Cloud Backup und DR ablaufen lassen BACKUP_EXPIRE_IMAGE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Nutzer hat das Löschen eines Sicherungs-Images aus der Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen angefordert. Durch das Löschen eines Sicherungs-Images werden zukünftige Sicherungen nicht verhindert.
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung – Plan entfernen BACKUP_REMOVE_PLAN Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Das Löschen eines Sicherungsplans kann zukünftige Sicherungen verhindern.
Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen BACKUP_EXPIRE_IMAGES_ALL Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Nutzer hat das Löschen aller Sicherungs-Images für eine geschützte Anwendung über die Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen angefordert. Durch das Löschen von Sicherungsbildern werden zukünftige Sicherungen nicht verhindert.
Systemwiederherstellung verhindern: Google Cloud Backup und DR-Löschvorlage BACKUP_TEMPLATES_DELETE_TEMPLATE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde aus der Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen gelöscht. Die Möglichkeit, in Zukunft Sicherungen einzurichten, kann beeinträchtigt sein.
Systemwiederherstellung verhindern: Richtlinie zum Löschen von Sicherungen und Notfallwiederherstellungen in Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Eine Sicherungs- und Notfallwiederherstellungsrichtlinie, die festlegt, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde aus der Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen gelöscht. Künftige Sicherungen, bei denen die Richtlinie verwendet wird, können fehlschlagen.
Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen BACKUP_PROFILES_DELETE_PROFILE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Sicherungs- und Notfallwiederherstellungsprofil, das definiert, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde aus der Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen gelöscht. Künftige Sicherungen, die das Profil verwenden, können fehlschlagen.
Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen BACKUP_APPLIANCES_REMOVE_APPLIANCE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Eine Sicherungs-Appliance wurde aus der Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen gelöscht. Anwendungen, die mit der gelöschten Sicherungs-Appliance verknüpft sind, sind möglicherweise nicht geschützt.
Systemwiederherstellung verhindern: Google Cloud-Sicherung und Notfallwiederherstellung löschen Speicherpool BACKUP_STORAGE_POOLS_DELETE Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Speicherpool, der einen Cloud Storage-Bucket mit Sicherung und Notfallwiederherstellung verknüpft, wurde aus der Verwaltungskonsole für Sicherung und Notfallwiederherstellung entfernt. Künftige Sicherungen an diesem Speicherziel schlagen fehl.
Auswirkung: Verkürzter Ablauf von Sicherungen bei Google Cloud-Sicherung und -Notfallwiederherstellung BACKUP_REDUCE_BACKUP_EXPIRATION Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Das Ablaufdatum für eine Sicherung, die durch Sicherungen und Notfallwiederherstellungen geschützt ist, wurde über die Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen verkürzt.
Auswirkung: Google Cloud Backup und DR haben die Sicherungshäufigkeit reduziert BACKUP_REDUCE_BACKUP_FREQUENCY Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Der Sicherungszeitplan für Sicherungen und Notfallwiederherstellungen wurde geändert, um die Sicherungshäufigkeit über die Verwaltungskonsole für Sicherungen und Notfallwiederherstellungen zu verringern.
Systemwiederherstellung verhindern: Google Cloud Backup- und Notfallwiederherstellungs-Vault gelöscht BACKUP_DELETE_VAULT Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Sicherungsspeicher wurde gelöscht.
Datenvernichtung: Gelöschte Google Cloud-Sicherung und Notfallwiederherstellung BACKUP_DELETE_VAULT_BACKUP Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Eine in einem Sicherungsspeicher abgelegte Sicherung wurde manuell gelöscht.
Systemwiederherstellung verhindern: Verknüpfung von Google Cloud-Sicherungs- und Notfallwiederherstellungsplan gelöscht BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION Cloud Audit-Logs:
Audit-Logs für Administratoraktivitäten bei Sicherung und Notfallwiederherstellung 		Ein Sicherungsplan aus dem Dienst „Sicherung und Notfallwiederherstellung“ wurde aus einer Arbeitslast entfernt.
Brute-Force-SSH BRUTE_FORCE_SSH authlog Ein Akteur hat über Brute-Force-Techniken erfolgreich SSH-Zugriff auf einen Host erhalten.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Cloud IDS-Logs

Cloud IDS hat Bedrohungsereignisse erkannt.

Cloud IDS erkennt Layer 7-Angriffe durch Analyse gespiegelter Pakete und sendet bei Erkennen eines Bedrohungsereignisses ein Ergebnis der Bedrohungsklasse an das Security Command Center. Suchen Sie nach Kategorienamen, die mit „Cloud IDS“ beginnen und gefolgt werden von der Cloud IDS-Bedrohungs-ID.

Die Cloud IDS-Integration in die Ereignisbedrohungserkennung umfasst keine Cloud IDS-Sicherheitslückenerkennungen.

Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Informationen zum Cloud IDS-Logging.

Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Einem externen Mitglied wurde eine privilegierte Google-Gruppe hinzugefügt (einer Gruppe, die vertrauliche Rollen oder Berechtigungen gewährt). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Audit-Log zur Administratoraktivität
Berechtigungen:
DATA_READ

Eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) wurde so geändert, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Vertrauliche Rollen wurden einer Google-Gruppe mit externen Mitgliedern zugewiesen. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen.

Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslastbereitstellung erstellt (Vorabversion) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit-Logs:
Administratoraktivitätslogs 		Arbeitslasten wurden mithilfe des Break-Glass-Flags bereitgestellt, um die Einstellungen für die Binärautorisierung zu überschreiben.
Umgehung von Abwehrmaßnahmen: Break-Glass-Arbeitslast-Deployment aktualisiert (Vorabversion) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit-Logs:
Administratoraktivitätslogs 		Arbeitslasten wurden mithilfe des Break-Glass-Flags aktualisiert, um die Einstellungen für die Binärautorisierung zu überschreiben.
Defense Evasion: VPC Service Control modifizieren DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud-Audit-Logs VPC Service Controls-Audit-Logs

Ein vorhandener VPC Service Controls-Perimeter wurde geändert, was zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit-Logs:
GKE Data Access-Logs

Ein potenziell böswilliger Akteur hat mithilfe des Befehls kubectl auth can-i get ermittelt, welche vertraulichen Objekte in GKE abgefragt werden können. Insbesondere erkennt die Regel, ob der Akteur den API-Zugriff auf folgende Objekte geprüft hat:

Erkennung: Dienstkonto-Prüfung SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
IAM Data Access Audit Logs
Berechtigungen:
DATA_READ

Die Anmeldedaten eines IAM-Dienstkontos wurden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

E-Mail: Zugriff vom Anonymisierungs-Proxy ANOMALOUS_ACCESS Cloud Audit-Logs:
Administratoraktivitätslogs 		Google Cloud -Dienständerungen, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen.
Exfiltration: BigQuery-Daten-Exfiltration DATA_EXFILTRATION_BIG_QUERY Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Ressourcen, die der geschützten Organisation gehören, wurden außerhalb der Organisation gespeichert, einschließlich Kopier- oder Übertragungsvorgängen.

    Dieses Szenario wird durch eine untergeordnete Regel von exfil_to_external_table und einem Schweregrad von HIGH gekennzeichnet.

  • Es wurde versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.

    Dieses Szenario wird durch eine untergeordnete Regel von vpc_perimeter_violation und einem Schweregrad von LOW gekennzeichnet.

Exfiltration: BigQuery-Datenextraktion DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Erkennt folgende Szenarien:

  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wurde durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert.
  • Eine BigQuery-Ressource, die der geschützten Organisation gehört, wurde durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist diese Information nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist.
Exfiltration: BigQuery-Daten in Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ 		Eine BigQuery-Ressource, die der geschützten Organisation gehört, wurde durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert.
Exfiltration: Zu öffentlicher BigQuery-Ressource verschieben DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:
DATA_READ

Eine BigQuery-Ressource wurde in einer öffentlichen Ressource gespeichert, die Ihrer Organisation gehört.
Exfiltration: Cloud SQL-Daten-Exfiltration CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		Cloud-Audit-Logs: MySQL-Datenzugriffslogs
PostgreSQL-Datenzugriffslogs
SQL Server-Datenzugriffslogs

Erkennt folgende Szenarien:

  • Live-Instanzdaten wurden in einen Cloud Storage-Bucket außerhalb der Organisation exportiert.
  • Live-Instanzdaten wurden in einen Cloud Storage-Bucket exportiert, der der Organisation gehört und öffentlich zugänglich ist.

Bei der Aktivierung der Premium-Stufe von Security Command Center auf Projektebene ist diese Information nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist.
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit-Logs: MySQL-Administratoraktivitätslogs
PostgreSQL-Administratoraktivitätslogs
SQL Server-Administratoraktivitätslogs

Die Sicherung einer Cloud SQL-Instanz wurde auf einer Instanz außerhalb der Organisation wiederhergestellt.

Exfiltration: Cloud SQL Überprivilegierte Berechtigung CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. 		Einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle wurden alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt.
Erster Zugriff: Datenbank-Superuser schreibt in Nutzertabellen CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: Cloud SQL for PostgreSQL-Datenzugriffslogs
Cloud SQL for MySQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden. 		Ein Cloud SQL-Superuser (postgres für PostgreSQL-Server oder root für MySQL-Nutzer) hat in Nicht-Systemtabellen geschrieben.
Rechteausweitung: Überprivilegierte Berechtigung für AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. 		Einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB for PostgreSQL-Rolle wurden alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt.
Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud-Audit-Logs: AlloyDB for PostgreSQL-Datenzugriffslogs
Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. 		Ein AlloyDB for PostgreSQL-Superuser (postgres) hat in Nicht-Systemtabellen geschrieben.
Anfänglicher Zugriff: Aktion über inaktives Dienstkonto DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit-Logs: Administratoraktivitätslogs Ein inaktives nutzerverwaltetes Dienstkonto hat eine Aktion ausgelöst. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Berechtigungseskalierung: Inaktivem Dienstkonto vertrauliche Rolle gewährt DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit-Logs: IAM Admin Activity-Audit-Logs

Einem inaktiven von Nutzern verwalteten Dienstkonto wurde eine oder mehrere vertrauliche IAM-Rollen zugewiesen. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit-Logs: IAM Admin Activity-Audit-Logs Einem Hauptkonto wurden Berechtigungen zur Identitätsübernahme für ein inaktives nutzerverwaltetes Dienstkonto gewährt. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit-Logs: Administratoraktivitätslogs Ein Schlüssel wurde für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde.
Erstzugriff: Gehackter Dienstkontoschlüssel verwendet LEAKED_SA_KEY_USED Cloud Audit-Logs: Administratoraktivitätslogs
Datenzugriffslogs 		Für die Authentifizierung der Aktion wurde ein geleakter Dienstkontoschlüssel verwendet. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im öffentlichen Internet gepostet wurde.
Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen EXCESSIVE_FAILED_ATTEMPT Cloud Audit-Logs: Administratoraktivitätslogs Ein Hauptkonto hat wiederholt Fehler vom Typ Berechtigung verweigert ausgelöst, indem es Änderungen an mehreren Methoden und Diensten versucht hat.
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit-Log zur Administratoraktivität

Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert 2SV_DISABLE Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Erstzugriff: Konto deaktiviert – Gehackt ACCOUNT_DISABLED_HIJACKED Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Erstzugriff: Deaktiviert – Passwortleck ACCOUNT_DISABLED_PASSWORD_LEAK Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Das Konto eines Nutzers wurde deaktiviert, weil ein Passwortleck erkannt wurde.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Erstzugriff: Von staatlichen Stellen unterstützter Angriff GOV_ATTACK_WARNING Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Anfangszugriff: Log4j-Kompromittierungsversuch Nicht verfügbar Cloud Load Balancing-Logs:
Cloud-HTTP-Load-Balancer
Hinweis: Sie müssen das Logging für externe Application Load Balancer aktivieren, um diese Regel zu verwenden.

Es wurden JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern erkannt. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung.

Diese Regel ist immer aktiviert.
Erstzugriff: Verdächtige Anmeldung blockiert SUSPICIOUS_LOGIN Google Workspace-Logs:
Audit-Log zu Anmeldeaktivitäten
Berechtigungen:
DATA_READ

Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Log4j-Malware: Ungültige Domain LOG4J_BAD_DOMAIN Cloud DNS-Logs Log4j-Exploit-Traffic wurde anhand einer Verbindung zu oder einer Suche nach einer bekannten Domain erkannt, die bei Log4j-Angriffen verwendet wird.
Log4j-Malware: Ungültige IP-Adresse LOG4J_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs		 Log4j-Exploit-Traffic wurde anhand einer Verbindung zu einer bekannten IP-Adresse erkannt, die bei Log4j-Angriffen verwendet wird.
Malware: Schädliche Domain MALWARE_BAD_DOMAIN Cloud DNS-Logs Malware wurde aufgrund einer Verbindung zu oder einer Suche in einer bekannten schädlichen Domain erkannt.
Malware: Schädliche IP-Adresse MALWARE_BAD_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs 		Malware wurde aufgrund einer Verbindung zu einer bekannten schädlichen IP-Adresse erkannt.
Malware: Ungültige Domain für Kryptomining CRYPTOMINING_POOL_DOMAIN Cloud DNS-Logs Kryptomining wurde anhand einer Verbindung zu oder einer Suche nach einer bekannten Mining-Domain erkannt.
Malware: Schädliche Kryptomining-IP-Adresse CRYPTOMINING_POOL_IP VPC-Flusslogs
Firewallregel-Logs
Cloud NAT-Logs 		Kryptomining wurde anhand einer Verbindung zu einer bekannten Mining-IP-Adresse erkannt.
Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt GCE_ADMIN_ADD_SSH_KEY Cloud Audit-Logs:
Compute Engine Admin Activity-Audit-Logs 		Der SSH-Schlüsselwert der Compute Engine-Instanzmetadaten wurde auf einer vorhandenen Instanz (älter als 1 Woche) geändert.
Persistenz: GCE-Administrator hat Startskript hinzugefügt GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit-Logs:
Compute Engine Admin Activity-Audit-Logs 		Der Wert des Startscripts der Compute Engine-Instanzmetadaten wurde auf einer vorhandenen Instanz (älter als 1 Woche) geändert.
Persistenz: Ungewöhnliche IAM-Gewährung IAM_ANOMALOUS_GRANT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Dieser Hinweis enthält Unterregeln mit detaillierteren Informationen zu den einzelnen Fällen dieses Hinweises.

In der folgenden Liste sind alle möglichen Unterregeln aufgeführt:

  • external_service_account_added_to_policy, external_member_added_to_policy: Berechtigungen wurden IAM-Nutzern und Dienstkonten gewährt, die keine Mitglieder Ihrer Organisation oder, wenn Security Command Center nur auf Projektebene aktiviert ist, Ihres Projekts sind.

    Hinweis: Wenn das Security Command Center auf einer beliebigen Stufe auf Organisationsebene aktiviert ist, verwendet dieser Detektor die vorhandenen IAM-Richtlinien einer Organisation als Kontext. Wenn Security Command Center nur auf Projektebene aktiviert ist, verwendet der Detector nur die IAM-Richtlinien des Projekts als Kontext.

    Wenn ein externes Mitglied eine vertrauliche IAM-Gewährung erhält und weniger als drei vorhandene IAM-Richtlinien ihr ähneln, generiert dieser Detektor ein Ergebnis.

    Vertrauliche Rollen

    Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

  • external_member_invited_to_policy: Ein externes Mitglied wurde über die InsertProjectOwnershipInvite API als Inhaber des Projekts eingeladen.
  • custom_role_given_sensitive_permissions: Die Berechtigung setIAMPolicy wurde einer benutzerdefinierten Rolle hinzugefügt.
  • service_account_granted_sensitive_role_to_member: Mitgliedern wurden über ein Dienstkonto Berechtigungen gewährt. Diese Unterregel wird durch eine Teilmenge sensibler Rollen ausgelöst, die nur einfache IAM-Rollen und bestimmte Datenspeicherrollen umfassen. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.
  • policy_modified_by_default_compute_service_account: Es wurde ein Compute Engine-Standarddienstkonto verwendet, um die IAM-Einstellungen des Projekts zu ändern.
Persistenz: Einem nicht verwalteten Konto wurde eine sensible Rolle gewährt (Vorabversion) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine sensible Rolle wurde einem nicht verwalteten Konto gewährt.
Persistenz: Neue API-Methode
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit-Logs:
Administratoraktivitätslogs 		IAM-Dienstkonten haben einen anomalen Zugriff auf Google Cloud -Dienste verwendet.
Persistenz: Neue Region IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit-Logs:
Administratoraktivitätslogs

IAM-Nutzer und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen. Google Cloud

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.

Persistenz: Neuer User-Agent IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit-Logs:
Administratoraktivitätslogs

IAM-Dienstkonten, auf die über anomale oder verdächtige User-Agents zugegriffen wird Google Cloud

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Persistenz: Umschalter für SSO-Aktivierung TOGGLE_SSO_ENABLED Google Workspace:
Audit-Log zur Administratoraktivität

Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Persistenz: SSO-Einstellungen geändert CHANGE_SSO_SETTINGS Google Workspace:
Audit-Log zur Administratoraktivität

Die SSO-Einstellungen für das Administratorkonto wurden geändert.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs 		Ein potenziell anomaler Identitätsdiebstahl bei einem Dienstkonto wurde für eine Administratoraktivität verwendet.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs 		Für eine administrative Aktivität wurde eine ungewöhnliche mehrstufige delegierte Anfrage gefunden.
Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit-Logs:
Datenzugriffslogs 		Für eine Datenzugriffsaktivität wurde eine anormale mehrstufige delegierte Anfrage gefunden.
Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit-Logs:
Administratoraktivitätslogs 		Ein potenziell anomaler Anrufer/Angreifer in einer Delegierungskette wurde für eine administrative Aktivität verwendet.
Eskalierung von Berechtigungen: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit-Logs:
Datenzugriffslogs 		Ein potenziell anomaler Anrufer/Identitätsdieb in einer Delegierungskette wurde für eine Datenzugriffsaktivität verwendet.
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit-Logs:
GKE Admin Activity-Logs 		Zur Ausweitung der Berechtigungen hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding- oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle cluster-admin mithilfe einer PUT- oder PATCH-Anfrage zu ändern.
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit-Logs:
GKE Admin Activity-Logs 		Ein potenziell böswilliger Akteur hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm Zugriff auf cluster-admin gewährt.
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle cluster-admin zu erstellen.
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit-Logs:
GKE Data Access-Logs 		Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.
Rechteausweitung: Start eines privilegierten Kubernetes-Containers GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit-Logs:
GKE Admin Activity-Logs

Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.

Bei einem privilegierten Container ist das Feld privileged auf true gesetzt. Bei einem Container mit Funktionen zur Rechteausweitung ist das Feld allowPrivilegeEscalation auf true gesetzt. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter SecurityContext v1 Core in der API-Referenz.

Persistenz: Dienstkontoschlüssel erstellt SERVICE_ACCOUNT_KEY_CREATION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Es wurde ein Dienstkontoschlüssel erstellt. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko eines unbefugten Zugriffs auf Google Cloud-Ressourcen erhöhen.
Rechteausweitung: Globales Shutdown-Script hinzugefügt GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Einem Projekt wurde ein globales Shutdown-Script hinzugefügt.
Persistenz: Globales Startscript hinzugefügt GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Einem Projekt wurde ein globales Startscript hinzugefügt.
Defense Evasion: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ wurde auf Organisationsebene zugewiesen.
Defense Evasion: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die IAM-Rolle Ersteller von Dienstkonto-Tokens wurde auf Projektebene gewährt.
Lateral Movement: Ausführung von Betriebssystem-Patches über Dienstkonto OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud-Audit-Logs.
Audit-Logs zur IAM-Administratoraktivität 		Ein Dienstkonto hat die Compute Engine-Patchfunktion verwendet, um das Betriebssystem aller derzeit ausgeführten Compute Engine-Instanzen zu aktualisieren.
Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud-Audit-Logs:
Compute Engine-Audit-Logs 		Ein Bootlaufwerk wurde von einer Compute Engine-Instanz getrennt und an eine andere angehängt. Dies kann auf einen schädlichen Versuch hindeuten, das System mit einem manipulierten Bootlaufwerk zu manipulieren.
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit-Logs:
GKE Data Access-Logs 		Ein Dienstkonto im aktuellen Kubernetes-Namespace hat auf Secrets oder Dienstkonto-Token zugegriffen.
Ressourcenentwicklung: Aktivität in einer Offensive Security-Distribution OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine Google Cloud -Ressource wurde erfolgreich durch bekannte Penetrationstests oder offensive Sicherheitsdistributionen manipuliert.
Berechtigungseskalierung: Neues Dienstkonto ist „Owner“ oder „Editor“ SERVICE_ACCOUNT_EDITOR_OWNER Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Ein neues Dienstkonto mit den Rollen „Bearbeiter“ oder „Inhaber“ wurde für ein Projekt erstellt.
Erkennung: Tool zur Informationserfassung verwendet INFORMATION_GATHERING_TOOL_USED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Nutzung von ScoutSuite wurde erkannt. ScoutSuite ist ein Tool zur Cloud-Sicherheitsprüfung, das von Angreifern verwendet wird.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Berechtigung iam.serviceAccounts.implicitDelegation wurde missbraucht, um Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Ein Dienstkonto hat die Methode serviceAccounts.signJwt verwendet, um ein Zugriffstoken für ein anderes Dienstkonto zu generieren.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Die IAM-Berechtigung iam.serviceAccounts.getOpenIdToken wurde projektübergreifend verwendet.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Rechteausweitung: Verdächtige Tokengenerierung SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Die IAM-Berechtigung iam.serviceAccounts.getAccessToken wurde projektübergreifend verwendet.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Rechteausweitung: Verdächtige Verwendung projektübergreifender Berechtigungen SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

Die IAM-Berechtigung datafusion.instances.create wurde projektübergreifend verwendet.

Dieser Hinweis ist für Aktivierungen auf Projektebene nicht verfügbar.
Command-and-Control-Aktivitäten: DNS-Tunneling DNS_TUNNELING_IODINE_HANDSHAKE Cloud DNS-Logs Der Handshake des DNS-Tunneling-Tools Iodine wurde erkannt.
Umgehung von Abwehrmaßnahmen: Versuch einer VPC-Routen-Masquerade VPC_ROUTE_MASQUERADE Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		VPC-Routen, die als Google Cloud Standardrouten getarnt waren, wurden manuell erstellt, wodurch ausgehender Traffic zu externen IP-Adressen zugelassen wurde.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_SINGLE_PROJECT Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Abrechnung wurde für ein Projekt deaktiviert.
Auswirkungen: Abrechnung deaktiviert BILLING_DISABLED_MULTIPLE_PROJECTS Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Die Abrechnung wurde für mehrere Projekte in einer Organisation innerhalb kurzer Zeit deaktiviert.
Auswirkung: Block mit hoher Priorität der VPC-Firewall VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Es wurde eine VPC-Firewallregel mit der Priorität 0 hinzugefügt, die den gesamten ausgehenden Traffic blockiert.
Auswirkung: Die Massenlöschung von VPC-Firewallregeln ist vorübergehend nicht verfügbar VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs

VPC-Firewallregeln wurden von Konten gelöscht, die keine Dienstkonten sind.

Diese Regel ist vorübergehend nicht verfügbar. Verwenden Sie die Cloud-Audit-Logs, um Aktualisierungen Ihrer Firewallregeln zu überwachen.

Auswirkungen: Service API deaktiviert SERVICE_API_DISABLED Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine Google Cloud -Dienst-API wurde in einer Produktionsumgebung deaktiviert.
Auswirkung: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt MIG_AUTOSCALING_SET_TO_MAX Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Eine verwaltete Instanzgruppe wurde für die maximale automatische Skalierung konfiguriert.
Erkennung: Nicht autorisierter API-Aufruf des Dienstkontos UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit-Logs:
IAM Admin Activity-Audit-Logs 		Ein Dienstkonto hat einen nicht autorisierten projektübergreifenden API-Aufruf ausgeführt.
Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit-Logs:
GKE Admin Activity-Logs 		Es wurde ein ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (Role-based Access Control, RBAC) erstellt, das anonymen Nutzern das root-cluster-admin-binding-Verhalten hinzufügt.
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs 		Eine Ressource wurde von einem praktisch anonymen Internetnutzer erstellt.
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorabversion) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit-Logs:
GKE Admin Activity-Logs 		Eine Ressource wurde von einem praktisch anonymen Internetnutzer manipuliert.
Berechtigungseskalierung: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit-Logs:
GKE Admin Activity-Logs

Jemand hat eine RBAC-Bindung erstellt, die auf einen der folgenden Nutzer oder Gruppen verweist:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Diese Nutzer und Gruppen sind praktisch anonym und sollten beim Erstellen von Rollenbindungen oder Clusterrollenbindungen an RBAC-Rollen vermieden werden. Prüfen Sie, ob die Bindung erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie.

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion) GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat die Befehle exec oder attach verwendet, um eine Shell aufzurufen oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird. Diese Methoden werden manchmal für legitime Zwecke zur Fehlerbehebung verwendet. Der Namespace kube-system ist jedoch für von Kubernetes erstellte Systemobjekte vorgesehen. Unerwartete Befehlsausführung oder Shell-Erstellung sollten überprüft werden.
Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion) GKE_SENSITIVE_HOSTPATH Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast erstellt, die ein hostPath-Volume bereitstellt, das auf einen sensiblen Pfad im Dateisystem des Hostknotens verweist. Der Zugriff auf diese Pfade im Hostdateisystem kann für den Zugriff auf privilegierte oder vertrauliche Informationen auf dem Knoten und für Container-Escapes verwendet werden. Lassen Sie nach Möglichkeit keine hostPath-Volumes in Ihrem Cluster zu.
Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorabversion) GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast bereitgestellt, bei der die Option shareProcessNamespace auf true festgelegt war. Dadurch können alle Container denselben Linux-Prozess-Namespace verwenden. So kann ein nicht vertrauenswürdiger oder manipulierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, den Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift, die in anderen Containern ausgeführt werden.
Rechteausweitung: ClusterRole mit privilegierten Verben (Vorabversion) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine RBAC-ClusterRole erstellt, die die Verben bind, escalate oder impersonate enthält. Ein Subjekt, das mit einer Rolle mit diesen Verben verknüpft ist, kann sich als andere Nutzer mit höheren Berechtigungen ausgeben, an zusätzliche Roles oder ClusterRoles mit zusätzlichen Berechtigungen gebunden werden oder seine eigenen ClusterRole-Berechtigungen ändern. Dies kann dazu führen, dass diese Subjekte Cluster-Administratorberechtigungen erhalten.
Rechteausweitung: ClusterRoleBinding für privilegierte Rolle GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf die Standardsystem:controller:clusterrole-aggregation-controller ClusterRole verweist. Diese Standard-ClusterRole hat das Verb escalate, mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was eine Rechteausweitung ermöglicht.
Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) GKE_MANUALLY_DELETED_CSR Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell gelöscht. CSRs werden automatisch von einem Garbage-Collection-Controller entfernt. Böswillige Akteure können sie jedoch manuell löschen, um eine Erkennung zu vermeiden. Wenn die gelöschte CSR für ein genehmigtes und ausgestelltes Zertifikat war, hat der potenziell böswillige Akteur jetzt eine zusätzliche Authentifizierungsmethode für den Zugriff auf den Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Subjekt, können aber sehr weitreichend sein. Der Widerruf von Zertifikaten wird von Kubernetes nicht unterstützt.
Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden GKE_APPROVE_CSR_FORBIDDEN Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode, mit der Angreifer dauerhaften Zugriff auf einen manipulierten Cluster erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein.
Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion) GKE_CSR_APPROVED Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell genehmigt. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode, mit der Angreifer dauerhaften Zugriff auf einen manipulierten Cluster erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nach dem enthaltenen Thema, können aber sehr weitreichend sein.
Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt GKE_REVERSE_SHELL_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die normalerweise mit einer Reverse-Shell in Verbindung gebracht werden. Angreifer verwenden Reverse-Shells, um ihren ursprünglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und beliebige Befehle auszuführen.
Umgehung von Abwehrmaßnahmen: Mögliches Kubernetes-Pod-Masquerading GKE_POD_MASQUERADING Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die den Standardarbeitslasten ähnelt, die GKE für den regulären Clusterbetrieb erstellt. Diese Technik wird als Masquerading bezeichnet.
Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion) GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die gängigen Tools ähnelt, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden.
Persistenz: Dienstkonto in sensiblem Namespace erstellt GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat ein Dienstkonto in einem sensiblen Namespace erstellt. Die Namespaces kube-system und kube-public sind für die GKE-Cluster-Bedienung entscheidend. Nicht autorisierte Dienstkonten können die Stabilität und Sicherheit des Clusters beeinträchtigen.
Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der von gängigen Kryptowährungs-Coin-Minern ähnelt. Dies kann ein Versuch eines Angreifers sein, der den ersten Zugriff auf den Cluster erhalten hat, die Ressourcen des Clusters für das Mining von Kryptowährungen zu verwenden.
Ausführung: Arbeitslast in sensiblem Namespace ausgelöst GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat eine Arbeitslast (z. B. einen Pod oder ein Deployment) in den Namespaces kube-system oder kube-public bereitgestellt. Diese Namespaces sind für die GKE-Cluster-Bedienung entscheidend und nicht autorisierte Arbeitslasten könnten die Stabilität oder Sicherheit des Clusters beeinträchtigen.
Ausführung: Start eines äußerst leistungsfähigen GKE-Containers (Vorabversion) GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen Container mit einer oder mehreren der folgenden Funktionen in einem Cluster mit erhöhtem Sicherheitskontext erstellt:
  • CAP_SYS_MODULE
  • CAP_SYS_RAWIO
  • CAP_SYS_PTRACE
  • CAP_SYS_BOOT
  • CAP_DAC_READ_SEARCH
  • CAP_NET_ADMIN
  • CAP_BPF
Mit diesen Funktionen können Container verlassen werden. Seien Sie vorsichtig, wenn Sie diese Funktionen bereitstellen.
Persistenz: GKE-Webhook-Konfiguration erkannt GKE_WEBHOOK_CONFIG_CREATED Cloud Audit-Logs:
GKE Admin Activity-Logs 		In Ihrem GKE-Cluster wurde eine Webhook-Konfiguration erkannt. Webhooks können Kubernetes API-Anfragen abfangen und ändern, wodurch Angreifer möglicherweise in Ihrem Cluster bleiben oder Ressourcen manipulieren können.
Umgehung von Abwehrmaßnahmen: Statischer Pod erstellt GKE_STATIC_POD_CREATED Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat in Ihrem GKE-Cluster einen statischen Pod erstellt. Statische Pods werden direkt auf dem Knoten ausgeführt und umgehen den Kubernetes API-Server. Dadurch sind sie schwieriger zu überwachen und zu steuern. Angreifer können statische Pods verwenden, um der Erkennung zu entgehen oder ihre Präsenz aufrechtzuerhalten.
Erster Zugriff: Erfolgreicher API-Aufruf von einer TOR-Proxy-IP-Adresse GKE_TOR_PROXY_IP_REQUEST Cloud Audit-Logs:
GKE Admin Activity-Logs 		Es wurde ein erfolgreicher API-Aufruf an Ihren GKE-Cluster von einer IP-Adresse gesendet, die mit dem Tor-Netzwerk verknüpft ist. Tor bietet Anonymität, die Angreifer häufig nutzen, um ihre Identität zu verbergen.
Anfänglicher Zugriff: GKE-NodePort-Dienst erstellt GKE_NODEPORT_SERVICE_CREATED Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat einen NodePort-Dienst erstellt. NodePort-Dienste stellen Pods direkt über die IP-Adresse und den statischen Port eines Knotens bereit, sodass die Pods von außerhalb des Clusters zugänglich sind. Dies kann ein erhebliches Sicherheitsrisiko darstellen, da Angreifer Sicherheitslücken im freigegebenen Dienst ausnutzen könnten, um Zugriff auf den Cluster oder sensible Daten zu erhalten.
Auswirkung: GKE-kube-dns-Änderung erkannt (Vorabversion) GKE_KUBE_DNS_MODIFICATION Cloud Audit-Logs:
GKE Admin Activity-Logs 		Jemand hat die kube-dns-Konfiguration in Ihrem GKE-Cluster geändert. GKE kube-dns ist eine wichtige Komponente des Clusternetzwerks. Eine Fehlkonfiguration kann zu einer Sicherheitsverletzung führen.
Auswirkung: Cryptomining-Befehle (Vorabversion) CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS Cloud Audit-Logs:
Audit-Logs für IAM-Systemereignisse 		Bestimmte Cryptomining-Befehle wurden während der Ausführung an einen Cloud Run-Job angehängt.
Ausführung: Docker-Image für Cryptomining (Vorabversion) CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES Cloud Audit-Logs:
Audit-Logs für IAM-Systemereignisse 		Bestimmte bekannte fehlerhafte Docker-Images wurden einem neuen oder vorhandenen Cloud Run-Dienst oder -Job hinzugefügt.
Berechtigungseskalierung: Standard-Compute Engine-Dienstkonto SetIAMPolicy (Vorabversion) CLOUD_RUN_SERVICES_SET_IAM_POLICY Cloud Audit-Logs:
Administratoraktivitätslogs 		Die IAM-Richtlinie für einen Cloud Run-Dienst wurde mit dem Compute Engine-Standarddienstkonto festgelegt. Dies ist eine mögliche Aktion nach der Ausnutzung, wenn ein Compute Engine-Token von einem serverlosen Dienst manipuliert wird.
Informationen zu eingestellten und eingestellten Regeln finden Sie unter Eingestellte Produkte und Dienste.

Benutzerdefinierte Module für Event Threat Detection

Neben den integrierten Erkennungsregeln bietet Event Threat Detection auch Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.

Wenn Sie Erkennungsregeln erstellen möchten, für die keine benutzerdefinierten Modulvorlagen verfügbar sind, können Sie Ihre Logdaten nach BigQuery exportieren und dann einmalige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.

Unsichere Änderungen an Google-Gruppen

In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Das Erkennen von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.

Google Cloud -Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.

Google-Gruppen sind zwar eine praktische Möglichkeit, die Zugriffssteuerung in großem Umfang zu verwalten, können aber ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.

In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.

Wenn Sie Ihre Google Workspace-Logs für Google Cloudfreigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Protokolle auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Protokolle nur dann scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Protokolle nicht prüfen, wenn Sie Security Command Center auf Projektebene aktivieren.

Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:

  • Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
  • Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
  • Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann

Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.

Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.

Vertrauliche IAM-Rollen und -Berechtigungen

In diesem Abschnitt wird erläutert, wie in Event Threat Detection sensible IAM-Rollen definiert werden. Erkennungen wie „Anomaler IAM-Zugriff“ und „Unsichere Änderungen an Google-Gruppen“ generieren nur dann Ergebnisse, wenn Änderungen Rollen mit hoher oder mittlerer Vertraulichkeit betreffen. Die Vertraulichkeit von Rollen wirkt sich auf die Bewertung der Ergebnisse aus.

  • Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
  • Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud -Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
    • Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
    • Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.

Die Gewährung dieser sensiblen Rollen gilt als gefährlich, wenn der Begünstigte ein externes Mitglied oder eine ungewöhnliche Identität ist, z. B. ein Prinzipal, der seit langem inaktiv ist.

Wenn Sie externen Mitgliedern sensible Rollen zuweisen, entsteht eine potenzielle Bedrohung, da diese Rollen für die Manipulation von Konten und die Datenexfiltration missbraucht werden können.

Beispiele für Kategorien, in denen diese sensiblen Rollen verwendet werden:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Unterregel: external_service_account_added_to_policy
    • Unterregel: external_member_added_to_policy
  • Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt
  • Berechtigungseskalierung: Vertrauliche Rolle für inaktives Dienstkonto gewährt

Beispiele für Suchkategorien, in denen eine Teilmenge der sensiblen Rollen verwendet wird:

  • Persistenz: Ungewöhnliche IAM-Gewährung
    • Unterregel: service_account_granted_sensitive_role_to_member

Die service_account_granted_sensitive_role_to_member-Unterregel richtet sich allgemein sowohl an externe als auch an interne Mitglieder und verwendet daher nur einen Teil der vertraulichen Rollen, wie in den Regeln für Event Threat Detection erläutert.

Kategorie Rolle Beschreibung
Einfache Rollen: umfassen Tausende von Berechtigungen für alle Google Cloud -Dienste. roles/owner Einfache Rollen
roles/editor
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen roles/cloudkms.* Alle Cloud Key Management Service-Rollen
roles/cloudsecurityscanner.* Alle Web Security Scanner-Rollen
roles/dlp.* Alle Rollen für den Schutz sensibler Daten
roles/iam.* Alle IAM-Rollen
roles/secretmanager.* Alle Secret Manager-Rollen
roles/securitycenter.* Alle Security Command Center-Rollen
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation roles/errorreporting.* Alle Error Reporting-Rollen
roles/logging.* Alle Cloud Logging-Rollen
roles/stackdriver.* Alle Cloud Monitoring-Rollen
Rollen mit personenbezogenen Daten: steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen roles/billing.* Alle Cloud Billing-Rollen
roles/healthcare.* Alle Cloud Healthcare API-Rollen
roles/essentialcontacts.* Alle „Wichtige Kontakte“-Rollen
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation roles/dns.* Alle Cloud DNS-Rollen
roles/domains.* Alle Cloud Domains-Rollen
roles/networkconnectivity.* Alle Network Connectivity Center-Rollen
roles/networkmanagement.* Alle Network Connectivity Center-Rollen
roles/privateca.* Alle Certificate Authority Service-Rollen
Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud roles/cloudasset.* Alle Cloud Asset Inventory-Rollen
roles/servicedirectory.* Alle Service Directory-Rollen
roles/servicemanagement.* Alle Service Management-Rollen
roles/servicenetworking.* Alle Service Networking-Rollen
roles/serviceusage.* Alle Service Usage-Rollen
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Alle Compute Engine-Rollen: Administrator und Bearbeiter
Kategorie Rolle Beschreibung
Bearbeitungsrollen: IAM-Rollen, die Berechtigungen zum Ändern von Google Cloud -Ressourcen umfassen

Beispiele:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor.

Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.

Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten

Beispiele:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen.
Alle Rollen mit mittlerer Vertraulichkeit

Access Approval

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Aktionen

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Binärautorisierung

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBeta

Cloud Run-Funktionen

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Artefaktanalyse

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops-Config-Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

Organisationsrichtliniendienst

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Weitere Rollen

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Empfehlungen

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Recommender

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Ressourceneinstellungen

  • roles/resourcesettings.admin

Serverless VPC Access

  • roles/vpcaccess.admin

Dienstnutzerverwaltung

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Vertex AI Workbench: Nutzerverwaltete Notebooks

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Protokolltypen und Aktivierungsanforderungen

In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.

Sie müssen ein Protokoll für Event Threat Detection nur aktivieren, wenn alle folgenden Bedingungen erfüllt sind:

  • Sie verwenden das Produkt oder den Dienst, das bzw. der in das Protokoll schreibt.
  • Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, die die Ereignisbedrohungserkennung im Protokoll erkennt.
  • Das Protokoll ist ein Audit-Log für den Datenzugriff oder ein anderes Protokoll, das standardmäßig deaktiviert ist.

Bestimmte Bedrohungen können in mehreren Protokollen erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem bereits aktivierten Log erkennen kann, müssen Sie kein weiteres Log aktivieren, um dieselbe Bedrohung zu erkennen.

Wenn ein Protokoll in diesem Abschnitt nicht aufgeführt ist, wird es von Event Threat Detection nicht gescannt, auch wenn die Funktion aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Log-Scans.

Wie in der folgenden Tabelle beschrieben, sind einige Protokolltypen nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center auf Projektebene aktivieren, werden diese Logs von Event Threat Detection nicht gescannt und es werden keine Ergebnisse erstellt.

Grundlegende Protokollquellen

Event Threat Detection verwendet grundlegende Datenquellen, um potenziell schädliche Aktivitäten in Ihrem Netzwerk zu erkennen.

  • Wenn Sie Event Threat Detection ohne VPC-Flusslogs aktivieren, wird sofort ein unabhängiger, duplizierter und interner Stream von VPC-Flusslogs analysiert. Wenn Sie ein vorhandenes Ergebnis von Event Threat Detection genauer untersuchen möchten, müssen Sie VPC-Flusslogs aktivieren und den Log-Explorer und den Flussanalysator manuell aufrufen. Wenn Sie VPC-Flusslogs zu einem späteren Zeitpunkt aktivieren, enthalten nur zukünftige Ergebnisse die relevanten Links für weitere Untersuchungen.

  • Wenn Sie Event Threat Detection mit VPC-Flusslogs aktivieren, werden die VPC-Flusslogs in Ihrer Bereitstellung sofort analysiert. Außerdem werden Links zum Log-Explorer und zu Flow Analyzer angezeigt, damit Sie weitere Untersuchungen durchführen können.

Potenziell redundante Logscans

Event Threat Detection kann Malware im Netzwerk erkennen, indem eines der folgenden Logs gescannt wird:

  • Cloud DNS-Logging
  • Cloud NAT-Logging
  • Logging von Firewallregeln
  • VPC-Flusslogs

Wenn Sie bereits Cloud DNS-Protokolle verwenden, kann Event Threat Detection Malware anhand der Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Protokolle für die Netzwerkerkennung von Malware aus.

Wenn Sie eine weitere Sichtbarkeit über die Domainauflösung hinaus benötigen, können Sie VPC-Flusslogs aktivieren. Diese können jedoch Kosten verursachen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Abtastrate auf 5% bis 10 % zu reduzieren. Allerdings ist dies ein Kompromiss zwischen Recall (höhere Abtastrate) und Kostenmanagement (niedrigere Abtastrate). Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.

Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT verwenden, können Sie diese Protokolle anstelle von VPC-Flussprotokollen verwenden.

Sie müssen nicht mehr als eine der folgenden Optionen aktivieren: Cloud NAT-Logging, Logging von Firewallregeln oder VPC-Flusslogs.

Zu aktivierende Protokolle

In diesem Abschnitt sind die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der Bedrohungen zu erhöhen, die mit Event Threat Detection erkannt werden können.

Bestimmte Bedrohungen, z. B. durch eine anormale Identitätsübernahme oder Delegation eines Dienstkontos, sind in den meisten Audit-Logs zu finden. Für diese Arten von Bedrohungen legen Sie anhand der von Ihnen verwendeten Produkte und Dienste fest, welche Protokolle aktiviert werden müssen.

In der folgenden Tabelle sind bestimmte Protokolle aufgeführt, die Sie für Bedrohungen aktivieren müssen, die nur in bestimmten Protokolltypen erkannt werden können.

Logtyp Bedrohungen erkannt Konfiguration erforderlich
Cloud DNS-Protokollierung

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Cloud DNS-Logging aktivieren
Cloud NAT-Logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Cloud NAT-Logging aktivieren
Firewallregeln protokollieren

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Aktivieren Sie das Logging von Firewallregeln.
Audit-Logs für den Datenzugriff der Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Audit-Logs zum Datenzugriff für GKE aktivieren
Audit-Logs von Google Workspace Admin

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Google Workspace Admin-Audit-Logs für Cloud Logging freigeben

Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden.
Audit-Logs von Google Workspace Login

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Google Workspace Login Audit-Logs für Cloud Logging freigeben

Dieser Protokolltyp kann nicht bei Aktivierungen auf Projektebene gescannt werden.
Application Load Balancer-Backenddienstprotokolle Initial Access: Log4j Compromise Attempt Logging für externen Application Load Balancer aktivieren
Audit-Logs für den Cloud SQL MySQL-Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Audit-Logs zum Datenzugriff für Cloud SQL for MySQL aktivieren
Cloud SQL for PostgreSQL-Audit-Logs für den Datenzugriff

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant
Audit-Protokolle für den Datenzugriff in AlloyDB for PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant
Audit-Logs zum IAM-Datenzugriff Discovery: Service Account Self-Investigation Audit-Logs zum Datenzugriff für Resource Manager aktivieren
SQL Server-Audit-Logs zum Datenzugriff Exfiltration: Cloud SQL Data Exfiltration Audit-Logs zum Datenzugriff für Cloud SQL for SQL Server aktivieren
Generische Audit-Logs zum Datenzugriff

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Logging von Audit-Logs zum Datenzugriff aktivieren.
authlogs/authlog auf virtuellen Maschinen Brute force SSH Ops-Agent oder den alten Logging-Agent auf Ihren VM-Hosts installieren
VPC-Flusslogs

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 VPC-Flusslogs aktivieren

Immer aktive Protokolle

In der folgenden Tabelle sind die Cloud Logging-Protokolle aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.

Logtyp Bedrohungen erkannt Konfiguration erforderlich
BigQueryAuditMetadata-Datenzugriffslogs

Exfiltration: BigQuery-Daten-Exfiltration

Exfiltration: BigQuery-Datenextraktion

Exfiltration: BigQuery-Daten in Google Drive

Exfiltration: Verschieben in eine öffentliche BigQuery-Ressource (Vorabversion)

 Keine
Audit-Logs zu Administratoraktivitäten in der Google Kubernetes Engine (GKE)

Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten

Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen

Rechteausweitung: Start eines privilegierten Kubernetes-Containers

Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat

Umgehung von Abwehrmaßnahmen: Von anonymen Sitzungen gewährter Clusteradministratorzugriff

Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorabversion)

Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorabversion)

Berechtigungseskalierung: Effektiv anonymen Nutzern wird GKE-Clusterzugriff gewährt

Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorabversion)

Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorabversion)

Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorabversion)

Rechteausweitung: ClusterRole mit privilegierten Verben (Vorabversion)

Rechteausweitung: ClusterRoleBinding für privilegierte Rolle

Defense Evasion: Manuell gelöschte Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR)

Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden

Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorabversion)

Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt

Umgehung von Abwehrmaßnahmen: Mögliches Kubernetes-Pod-Masquerading

Persistenz: Dienstkonto in sensiblem Namespace erstellt

Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorabversion)

Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen

Ausführung: Arbeitslast in sensiblem Namespace ausgelöst

Ausführung: Start eines äußerst leistungsfähigen GKE-Containers (Vorabversion)

Persistenz: GKE-Webhook-Konfiguration erkannt

Umgehung von Abwehrmaßnahmen: Statischer Pod erstellt

Erster Zugriff: Erfolgreicher API-Aufruf von einer TOR-Proxy-IP

Anfänglicher Zugriff: GKE-NodePort-Dienst erstellt

Auswirkung: GKE-kube-dns-Änderung erkannt (Vorabversion)

Keine
Audit-Logs zur IAM-Administratoraktivität

Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt

Berechtigungseskalierung: Inaktivem Dienstkonto vertrauliche Rolle gewährt

Persistenz: Rolle „Impersonation“ für inaktives Dienstkonto gewährt

Persistenz: Ungewöhnliche IAM-Gewährung (Vorabversion)

Persistenz: Eine sensible Rolle wurde einem nicht verwalteten Konto gewährt

Berechtigungsaufstieg: Standard-Compute Engine-Dienstkonto darf IAM-Richtlinie festlegen (Vorabversion)

Keine
MySQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
PostgreSQL-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
SQL Server-Administratoraktivitätslogs Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation Keine
Generische Audit-Logs zur Administratoraktivität

Anfänglicher Zugriff: Aktion über inaktives Dienstkonto

Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt

Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen

Erstzugriff: Gehackter Dienstkontoschlüssel verwendet

Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt

Persistenz: GCE-Administrator hat Startskript hinzugefügt

Persistenz: Neue API-Methode

Persistenz: Neue Region

Persistenz: Neuer User-Agent

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten

Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten

Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten

Lateral Movement: An Instanz angehängtes geändertes Bootlaufwerk (Vorabversion)

Keine
Audit-Logs von VPC Service Controls Umgehung von Abwehrmaßnahmen: VPC Service Control ändern (Vorabversion) Keine
Audit-Logs zur Administratoraktivität für Sicherung und Notfallwiederherstellung

Datenvernichtung: Alle Images werden von Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen gelassen

Systemwiederherstellung verhindern: Richtlinie zum Löschen von Sicherungen und Notfallwiederherstellungen in Google Cloud

Systemwiederherstellung verhindern: Google Cloud Backup und DR-Löschvorlage

Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung, Profil löschen

Systemwiederherstellung verhindern: Google Cloud Backup und DR löschen Speicherpool

Systemwiederherstellung verhindern: gelöschter Google Cloud-Sicherungs- und Notfallwiederherstellungshost

Datenvernichtung: Image in Google Cloud-Sicherung und -Notfallwiederherstellung ablaufen lassen

Datenvernichtung: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Appliance entfernen

Systemwiederherstellung verhindern: Google Cloud-Sicherung/-Notfallwiederherstellung – Plan entfernen

Auswirkungen: Google Cloud-Sicherung und Notfallwiederherstellung verkürzen den Ablauf von Sicherungen

Auswirkung: Google Cloud-Sicherung und -Notfallwiederherstellung verringern die Sicherungshäufigkeit

Systemwiederherstellung verhindern: Google Cloud-Sicherungs- und Notfallwiederherstellungs-Vault gelöscht

Datenvernichtung: Gelöschte Sicherungen von Google Cloud Backup und DR

Systemwiederherstellung verhindern: Verknüpfung von Google Cloud-Sicherung und Notfallwiederherstellungsplan gelöscht

Keine
Audit-Logs zu IAM-Systemereignissen

Auswirkung: Cryptomining-Befehle (Vorabversion)

Ausführung: Docker-Image für Cryptomining (Vorabversion)

 Keine

Nächste Schritte