Cette page a été traduite par l'API Cloud Translation.

Présentation d'Event Threat Detection

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation ou vos projets, et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets dès leur création et peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.

Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.

Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire des résultats dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec des fonctions Cloud Run.

Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez également utiliser Google Security Operations pour examiner certains résultats. Google SecOps est un Google Cloud service qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour savoir comment envoyer des résultats à Google SecOps, consultez la page Examiner les résultats dans Google SecOps.

Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.

Règles d'Event Threat Detection

Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher	Nom de l'API	Types de sources de journal	Description
Analyse active : Log4j vulnérable à RCE	Indisponible	Journaux Cloud DNS	Les outils d'analyse des failles Log4j ont lancé et identifié des requêtes DNS pour des domaines non obscurcis. Cette faille peut entraîner une exécution de code à distance (RCE).
Inhibit System Recovery (Empêcher la récupération du système) : hôte de sauvegarde et de reprise après sinistre Google Cloud supprimé	`BACKUP_HOSTS_DELETE_HOST`	Journaux d'audit Cloud: Journaux d'audit des activités des administrateurs du service de sauvegarde et de reprise après sinistre	Un hôte a été supprimé de la console de gestion Backup and DR. Les applications associées à l'hôte supprimé risquent de ne pas être protégées.
Destruction des données: image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud	`BACKUP_EXPIRE_IMAGE`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un utilisateur a demandé la suppression d'une image de sauvegarde de la console de gestion des sauvegardes et de la reprise après sinistre. La suppression d'une image de sauvegarde n'empêche pas les sauvegardes futures.
Inhibit System Recovery (Empêcher la récupération du système) : supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud	`BACKUP_REMOVE_PLAN`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un plan de sauvegarde avec plusieurs règles pour une application a été supprimé de Backup and DR. La suppression d'un plan de sauvegarde peut empêcher les futures sauvegardes.
Destruction des données: sauvegarde et reprise après sinistre Google Cloud expirent toutes les images	`BACKUP_EXPIRE_IMAGES_ALL`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un utilisateur a demandé la suppression de toutes les images de sauvegarde d'une application protégée à partir de la console de gestion des sauvegardes et de la reprise après sinistre. La suppression des images de sauvegarde n'empêche pas les sauvegardes futures.
Inhibit System Recovery (Empêcher la récupération du système) : modèle de suppression de Google Cloud Backup and DR	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un modèle de sauvegarde prédéfini, qui permet de configurer des sauvegardes pour plusieurs applications, a été supprimé de la console de gestion Backup and DR. La possibilité de configurer des sauvegardes à l'avenir pourrait être affectée.
Inhibit System Recovery (Empêcher la récupération du système) : règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Une règle de sauvegarde et de reprise après sinistre, qui définit comment une sauvegarde est effectuée et où elle est stockée, a été supprimée de la console de gestion de la sauvegarde et de la reprise après sinistre. Les futures sauvegardes qui utilisent la règle risquent d'échouer.
Inhibit System Recovery (Empêcher la récupération du système) : profil de suppression de la sauvegarde et de la reprise après sinistre Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un profil Backup and DR, qui définit les pools de stockage à utiliser pour stocker les sauvegardes, a été supprimé de la console de gestion Backup and DR. Les futures sauvegardes qui utilisent le profil risquent d'échouer.
Destruction des données: suppression de l'appareil de sauvegarde-reprise après sinistre Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un appareil de sauvegarde a été supprimé de la console de gestion Backup and DR. Les applications associées à l'appli de sauvegarde supprimée ne sont peut-être pas protégées.
Inhibit System Recovery (Empêcher la récupération du système) : Google Cloud Backup and DR delete storage pool (Supprimer le pool de stockage)	`BACKUP_STORAGE_POOLS_DELETE`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un pool de stockage, qui associe un bucket Cloud Storage à Backup and DR, a été supprimé de la console de gestion de Backup and DR. Les futures sauvegardes vers cette cible de stockage échoueront.
Impact: Réduction du délai d'expiration des sauvegardes dans Google Cloud Backup and DR	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	La date d'expiration d'une sauvegarde protégée par Backup and DR a été réduite via la console de gestion Backup and DR.
Impact: Google Cloud Backup and DR a réduit la fréquence de sauvegarde	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	La planification des sauvegardes Backup and DR a été modifiée pour réduire la fréquence des sauvegardes via la console de gestion Backup and DR.
Inhibit System Recovery: Deleted Google Cloud Backup and DR Vault	`BACKUP_DELETE_VAULT`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un coffre de sauvegarde a été supprimé.
Destruction des données: suppression de la sauvegarde Google Cloud et de la sauvegarde de reprise après sinistre	`BACKUP_DELETE_VAULT_BACKUP`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Une sauvegarde stockée dans un backup vault a été supprimée manuellement.
Inhibit System Recovery (Empêcher la récupération du système) : association du plan de sauvegarde et de reprise après sinistre Google Cloud supprimée	`BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre	Un plan de sauvegarde de Backup and DR a été supprimé d'une charge de travail.
Attaques par force brute SSH	`BRUTE_FORCE_SSH`	authlog	Un acteur a réussi à accéder à un hôte via SSH à l'aide de techniques de force brute.
Cloud IDS: `THREAT_IDENTIFIER`	`CLOUD_IDS_THREAT_ACTIVITY`	Journaux Cloud IDS	Cloud IDS a détecté des événements de menace. L'IDS cloud détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'un événement de menace est détecté, envoie un résultat de classe de menace à Security Command Center. Les noms de catégories commencent par "Cloud IDS", suivis de l'identifiant de menace Cloud IDS. L'intégration de Cloud IDS à la détection des menaces d'événements n'inclut pas les détections de failles Cloud IDS. Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur la journalisation Cloud IDS.
Accès aux identifiants : membre externe ajouté au groupe privilégié	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Journaux Google Workspace: Audit des connexions Autorisations: `DATA_READ`	Un membre externe a été ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès aux identifiants : groupe privilégié ouvert au public	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Audit d'administration Autorisations: `DATA_READ`	Un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) a été modifié pour devenir accessible au grand public. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès aux identifiants : rôle sensible attribué au groupe hybride	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Des rôles sensibles ont été attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Contournement des défenses: déploiement de charges de travail en mode "bris de glace" créé (bêta)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Cloud Audit Logs: Journaux des activités d'administration	Les charges de travail ont été déployées à l'aide de l'option "break-glass" pour ignorer les contrôles de l'autorisation binaire.
Contournement des défenses: déploiement de la charge de travail en mode "bris de glace" mis à jour (bêta)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Cloud Audit Logs: Journaux des activités d'administration	Les charges de travail ont été mises à jour à l'aide de l'option "break-glass" pour ignorer les contrôles de l'autorisation binaire.
Defense Evasion : Modifier VPC Service Controls	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud Audit Logs Journaux d'audit VPC Service Controls	Un périmètre VPC Service Controls existant a été modifié, ce qui entraînerait une réduction de la protection proposée par ce périmètre. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Découverte : vérification des objets Kubernetes sensibles	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud Audit Logs: Journaux d'accès aux données GKE	Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande `kubectl auth can-i get`. Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants: `*` (toutes) `cluster-admin` `ClusterRole` `Secret`
Découverte : Auto-enquête sur le compte de service	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Cloud Audit Logs: Journaux d'audit de l'accès aux données IAM Autorisations: `DATA_READ`	Des identifiants de compte de service IAM ont été utilisés pour examiner les rôles et les autorisations associés à ce même compte de service. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Fuite : accès depuis le proxy d'anonymisation	`ANOMALOUS_ACCESS`	Cloud Audit Logs: Journaux des activités d'administration	Les modifications apportées au service Google Cloud proviennent d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata Autorisations: `DATA_READ`	Détecte les cas suivants : Les ressources appartenant à l'organisation protégée ont été enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert. Ce scénario est indiqué par une sous-règle de `exfil_to_external_table` et une gravité de `HIGH`. Des tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls ont été effectuées. Ce scénario est indiqué par une sous-règle de `vpc_perimeter_violation` et une gravité de `LOW`.
Exfiltration : extraction de données BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata Autorisations: `DATA_READ`	Détecte les cas suivants : Une ressource BigQuery appartenant à l'organisation protégée a été enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation. Une ressource BigQuery appartenant à l'organisation protégée a été enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage accessible au public et appartenant à cette organisation. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.
Exfiltration : données BigQuery vers Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata Autorisations: `DATA_READ`	Une ressource BigQuery appartenant à l'organisation protégée a été enregistrée, via des opérations d'extraction, dans un dossier Google Drive.
Exfiltration: déplacer vers une ressource BigQuery publique	`DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE`	Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata Autorisations: `DATA_READ`	Une ressource BigQuery a été enregistrée dans une ressource publique appartenant à votre organisation.
Exfiltration : exfiltration de données Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud Audit Logs : Journaux d'accès aux données MySQL Journaux d'accès aux données PostgreSQL Journaux d'accès aux données SQL Server	Détecte les cas suivants : Les données d'instance actives ont été exportées vers un bucket Cloud Storage en dehors de l'organisation. Les données d'instance actives ont été exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public. Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.
Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud Audit Logs : Journaux des activités d'administration MySQL Journaux des activités d'administration PostgreSQL Journaux des activités d'administration SQL Server	La sauvegarde d'une instance Cloud SQL a été restaurée sur une instance en dehors de l'organisation.
Exfiltration : octroi de privilèges Cloud SQL trop élevés	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs : Journaux d'accès aux données PostgreSQL Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle.	Un utilisateur ou un rôle Cloud SQL pour PostgreSQL s'est vu attribuer tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Accès initial: le super-utilisateur de la base de données écrit dans les tables utilisateur	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs : Journaux d'accès aux données Cloud SQL pour PostgreSQL Journaux d'accès aux données Cloud SQL pour MySQL Remarque: Vous devez activer l'extension pgAudit pour PostgreSQL ou l'audit de la base de données pour MySQL pour utiliser cette règle.	Un super-utilisateur Cloud SQL (`postgres` pour les serveurs PostgreSQL ou `root` pour les utilisateurs MySQL) a écrit dans des tables non système.
Élévation des privilèges: octroi de droits AlloyDB excessifs	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs : Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle.	Un utilisateur ou un rôle AlloyDB pour PostgreSQL s'est vu attribuer tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Élévation des privilèges: le super-utilisateur de la base de données AlloyDB écrit dans les tables utilisateur	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs : Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle.	Un super-utilisateur AlloyDB pour PostgreSQL (`postgres`) a écrit dans des tables non système.
Accès initial : action sur un compte de service inactif	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud Audit Logs : Journaux des activités d'administration	Un compte de service géré par l'utilisateur inactif a déclenché une action. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Escalade des droits: un compte de service inactif a reçu un rôle sensible	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM	Un ou plusieurs rôles IAM sensibles ont été attribués à un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
Persistance: rôle d'impersonation attribué à un compte de service inactif	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM	Un compte principal a reçu des autorisations pour usurper l'identité d'un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Accès initial: clé de compte de service inactif créée	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Cloud Audit Logs : Journaux des activités d'administration	Une clé a été créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Accès initial: clé de compte de service divulguée utilisée	`LEAKED_SA_KEY_USED`	Journaux d'audit Cloud : Journaux des activités d'administration Journaux d'accès aux données	Une clé de compte de service divulguée a été utilisée pour authentifier l'action. Dans ce contexte, une clé de compte de service divulguée est une clé qui a été publiée sur Internet.
Accès initial: opérations refusées en raison d'autorisations excessives	`EXCESSIVE_FAILED_ATTEMPT`	Cloud Audit Logs : Journaux des activités d'administration	Un principal a déclenché à plusieurs reprises des erreurs autorisation refusée en essayant d'apporter des modifications à plusieurs méthodes et services.
Défenses diminuées : authentification forte - désactivé	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Audit d'administration	La validation en deux étapes a été désactivée pour l'organisation. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Défenses diminuées : Vérification en deux étapes - désactivé	`2SV_DISABLE`	Journaux Google Workspace: Audit des connexions Autorisations: `DATA_READ`	Un utilisateur a désactivé la validation en deux étapes. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : piratage - compte désactivé	`ACCOUNT_DISABLED_HIJACKED`	Journaux Google Workspace: Audit des connexions Autorisations: `DATA_READ`	Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : fuite de mot de passe - désactivé	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Journaux Google Workspace: Audit des connexions Autorisations: `DATA_READ`	Le compte d'un utilisateur a été désactivé, car une fuite de mot de passe a été détectée. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement	`GOV_ATTACK_WARNING`	Journaux Google Workspace: Audit des connexions Autorisations: `DATA_READ`	Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Accès initial : tentative de compromis Log4j	Indisponible	Journaux d'équilibrage de charge Cloud: Équilibreur de charge HTTP Cloud Remarque: Vous devez activer la journalisation externe de l'équilibreur de charge d'application pour utiliser cette règle.	Des recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL ont été détectées. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage. Cette règle est toujours activée.
Accès initial : connexion suspecte - bloqué	`SUSPICIOUS_LOGIN`	Journaux Google Workspace: Audit des connexions Autorisations: `DATA_READ`	Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Logiciel malveillant Log4j : domaine incorrect	`LOG4J_BAD_DOMAIN`	Journaux Cloud DNS	Le trafic exploité par Log4j a été détecté sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte	`LOG4J_BAD_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Le trafic exploité par Log4j a été détecté sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine incorrect	`MALWARE_BAD_DOMAIN`	Journaux Cloud DNS	Un logiciel malveillant a été détecté en fonction d'une connexion à ou d'une recherche d'un domaine incorrect connu.
Logiciel malveillant : adresse IP incorrecte	`MALWARE_BAD_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Un logiciel malveillant a été détecté en fonction d'une connexion à une adresse IP incorrecte connue.
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie	`CRYPTOMINING_POOL_DOMAIN`	Journaux Cloud DNS	Le minage de cryptomonnaie a été détecté en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu.
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie	`CRYPTOMINING_POOL_IP`	Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT	Le minage de cryptomonnaie a été détecté en fonction d'une connexion à une adresse IP de minage connue.
Persistance: ajout d'une clé SSH par l'administrateur GCE	`GCE_ADMIN_ADD_SSH_KEY`	Cloud Audit Logs: Journaux d'audit des activités d'administration Compute Engine	La valeur de la clé SSH dans les métadonnées d'instance Compute Engine a été modifiée sur une instance établie (datant de plus d'une semaine).
Persistance: ajout d'un script de démarrage par l'administrateur GCE	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Cloud Audit Logs: Journaux d'audit des activités d'administration Compute Engine	La valeur du script de démarrage dans les métadonnées d'instance Compute Engine a été modifiée sur une instance établie (datant de plus d'une semaine).
Persistance : Octroi anormal d'autorisations IAM	`IAM_ANOMALOUS_GRANT`	Journaux d'audit Cloud: Journaux d'audit des activités d'administration IAM	Cette observation comprend des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de cette observation. La liste suivante répertorie toutes les sous-règles possibles: `external_service_account_added_to_policy`, `external_member_added_to_policy`: des droits ont été accordés à des utilisateurs IAM et à des comptes de service qui ne sont pas membres de votre organisation ou, si Security Command Center est activé au niveau du projet uniquement, à votre projet. Remarque: Si Security Command Center est activé au niveau de l'organisation à n'importe quel niveau, ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si l'activation de Security Command Center n'est effectuée qu'au niveau du projet, le détecteur n'utilise que les stratégies IAM du projet comme contexte. Si une autorisation IAM sensible est accordée à un membre externe et que moins de trois stratégies IAM existantes sont similaires, ce détecteur génère un résultat. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. `external_member_invited_to_policy`: un membre externe a été invité en tant que propriétaire du projet via l'API `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: l'autorisation `setIAMPolicy` a été ajoutée à un rôle personnalisé. `service_account_granted_sensitive_role_to_member`: des rôles privilégiés ont été attribués aux membres via un compte de service. Cette sous-règle est déclenchée par un sous-ensemble de rôles sensibles qui n'incluent que des rôles IAM de base et certains rôles de stockage de données. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles. `policy_modified_by_default_compute_service_account`: un compte de service Compute Engine par défaut a été utilisé pour modifier les paramètres IAM du projet.
Persistance: rôle sensible attribué à un compte non géré (bêta)	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un rôle sensible a été attribué à un compte non géré.
Persistance: Nouvelle méthode d'API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Cloud Audit Logs: Journaux des activités d'administration	Les comptes de service IAM ont utilisé un accès anormal aux services Google Cloud .
Persistance : Nouvelle géographie	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Cloud Audit Logs: Journaux des activités d'administration	Comptes utilisateur et de service IAM accessibles Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : Nouvel agent utilisateur	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Cloud Audit Logs: Journaux des activités d'administration	Comptes de service IAM accessibles Google Cloud à partir d'agents utilisateur anormaux ou suspects. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : activer/désactiver l'authentification unique	`TOGGLE_SSO_ENABLED`	Google Workspace: Audit d'administration	Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Persistance : paramètres SSO modifiés	`CHANGE_SSO_SETTINGS`	Google Workspace: Audit d'administration	Les paramètres SSO du compte administrateur ont été modifiés. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Escalade des droits: usurpation d'identité anormale d'un compte de service pour les activités d'administration	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Cloud Audit Logs: Journaux des activités d'administration	Un compte de service dont l'identité est empruntée potentiellement anormal a été utilisé pour une activité administrative.
Escalade des droits: délégation de compte de service multi-étapes anormale pour les activités d'administration	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Cloud Audit Logs: Journaux des activités d'administration	Une requête déléguée anormale à plusieurs étapes a été détectée pour une activité administrative.
Escalade des droits: délégation de compte de service multi-étapes anormale pour l'accès aux données	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud Audit Logs: Journaux d'accès aux données	Une demande déléguée multi-étapes anormale a été détectée pour une activité d'accès aux données.
Escalade des droits: emprunt d'identité anormal d'un compte de service pour les activités d'administration	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Cloud Audit Logs: Journaux des activités d'administration	Un appelant/imposteur potentiellement anormal dans une chaîne de délégation a été utilisé pour une activité administrative.
Escalade des droits: emprunt d'identité de compte de service anormal pour l'accès aux données	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud Audit Logs: Journaux d'accès aux données	Un appelant/imposteur potentiellement anormal dans une chaîne de délégation a été utilisé pour une activité d'accès aux données.
Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Cloud Audit Logs: Journaux des activités d'administration GKE	Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) `ClusterRole`, `RoleBinding` ou `ClusterRoleBinding` du rôle sensible `cluster-admin` à l'aide d'une requête `PUT` ou `PATCH`.
Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud Audit Logs: Journaux des activités d'administration GKE	Un individu potentiellement malveillant a créé une requête de signature de certificat (CSR) maître Kubernetes, ce qui lui permet de disposer de l'accès `cluster-admin`.
Élévation des privilèges : création de liaisons Kubernetes sensibles	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet `RoleBinding` ou `ClusterRoleBinding` pour le rôle `cluster-admin`.
Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud Audit Logs: Journaux d'accès aux données GKE	Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande `kubectl`, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Cloud Audit Logs: Journaux des activités d'administration GKE	Un individu potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits. Le champ `privileged` d'un conteneur privilégié est défini sur `true`. Le champ `allowPrivilegeEscalation` d'un conteneur doté de fonctionnalités d'élévation des privilèges est défini sur `true`. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.
Persistance: clé de compte de service créée	`SERVICE_ACCOUNT_KEY_CREATION`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Une clé de compte de service a été créée. Les clés de compte de service sont des identifiants de longue durée qui augmentent le risque d'accès non autorisé aux ressources Google Cloud.
Élévation des privilèges: script d'arrêt global ajouté	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un script d'arrêt global a été ajouté à un projet.
Persistance: script de démarrage global ajouté	`GLOBAL_STARTUP_SCRIPT_ADDED`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un script de démarrage global a été ajouté à un projet.
Défense contre l'évasion: rôle de créateur de jetons de compte de service au niveau de l'organisation ajouté	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Le rôle IAM Créateur de jetons de compte de service a été attribué au niveau de l'organisation.
Défense contre l'évasion: rôle de créateur de jetons de compte de service au niveau du projet ajouté	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Le Rôle IAM Créateur de jetons du compte de service a été attribué au niveau du projet.
Mouvement latéral: exécution du correctif d'OS depuis le compte de service	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Cloud Audit Logging Journaux d'audit pour les activités d'administration IAM	Un compte de service a utilisé la fonctionnalité de correctif Compute Engine pour mettre à jour le système d'exploitation de toute instance Compute Engine en cours d'exécution.
Mouvement latéral: disque de démarrage modifié associé à l'instance (version Preview)	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Cloud Audit Logs (Journaux d'audit Cloud) : Journaux d'audit Compute Engine	Un disque de démarrage a été détaché d'une instance Compute Engine et associé à une autre, ce qui peut indiquer une tentative malveillante de compromettre le système à l'aide d'un disque de démarrage modifié.
Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Cloud Audit Logs: Journaux d'accès aux données GKE	Un compte de service a accédé à des secrets ou à des jetons de compte de service dans l'espace de noms Kubernetes actuel.
Développement de ressources: activité de distribution Offensive Security	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Une ressource Google Cloud a été manipulée via des tests d'intrusion connus ou des distributions de sécurité offensives.
Escalade des droits: le nouveau compte de service est propriétaire ou éditeur	`SERVICE_ACCOUNT_EDITOR_OWNER`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un compte de service a été créé avec les rôles Éditeur ou Propriétaire pour un projet.
Découverte: Outil de collecte d'informations utilisé	`INFORMATION_GATHERING_TOOL_USED`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	L'utilisation de ScoutSuite a été détectée. ScoutSuite est un outil d'audit de la sécurité cloud qui est connu pour être utilisé par des acteurs de la menace.
Élévation des privilèges: génération de jetons suspects	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	L'autorisation `iam.serviceAccounts.implicitDelegation` a été utilisée de manière abusive pour générer des jetons d'accès à partir d'un compte de service plus privilégié.
Élévation des privilèges: génération de jetons suspects	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un compte de service a utilisé la méthode `serviceAccounts.signJwt` pour générer un jeton d'accès pour un autre compte de service.
Élévation des privilèges: génération de jetons suspects	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	L'autorisation IAM `iam.serviceAccounts.getOpenIdToken` a été utilisée dans plusieurs projets. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: génération de jetons suspects	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	L'autorisation IAM `iam.serviceAccounts.getAccessToken` a été utilisée dans plusieurs projets. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Élévation des privilèges: utilisation suspecte d'autorisations multiprojets	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	L'autorisation IAM `datafusion.instances.create` a été utilisée dans plusieurs projets. Ce résultat n'est pas disponible pour les activations au niveau du projet.
Commande et contrôle: tunnelisation DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Journaux Cloud DNS	Le handshake de l'outil de tunnelisation DNS Iodine a été détecté.
Contournement des défenses: tentative de masquage de route VPC	`VPC_ROUTE_MASQUERADE`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Des routes VPC se faisant passer pour des routes par défaut Google Cloud ont été créées manuellement, ce qui permettait le trafic sortant vers des adresses IP externes.
Impact: Facturation désactivée	`BILLING_DISABLED_SINGLE_PROJECT`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	La facturation a été désactivée pour un projet.
Impact: Facturation désactivée	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	La facturation a été désactivée pour plusieurs projets d'une même organisation sur une courte période.
Impact: Blocage à priorité élevée du pare-feu VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Une règle de pare-feu VPC bloquant tout le trafic sortant a été ajoutée avec une priorité de 0.
Impact: ^{La suppression groupée des règles du pare-feu VPC est temporairement indisponible}	`VPC_FIREWALL_MASS_RULE_DELETION`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Des règles de pare-feu VPC ont été supprimées de manière groupée par des comptes autres que des comptes de service. Cette règle est temporairement indisponible. Pour surveiller les mises à jour de vos règles de pare-feu, utilisez les journaux d'audit Cloud.
Impact: API de service désactivée	`SERVICE_API_DISABLED`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Une API de service Google Cloud a été désactivée dans un environnement de production.
Impact: autoscaling du groupe d'instances géré défini sur "Maximum"	`MIG_AUTOSCALING_SET_TO_MAX`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un groupe d'instances géré a été configuré pour l'autoscaling maximal.
Découverte: Appel d'API de compte de service non autorisé	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Cloud Audit Logs: Journaux d'audit pour les activités d'administration IAM	Un compte de service a effectué un appel d'API interprojet non autorisé.
Contournement des systèmes de défense: accès d'administrateur de cluster accordé aux sessions anonymes	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Cloud Audit Logs: Journaux des activités d'administration GKE	Un objet `ClusterRoleBinding` de contrôle des accès basé sur les rôles (RBAC) a été créé, ajoutant le comportement `root-cluster-admin-binding` aux utilisateurs anonymes.
Accès initial: ressource GKE anonyme créée à partir d'Internet (bêta)	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: Journaux des activités d'administration GKE	Une ressource a été créée par un utilisateur Internet anonyme.
Accès initial: ressource GKE modifiée anonymement à partir d'Internet (preview)	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: Journaux des activités d'administration GKE	Une ressource a été manipulée par un utilisateur Internet anonyme.
Escalade des droits: accès au cluster GKE accordé aux utilisateurs anonymes	`GKE_ANONYMOUS_USERS_GRANTED_ACCESS`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé une liaison RBAC qui fait référence à l'un des utilisateurs ou groupes suivants: `system:anonymous` `system:unauthenticated` `system:authenticated` Ces utilisateurs et groupes sont en fait anonymes et doivent être évités lors de la création de liaisons de rôle ou de liaisons de rôle de cluster pour des rôles RBAC. Vérifiez la liaison pour vous assurer qu'elle est nécessaire. Si la liaison n'est pas nécessaire, supprimez-la.
Exécution: exécution suspecte d'un pod système ou association suspecte à un pod système (Preview)	`GKE_SUSPICIOUS_EXEC_ATTACH`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a utilisé les commandes `exec` ou `attach` pour obtenir un shell ou exécuter une commande sur un conteneur exécuté dans l'espace de noms `kube-system`. Ces méthodes sont parfois utilisées à des fins de débogage légitimes. Toutefois, l'espace de noms `kube-system` est destiné aux objets système créés par Kubernetes. L'exécution de commandes ou la création de shells inattendues doivent être examinées.
Élévation des privilèges: charge de travail créée avec une installation de chemin d'hôte sensible (Preview)	`GKE_SENSITIVE_HOSTPATH`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé une charge de travail qui contient un montage de volume `hostPath` sur un chemin sensible dans le système de fichiers du nœud hôte. L'accès à ces chemins d'accès sur le système de fichiers de l'hôte peut être utilisé pour accéder à des informations privilégiées ou sensibles sur le nœud et pour échapper aux conteneurs. Si possible, n'autorisez aucun volume `hostPath` dans votre cluster.
Élévation des privilèges: charge de travail avec shareProcessNamespace activé (Preview)	`GKE_SHAREPROCESSNAMESPACE_POD`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a déployé une charge de travail avec l'option `shareProcessNamespace` définie sur `true`, ce qui permet à tous les conteneurs de partager le même espace de noms de processus Linux. Cela pourrait permettre à un conteneur non approuvé ou compromis d'élever les privilèges en accédant et en contrôlant les variables d'environnement, la mémoire et d'autres données sensibles à partir de processus exécutés dans d'autres conteneurs.
Élévation des privilèges: ClusterRole avec des verbes avec privilèges (Preview)	`GKE_CLUSTERROLE_PRIVILEGED_VERBS`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un `ClusterRole` RBAC contenant les verbes `bind`, `escalate` ou `impersonate`. Un sujet lié à un rôle avec ces verbes peut usurper l'identité d'autres utilisateurs disposant de droits plus élevés, se lier à des `Roles` ou `ClusterRoles` supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'octroi de droits d'administrateur de cluster à ces sujets.
Élévation des privilèges: ClusterRoleBinding pour un rôle avec privilèges	`GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un `ClusterRoleBinding` RBAC qui fait référence à l'`ClusterRole` `system:controller:clusterrole-aggregation-controller` par défaut. Ce `ClusterRole` par défaut contient le verbe `escalate`, qui permet aux sujets de modifier les privilèges de leurs propres rôles, ce qui permet d'escalader les privilèges.
Contournement des systèmes de défense: requête de signature de certificat (CSR) supprimée manuellement	`GKE_MANUALLY_DELETED_CSR`	Cloud Audit Logs: Journaux des activités d'administration GKE	Une demande de signature de certificat (CSR) a été supprimée manuellement. Les CSR sont automatiquement supprimés par un contrôleur de récupération de mémoire, mais des acteurs malveillants peuvent les supprimer manuellement pour éviter d'être détectés. Si la requête de signature de certificat supprimée concernait un certificat approuvé et émis, l'acteur potentiellement malveillant dispose désormais d'une méthode d'authentification supplémentaire pour accéder au cluster. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées. Kubernetes n'est pas compatible avec la révocation de certificats.
Accès aux identifiants: échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes	`GKE_APPROVE_CSR_FORBIDDEN`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a tenté d'approuver manuellement une requête de signature de certificat (CSR), mais l'action a échoué. La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées.
Accès aux identifiants: requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview)	`GKE_CSR_APPROVED`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a approuvé manuellement une requête de signature de certificat (CSR). La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées.
Exécution: Pod Kubernetes créé avec de potentiels arguments de shell inversé	`GKE_REVERSE_SHELL_POD`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un pod contenant des commandes ou des arguments couramment associés à un shell inversé. Les pirates informatiques utilisent des shells inversés pour étendre ou conserver leur accès initial à un cluster et pour exécuter des commandes arbitraires.
Contournement des défenses: dissimulation potentielle de pod Kubernetes	`GKE_POD_MASQUERADING`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a déployé un pod avec une convention de nommage semblable aux charges de travail par défaut créées par GKE pour l'exploitation normale du cluster. Cette technique est appelée masquage.
Élévation des privilèges: Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview)	`GKE_SUSPICIOUS_EXPLOIT_POD`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des outils courants utilisés pour les échappements de conteneur ou pour exécuter d'autres attaques sur le cluster.
Persistance: compte de service créé dans un espace de noms sensible	`GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un compte de service dans un espace de noms sensible. Les espaces de noms `kube-system` et `kube-public` sont essentiels pour les opérations de cluster GKE. Des comptes de service non autorisés pourraient compromettre la stabilité et la sécurité du cluster.
Impact: Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie	`GKE_SUSPICIOUS_CRYPTOMINING_POD`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des mineurs de cryptomonnaies courants. Il peut s'agir d'une tentative d'un pirate informatique qui a obtenu un accès initial au cluster pour utiliser ses ressources à des fins de minage de cryptomonnaie.
Exécution: charge de travail déclenchée dans un espace de noms sensible	`GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a déployé une charge de travail (par exemple, un pod ou un déploiement) dans les espaces de noms `kube-system` ou `kube-public`. Ces espaces de noms sont essentiels pour les opérations de cluster GKE, et les charges de travail non autorisées peuvent compromettre la stabilité ou la sécurité du cluster.
Exécution: lancement de conteneur GKE doté de capacités excessives (bêta)	`GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un conteneur avec une ou plusieurs des fonctionnalités suivantes dans un cluster avec un contexte de sécurité élevé : `CAP_SYS_MODULE` `CAP_SYS_RAWIO` `CAP_SYS_PTRACE` `CAP_SYS_BOOT` `CAP_DAC_READ_SEARCH` `CAP_NET_ADMIN` `CAP_BPF` Ces fonctionnalités peuvent être utilisées pour s'échapper des conteneurs. Soyez prudent lorsque vous provisionnez ces fonctionnalités.
Persistance: configuration du webhook GKE détectée	`GKE_WEBHOOK_CONFIG_CREATED`	Cloud Audit Logs: Journaux des activités d'administration GKE	Une configuration de webhook a été détectée dans votre cluster GKE. Les webhooks peuvent intercepter et modifier les requêtes de l'API Kubernetes, ce qui peut permettre aux pirates informatiques de persister dans votre cluster ou de manipuler des ressources.
Contournement des défenses: pod statique créé	`GKE_STATIC_POD_CREATED`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un pod statique dans votre cluster GKE. Les pods statiques s'exécutent directement sur le nœud et contournent le serveur d'API Kubernetes, ce qui les rend plus difficiles à surveiller et à contrôler. Les pirates informatiques peuvent utiliser des pods statiques pour éviter d'être détectés ou pour maintenir leur persistance.
Accès initial: appel d'API réussi à partir d'une adresse IP de proxy TOR	`GKE_TOR_PROXY_IP_REQUEST`	Cloud Audit Logs: Journaux des activités d'administration GKE	Un appel d'API a été effectué avec succès sur votre cluster GKE à partir d'une adresse IP associée au réseau Tor. Tor offre l'anonymat, que les pirates informatiques exploitent souvent pour masquer leur identité.
Accès initial: service NodePort GKE créé	`GKE_NODEPORT_SERVICE_CREATED`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a créé un service NodePort. Les services NodePort exposent les pods directement sur l'adresse IP et le port statique d'un nœud, ce qui les rend accessibles depuis l'extérieur du cluster. Cela peut présenter un risque de sécurité important, car un pirate informatique pourrait exploiter les failles du service exposé pour accéder au cluster ou aux données sensibles.
Impact: détection d'une modification de kube-dns dans GKE (bêta)	`GKE_KUBE_DNS_MODIFICATION`	Cloud Audit Logs: Journaux des activités d'administration GKE	Quelqu'un a modifié la configuration kube-dns de votre cluster GKE. kube-dns GKE est un composant essentiel de la mise en réseau de votre cluster. Une mauvaise configuration de kube-dns peut entraîner une violation de la sécurité.
Impact: Commandes de minage de cryptomonnaie (bêta)	`CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS`	Cloud Audit Logs: Journaux d'audit des événements système IAM	Des commandes de minage de cryptomonnaie spécifiques ont été associées à une tâche Cloud Run lors de son exécution.
Exécution: image Docker de minage de cryptomonnaie (aperçu)	`CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES`	Cloud Audit Logs: Journaux d'audit des événements système IAM	Des images Docker spécifiques connues comme défectueuses ont été associées à un service ou à une tâche Cloud Run nouveaux ou existants.
Escalade des droits: compte de service Compute Engine par défaut SetIAMPolicy (version Preview)	`CLOUD_RUN_SERVICES_SET_IAM_POLICY`	Cloud Audit Logs: Journaux des activités d'administration	Le compte de service Compute Engine par défaut a été utilisé pour définir la stratégie IAM d'un service Cloud Run. Il s'agit d'une action post-exploitation potentielle lorsqu'un jeton Compute Engine est compromis à partir d'un service sans serveur.

Pour en savoir plus sur les règles obsolètes et celles qui seront arrêtées, consultez Abandons.

Modules personnalisés Event Threat Detection

En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de modules que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour en savoir plus, consultez la section Présentation des modules personnalisés pour Event Threat Detection.

Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journal vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.

Modifications non sécurisées apportées aux groupes Google

Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est possible que lorsque vous activez Security Command Center au niveau de l'organisation.

Les clientsGoogle Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations permettant d'identifier personnellement l'utilisateur, et ne sont pas recommandés pour les membres de groupe externes.

Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Les journaux d'audit Cloud enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.

Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux sont au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que lorsque vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center au niveau du projet.

Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :

Membres de groupe externes ajoutés aux groupes privilégiés
Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder

Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.

Rôles et autorisations IAM sensibles

Cette section explique comment Event Threat Detection définit les rôles IAM sensibles. Les détections telles que les autorisations anormales IAM et les modifications non sécurisées apportées aux groupes Google ne génèrent des résultats que si elles impliquent des rôles à sensibilité élevée ou moyenne. La sensibilité des rôles a un impact sur le niveau de gravité attribué aux résultats.

Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud , et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
- Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
- Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.

L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est un membre externe ou une identité anormale, comme un principal inactif depuis longtemps.

L'attribution de rôles sensibles à des membres externes crée une menace potentielle, car ils peuvent être utilisés de manière abusive pour compromettre des comptes et exfiltrer des données.

Les catégories de résultats qui utilisent ces rôles sensibles incluent les suivantes:

Persistance: octroi anormal d'autorisations IAM
- Sous-règle: external_service_account_added_to_policy
- Sous-règle: external_member_added_to_policy
Accès aux identifiants : rôle sensible attribué au groupe hybride
Escalade des droits: un compte de service inactif a reçu un rôle sensible

Les catégories de résultats qui utilisent un sous-ensemble des rôles sensibles incluent les suivantes:

Persistance: octroi anormal d'autorisations IAM
- Sous-règle: service_account_granted_sensitive_role_to_member

La sous-règle service_account_granted_sensitive_role_to_member cible généralement à la fois les membres externes et internes, et n'utilise donc qu'un sous-ensemble de rôles sensibles, comme expliqué dans la section Règles Event Threat Detection.

Catégorie	Rôle	Description
Rôles de base: incluent des milliers d'autorisations pour tous les services Google Cloud .	`roles/owner`	Rôles de base
	`roles/editor`	Rôles de base
Rôles de sécurité: contrôlent l'accès aux paramètres de sécurité.	`roles/cloudkms.*`	Tous les rôles Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Tous les rôles Web Security Scanner
	`roles/dlp.*`	Tous les rôles Sensitive Data Protection
	`roles/iam.*`	Tous les Rôles IAM
	`roles/secretmanager.*`	Tous les rôles Secret Manager
	`roles/securitycenter.*`	Tous les rôles Security Command Center
Rôles de journalisation: contrôlent l'accès aux journaux d'une organisation.	`roles/errorreporting.*`	Tous les rôles Error Reporting
	`roles/logging.*`	Tous les rôles Cloud Logging
	`roles/stackdriver.*`	Tous les rôles Cloud Monitoring
Rôles d'informations personnelles: contrôlent l'accès aux ressources contenant des informations permettant d'identifier personnellement l'utilisateur, y compris des coordonnées bancaires et des coordonnées.	`roles/billing.*`	Tous les rôles Cloud Billing
	`roles/healthcare.*`	Tous les rôles de l'API Cloud Healthcare
	`roles/essentialcontacts.*`	Tous les rôles Essential Contacts
Rôles de mise en réseau: contrôlent l'accès aux paramètres réseau d'une organisation.	`roles/dns.*`	Tous les rôles Cloud DNS
	`roles/domains.*`	Tous les rôles Cloud Domains
	`roles/networkconnectivity.*`	Tous les rôles Network Connectivity Center
	`roles/networkmanagement.*`	Tous les rôles Network Connectivity Center
	`roles/privateca.*`	Tous les rôles Certificate Authority Service
Rôles de service: contrôlent l'accès aux ressources de service dans Google Cloud.	`roles/cloudasset.*`	Tous les rôles de l'inventaire des éléments cloud
	`roles/servicedirectory.*`	Tous les rôles de l'annuaire des services
	`roles/servicemanagement.*`	Tous les rôles Service Management
	`roles/servicenetworking.*`	Tous les rôles Service Networking
	`roles/serviceusage.*`	Tous les rôles Service Usage
Rôles Compute Engine: contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu.	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Tous les rôles Administrateur et Éditeur de Compute Engine

Catégorie Rôle Description

Catégorie	Rôle	Description
Rôles de modification: rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud	Exemples : `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur. Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Rôles de stockage des données: rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données	Exemples : `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Tous les rôles à sensibilité moyenne Access Approval `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Actions `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API Gateway `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorisation binaire `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Bêta Fonctions Cloud Run `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Analyse des artefacts `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Service géré pour Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore pour Redis `roles/redis.admin` `roles/redis.editor` API On-Demand Scanning `roles/ondemandscanning.admin` Surveillance de la configuration des opérations `roles/opsconfigmonitoring.resourceMetadata.writer` Service de règles d'administration `roles/axt.admin` `roles/orgpolicy.policyAdmin` Autres rôles `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Proximity Beacon `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recommandations `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Outil de recommandation `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Paramètres de ressources `roles/resourcesettings.admin` Accès au VPC sans serveur `roles/vpcaccess.admin` Gestion des clients du service `roles/serviceconsumermanagement.tenancyUnitsAdmin` Service de transfert de stockage `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebooks Vertex AI Workbench gérés par l'utilisateur `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

Rôles de modification: rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud

Exemples :

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur.

Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.

Rôles de stockage des données: rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données

Exemples :

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.

Tous les rôles à sensibilité moyenne

Access Approval

roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager

roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Actions

roles/actions.Admin

AI Platform

roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway

roles/apigateway.admin

App Engine

roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML

roles/automl.admin
roles/automl.editor

BigQuery

roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorisation binaire

roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable

roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build

roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager

roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints

roles/endpoints.portalAdmin^Bêta

Fonctions Cloud Run

roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT

roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences

roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring

roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run

roles/run.admin
roles/run.developer

Cloud Scheduler

roles/cloudscheduler.admin

Cloud Source Repositories

roles/source.admin
roles/source.writer

Spanner

roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage

roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL

roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks

roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU

tpu.admin

Cloud Trace

roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine

roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Analyse des artefacts

roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog

roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow

roles/dataflow.admin
roles/dataflow.developer

Dataproc

roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore

roles/metastore.admin
roles/metastore.editor

Datastore

roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc

roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore

roles/file.editor

Firebase

roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers

roles/gameservices.admin

Google Cloud VMware Engine

vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub

roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace

roles/gsuiteaddons.developer

Identity-Aware Proxy

roles/iap.admin
roles/iap.settingsAdmin

Service géré pour Microsoft Active Directory

roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore pour Redis

roles/redis.admin
roles/redis.editor

API On-Demand Scanning

roles/ondemandscanning.admin

Surveillance de la configuration des opérations

roles/opsconfigmonitoring.resourceMetadata.writer

Service de règles d'administration

roles/axt.admin
roles/orgpolicy.policyAdmin

Autres rôles

roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon

roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub

roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite

roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA

roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recommandations

roles/automlrecommendations.admin
roles/automlrecommendations.editor

Outil de recommandation

roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager

roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Paramètres de ressources

roles/resourcesettings.admin

Accès au VPC sans serveur

roles/vpcaccess.admin

Gestion des clients du service

roles/serviceconsumermanagement.tenancyUnitsAdmin

Service de transfert de stockage

roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI

roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebooks Vertex AI Workbench gérés par l'utilisateur

roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows

roles/workflows.admin
roles/workflows.editor

Types de journaux et conditions d'activation

Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'il recherche dans chaque journal et les actions à effectuer pour activer chaque journal, le cas échéant.

Vous ne devez activer un journal pour Event Threat Detection que si toutes les conditions suivantes sont remplies:

Vous utilisez le produit ou le service qui écrit dans le journal.
Vous devez protéger le produit ou le service contre les menaces détectées par la détection des menaces d'événements dans le journal.
Il s'agit d'un journal d'audit des accès aux données ou d'un autre journal désactivé par défaut.

Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter cette même menace.

Si un journal n'est pas listé dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.

Comme indiqué dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau du projet, Event Threat Detection n'analyse pas ces journaux et ne produit aucun résultat.

Sources de journaux de base

Event Threat Detection utilise des sources de données de base pour détecter les activités potentiellement malveillantes sur votre réseau.

Si vous activez Event Threat Detection sans les journaux de flux VPC, Event Threat Detection commence immédiatement à analyser un flux de journaux de flux VPC indépendant, en double et interne. Pour examiner plus en détail un résultat Event Threat Detection existant, vous devez activer les journaux de flux VPC et accéder manuellement à l'explorateur de journaux et à l'analyseur de flux. Si vous activez les journaux de flux VPC ultérieurement, seuls les résultats futurs contiendront les liens pertinents pour une enquête plus approfondie.
Si vous activez Event Threat Detection avec les journaux de flux VPC, il commence immédiatement à analyser les journaux de flux VPC de votre déploiement et fournit des liens vers l'explorateur de journaux et Flow Analyzer pour vous aider à examiner plus en détail.

Analyses de journaux potentiellement redondantes

Event Threat Detection peut détecter les logiciels malveillants sur le réseau en analysant l'un des journaux suivants:

Journalisation Cloud DNS
Journalisation Cloud NAT
Journalisation des règles de pare-feu
Journaux de flux VPC

Si vous utilisez déjà la journalisation Cloud DNS, Event Threat Detection peut détecter les logiciels malveillants à l'aide de la résolution de domaine. Pour la plupart des utilisateurs, les journaux Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.

Si vous avez besoin d'un autre niveau de visibilité au-delà de la résolution de domaine, vous pouvez activer les journaux de flux VPC, mais ils peuvent entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5% et 10 %. Toutefois, il existe un compromis entre le rappel (échantillonnage plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible). Pour en savoir plus, consultez la section Échantillonnage et traitement des journaux.

Si vous utilisez déjà la journalisation des règles de pare-feu ou la journalisation Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.

Vous n'avez pas besoin d'activer plusieurs options de journalisation : Cloud NAT, journalisation des règles de pare-feu ou journaux de flux VPC.

Journaux que vous devez activer

Cette section liste les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces que Event Threat Detection peut détecter.

Certaines menaces, telles que celles liées à l'usurpation d'identité ou à la délégation anormale d'un compte de service, peuvent être détectées dans la plupart des journaux d'audit. Pour ces types de menaces, vous déterminez les journaux que vous devez activer en fonction des produits et services que vous utilisez.

Le tableau suivant présente les journaux spécifiques que vous devez activer pour les menaces qui ne peuvent être détectées que dans certains types de journaux spécifiques.

Type de journal	Menaces détectées	Configuration obligatoire
Journalisation Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Activer la journalisation Cloud DNS
Journalisation Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activer la journalisation Cloud NAT
Journalisation des règles de pare-feu	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activez la journalisation des règles de pare-feu.
Journaux d'audit de l'accès aux données Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Activer la journalisation des journaux d'audit des accès aux données pour GKE
Journals d'audit des administrateurs Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	partager les journaux d'audit Google Workspace Admin avec Cloud Logging ; Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.
Journaux d'audit des connexions Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	partager les journaux d'audit de connexion Google Workspace avec Cloud Logging ; Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.
Loggs du service de backend de l'équilibreur de charge d'application externe	`Initial Access: Log4j Compromise Attempt`	Activer la journalisation de l'équilibreur de charge d'application externe
Journaux d'audit d'accès aux données MySQL Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration`	Activer la journalisation des journaux d'audit pour l'accès aux données pour Cloud SQL pour MySQL
Journaux d'audit de l'accès aux données PostgreSQL dans Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Activez l'enregistrement des journaux d'audit d'accès aux données pour Cloud SQL pour PostgreSQL. Pour détecter la menace `Exfiltration: Cloud SQL Over-Privileged Grant`, vous devez également activer l'extension pgAudit.
Journaux d'audit de l'accès aux données AlloyDB pour PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant`	Activer les journaux d'audit de l'accès aux données pour AlloyDB pour PostgreSQL Pour détecter les menaces `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` et `Privilege Escalation: AlloyDB Over-Privileged Grant`, vous devez également activer l'extension pgAudit.
Journaux d'audit pour l'accès aux données IAM	`Discovery: Service Account Self-Investigation`	Activer la création de journaux d'audit des accès aux données pour Resource Manager
Journaux d'audit pour l'accès aux données SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Activer l'enregistrement des journaux d'audit d'accès aux données pour Cloud SQL pour SQL Server
Journaux d'audit génériques pour l'accès aux données	`Initial Access: Leaked Service Account Key Used` `Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Activez la journalisation des journaux d'audit des accès aux données.
authlogs/authlog sur les machines virtuelles	`Brute force SSH`	Installer l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM
Journaux de flux VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activer les journaux de flux VPC

Journaux toujours activés

Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés et Event Threat Detection les analyse automatiquement.

Type de journal	Menaces détectées	Configuration obligatoire
Journaux d'accès aux données BigQueryAuditMetadata	Exfiltration : exfiltration de données BigQuery Exfiltration : extraction de données BigQuery Exfiltration : données BigQuery vers Google Drive Exfiltration: transfert vers une ressource BigQuery publique (bêta)	Aucun
Journaux d'audit des activités d'administration Google Kubernetes Engine (GKE)	Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles Élévation des privilèges : création de liaisons Kubernetes sensibles Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal Contournement des systèmes de défense: accès d'administrateur de cluster accordé aux sessions anonymes Accès initial: ressource GKE anonyme créée à partir d'Internet (Preview) Accès initial: ressource GKE modifiée anonymement à partir d'Internet (preview) Escalade des droits: accès au cluster GKE accordé aux utilisateurs anonymes Exécution: exécution suspecte d'un pod système ou association suspecte à un pod système (Preview) Élévation des privilèges: charge de travail créée avec une installation de chemin d'hôte sensible (Preview) Élévation des privilèges: charge de travail avec shareProcessNamespace activé (Preview) Élévation des privilèges: ClusterRole avec des verbes avec privilèges (Preview) Élévation des privilèges: ClusterRoleBinding pour un rôle avec privilèges Contournement des systèmes de défense: requête de signature de certificat (CSR) supprimée manuellement Accès aux identifiants: échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes Accès aux identifiants: requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview) Exécution: Pod Kubernetes créé avec de potentiels arguments de shell inversé Contournement des défenses: dissimulation potentielle de pod Kubernetes Persistance: compte de service créé dans un espace de noms sensible Élévation des privilèges: Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) Impact: Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie Exécution: charge de travail déclenchée dans un espace de noms sensible Exécution: lancement de conteneur GKE doté de capacités excessives (bêta) Persistance: configuration du webhook GKE détectée Contournement des défenses: pod statique créé Accès initial: appel d'API réussi à partir d'une adresse IP de proxy TOR Accès initial: service NodePort GKE créé Impact: détection d'une modification de kube-dns dans GKE (bêta)	Aucun
Journaux d'audit pour les activités d'administration IAM	Accès aux identifiants : rôle sensible attribué au groupe hybride Escalade des droits: un compte de service inactif a reçu un rôle sensible Persistance: rôle d'impersonation attribué à un compte de service inactif Persistance: octroi anormal d'autorisations IAM (Preview) Persistance: rôle sensible attribué à un compte non géré Escalade des droits: SetIAMPolicy (Preview) pour le compte de service Compute Engine par défaut	Aucun
Journaux des activités d'administration MySQL	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucun
Journaux des activités d'administration PostgreSQL	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucun
Journaux d'activité des administrateurs SQL Server	Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe	Aucun
Journaux d'audit génériques pour les activités d'administration	Accès initial : action sur un compte de service inactif Accès initial: clé de compte de service inactif créée Accès initial: opérations refusées en raison d'autorisations excessives Accès initial: clé de compte de service divulguée utilisée Persistance: ajout d'une clé SSH par l'administrateur GCE Persistance: ajout d'un script de démarrage par l'administrateur GCE Persistance: nouvelle méthode d'API Persistance : Nouvelle géographie Persistance : Nouvel agent utilisateur Escalade des droits: usurpation d'identité de compte de service anormale pour les activités d'administration Escalade des droits: délégation de compte de service multi-étapes anormale pour les activités d'administration Escalade des droits: usurpation d'identité anormale d'un compte de service pour les activités d'administration Mouvement latéral: disque de démarrage modifié associé à l'instance (version Preview)	Aucun
Journaux d'audit VPC Service Controls	Defense Evasion: Modifier VPC Service Controls (version Preview)	Aucun
Journaux d'audit des activités des administrateurs de sauvegarde et de reprise après sinistre	Destruction des données: la sauvegarde et la reprise après sinistre de Google Cloud expirent toutes les images Inhiber la récupération du système: règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud Inhiber la récupération du système: modèle de suppression de Google Cloud Backup and DR Inhiber la récupération du système: profil de suppression de la sauvegarde-Reprise après sinistre Google Cloud Inhiber la récupération du système: Google Cloud Backup and DR supprime le pool de stockage Inhibit system recovery: deleted Google Cloud Backup and DR host Destruction des données: image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud Destruction des données: suppression de l'appareil de sauvegarde-reprise après sinistre Google Cloud Inhiber la récupération du système: supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud Impact: Google Cloud Backup and DR réduit le délai d'expiration des sauvegardes Impact: La sauvegarde et la reprise après sinistre Google Cloud réduisent la fréquence de sauvegarde Inhibit System Recovery: coffre de sauvegarde et de reprise après sinistre Google Cloud supprimé Destruction des données: suppression de la sauvegarde de sauvegarde et de reprise après sinistre Google Cloud Inhibit System Recovery: association du plan de sauvegarde et de reprise après sinistre Google Cloud supprimée	Aucun
Journaux d'audit des événements système IAM	Impact: Commandes de minage de cryptomonnaie (bêta) Exécution: image Docker de minage de cryptomonnaie (aperçu)	Aucun

Étape suivante

Découvrez comment utiliser Event Threat Detection.
Découvrez comment examiner et développer des plans d'intervention sur les menaces.