Présentation d'Event Threat Detection

Qu'est-ce qu'Event Threat Detection ?

Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation ou vos projets, et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.

Fonctionnement d'Event Threat Detection

Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets dès leur création et peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.

Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.

Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire des résultats dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec des fonctions Cloud Run.

Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez également utiliser Google Security Operations pour examiner certains résultats. Google SecOps est un service Google Cloud qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour savoir comment envoyer des résultats à Google SecOps, consultez la page Examiner les résultats dans Google SecOps.

Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.

Règles d'Event Threat Detection

Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.

Event Threat Detection inclut les règles par défaut suivantes :

Nom à afficher Nom de l'API Types de sources de journal Description
Analyse active : Log4j vulnérable à RCE Indisponible Journaux Cloud DNS Détecte les failles Log4j actives en identifiant les requêtes DNS pour les domaines non obscurcis lancés par les outils d'analyse des failles Log4j compatibles.
Inhibit System Recovery (Empêcher la récupération du système) : hôte de sauvegarde et de reprise après sinistre Google Cloud supprimé BACKUP_HOSTS_DELETE_HOST Cloud Audit Logs:
Journaux d'audit des activités d'administration du service de sauvegarde et de reprise après sinistre
Un hôte a été supprimé de la sauvegarde et de la reprise après sinistre. Les applications associées à l'hôte supprimé risquent de ne pas être protégées.
Destruction des données: image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_EXPIRE_IMAGE Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un utilisateur a demandé la suppression d'une image de sauvegarde de Backup and DR. La suppression d'une image de sauvegarde n'empêche pas les sauvegardes futures.
Inhibit System Recovery (Empêcher la récupération du système) : supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud BACKUP_REMOVE_PLAN Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un plan de sauvegarde avec plusieurs règles pour une application a été supprimé de Backup and DR. La suppression d'un plan de sauvegarde peut empêcher les futures sauvegardes.
Destruction des données: sauvegarde et reprise après sinistre Google Cloud expirent toutes les images BACKUP_EXPIRE_IMAGES_ALL Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un utilisateur a demandé la suppression de toutes les images de sauvegarde d'une application protégée à partir de la sauvegarde et de la reprise après sinistre. La suppression des images de sauvegarde n'empêche pas les futures sauvegardes.
Inhibit System Recovery (Empêcher la récupération du système) : modèle de suppression de Google Cloud Backup and DR BACKUP_TEMPLATES_DELETE_TEMPLATE Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un modèle de sauvegarde prédéfini, qui permet de configurer des sauvegardes pour plusieurs applications, a été supprimé. La possibilité de configurer des sauvegardes à l'avenir pourrait être affectée.
Inhibit System Recovery (Empêcher la récupération du système) : règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Une règle de sauvegarde et de reprise après sinistre, qui définit comment une sauvegarde est effectuée et où elle est stockée, a été supprimée. Les futures sauvegardes qui utilisent la règle risquent d'échouer.
Inhibit System Recovery (Empêcher la récupération du système) : profil de suppression de la sauvegarde et de la reprise après sinistre Google Cloud BACKUP_PROFILES_DELETE_PROFILE Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un profil de sauvegarde et de reprise après sinistre, qui définit les pools de stockage à utiliser pour stocker les sauvegardes, a été supprimé. Les futures sauvegardes qui utilisent le profil risquent d'échouer.
Destruction des données: suppression de l'appareil de sauvegarde et de reprise après sinistre Google Cloud BACKUP_APPLIANCES_REMOVE_APPLIANCE Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un appareil de sauvegarde a été supprimé de Backup and DR. Les applications associées à l'appareil de sauvegarde supprimé risquent de ne pas être protégées.
Inhibit System Recovery (Empêcher la récupération du système) : Google Cloud Backup and DR delete storage pool (Supprimer le pool de stockage) BACKUP_STORAGE_POOLS_DELETE Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
Un pool de stockage, qui associe un bucket Cloud Storage à la sauvegarde et à la reprise après sinistre, a été supprimé de la sauvegarde et de la reprise après sinistre. Les futures sauvegardes vers cette cible de stockage échoueront.
Impact: Réduction du délai d'expiration des sauvegardes dans Google Cloud Backup and DR BACKUP_REDUCE_BACKUP_EXPIRATION Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
La date d'expiration d'une sauvegarde protégée par Sauvegarde et reprise après sinistre a été réduite.
Impact: Google Cloud Backup and DR a réduit la fréquence de sauvegarde BACKUP_REDUCE_BACKUP_FREQUENCY Journaux d'audit Cloud:
Journaux d'audit des activités d'administration de la sauvegarde et de la reprise après sinistre
La planification des sauvegardes de sauvegarde et de reprise après sinistre a été modifiée pour réduire la fréquence des sauvegardes.
Attaques par force brute SSH BRUTE_FORCE_SSH authlog Détection d'une attaque par force brute SSH réussie sur un hôte
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY Journaux Cloud IDS

Événements de menace détectés par Cloud IDS.

L'Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'un événement de menace est détecté, envoie un résultat de classe de menace à Security Command Center. Les noms de catégories commencent par "Cloud IDS", suivis de l'identifiant de menace Cloud IDS.

L'intégration de Cloud IDS à la détection des menaces d'événements n'inclut pas les détections de failles Cloud IDS.

Pour en savoir plus sur les détections Cloud IDS, consultez la section Informations sur la journalisation Cloud IDS.

Accès aux identifiants : membre externe ajouté au groupe privilégié EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Détecte les événements où un membre externe est ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Cette information n'est pas disponible pour les activations au niveau du projet.

Accès aux identifiants : groupe privilégié ouvert au public PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Audit d'administration
Autorisations:
DATA_READ

Détecte les événements où un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) est modifié pour devenir accessible au grand public. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Cette information n'est pas disponible pour les activations au niveau du projet.

Accès aux identifiants : rôle sensible attribué au groupe hybride SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Détecte les événements où des rôles sensibles sont attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez la section Modifications non sécurisées apportées aux groupes Google.

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Cette information n'est pas disponible pour les activations au niveau du projet.

Contournement des défenses: déploiement de charges de travail en mode "bris de glace" créé (bêta) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Cloud Audit Logs:
Journaux des activités d'administration
Détecte le déploiement de charges de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Contournement des défenses: déploiement de la charge de travail en mode "bris de glace" mis à jour (bêta) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Cloud Audit Logs:
Journaux des activités d'administration
Détecte les mises à jour de charge de travail utilisant l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire.
Defense Evasion : Modifier VPC Service Controls DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Cloud Audit Logs Journaux d'audit VPC Service Controls

Détecte une modification apportée à un périmètre VPC Service Controls existant qui entraînerait une réduction de la protection proposée par ce périmètre.

Cette information n'est pas disponible pour les activations au niveau du projet.

Découverte : vérification des objets Kubernetes sensibles GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Cloud Audit Logs:
Journaux d'accès aux données GKE

Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande kubectl auth can-i get. Plus précisément, la règle détecte si l'acteur a vérifié l'accès à l'API sur les objets suivants:

Découverte : Auto-enquête sur le compte de service SERVICE_ACCOUNT_SELF_INVESTIGATION Cloud Audit Logs:
Journaux d'audit de l'accès aux données IAM
Autorisations:
DATA_READ

Détection des identifiants de compte de service IAM permettant d'examiner les rôles et les autorisations associés à ce même compte de service.

Rôles sensibles

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Fuite : accès depuis le proxy d'anonymisation ANOMALOUS_ACCESS Cloud Audit Logs:
Journaux des activités d'administration
Détection des modifications de service Google Cloud provenant d'adresses IP de proxy anonymes, telles que les adresses IP Tor.
Exfiltration : exfiltration de données BigQuery DATA_EXFILTRATION_BIG_QUERY Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations:
DATA_READ

Détecte les cas suivants :

  • Ressources appartenant à l'organisation protégée qui sont enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert.

    Ce scénario est indiqué par une sous-règle de exfil_to_external_table et une gravité de HIGH.

  • Tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls.

    Ce scénario est indiqué par une sous-règle de vpc_perimeter_violation et une gravité de LOW.

Exfiltration : extraction de données BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations:
DATA_READ

Détecte les cas suivants :

  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation.
  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage accessible au public et appartenant à cette organisation.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Exfiltration : données BigQuery vers Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations:
DATA_READ

Détecte les éléments suivants :

  • Une ressource BigQuery appartenant à l'organisation protégée est enregistrée, via des opérations d'extraction, dans un dossier Google Drive.
Exfiltration: déplacer vers une ressource BigQuery publique DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata
Autorisations:
DATA_READ

Détecte les éléments suivants :

  • Une ressource BigQuery est enregistrée dans une ressource publique appartenant à votre organisation.
Exfiltration : exfiltration de données Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Cloud Audit Logs : Journaux d'accès aux données MySQL
Journaux d'accès aux données PostgreSQL
Journaux d'accès aux données SQL Server

Détecte les cas suivants :

  • Données d'instance actives exportées vers un bucket Cloud Storage en dehors de l'organisation.
  • Données d'instance actives exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.

Pour les activations au niveau du projet du niveau Premium de Security Command Center, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente.

Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Cloud Audit Logs : Journaux des activités d'administration MySQL
Journaux des activités d'administration PostgreSQL
Journaux des activités d'administration SQL Server

Détecte les événements où la sauvegarde d'une instance Cloud SQL est restaurée sur une instance en dehors de l'organisation.

Exfiltration : octroi de privilèges Cloud SQL trop élevés CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs : Journaux d'accès aux données PostgreSQL
Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle.
Détecte les événements où un utilisateur ou un rôle Cloud SQL pour PostgreSQL s'est vu attribuer tous les droits pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Accès initial: le super-utilisateur de la base de données écrit dans les tables utilisateur CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs : Journaux d'accès aux données Cloud SQL pour PostgreSQL
Journaux d'accès aux données Cloud SQL pour MySQL
Remarque: Vous devez activer l'extension pgAudit pour PostgreSQL ou l'audit de la base de données pour MySQL pour utiliser cette règle.
Détecte les événements où un super-utilisateur Cloud SQL (postgres pour les serveurs PostgreSQL ou root pour les utilisateurs MySQL) écrit dans des tables non système.
Élévation des privilèges: octroi de droits AlloyDB excessifs ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs : Journaux d'accès aux données AlloyDB pour PostgreSQL
Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle.
Détecte les événements où un utilisateur ou un rôle AlloyDB pour PostgreSQL s'est vu attribuer tous les privilèges pour une base de données ou pour toutes les tables, procédures ou fonctions d'un schéma.
Élévation des privilèges: le super-utilisateur de la base de données AlloyDB écrit dans les tables utilisateur ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs : Journaux d'accès aux données AlloyDB pour PostgreSQL
Remarque: Vous devez activer l'extension pgAudit pour utiliser cette règle.
Détecte les événements où un super-utilisateur AlloyDB pour PostgreSQL (postgres) écrit dans des tables non système.
Accès initial : action sur un compte de service inactif DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Cloud Audit Logs : Journaux des activités d'administration Détecte les événements où un compte de service géré par l'utilisateur dormant a déclenché une action. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Escalade des droits: un compte de service inactif a reçu un rôle sensible DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM

Détecte les événements où un compte de service géré par l'utilisateur inactif s'est vu attribuer un ou plusieurs rôles IAM sensibles. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.

Rôles sensibles

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

Persistance: rôle d'impersonation attribué à un compte de service inactif DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM Détecte les événements où un principal se voit attribuer des autorisations d'emprunter l'identité d'un compte de service géré par l'utilisateur dormant. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Accès initial: clé de compte de service inactif créée DORMANT_SERVICE_ACCOUNT_KEY_CREATED Cloud Audit Logs : Journaux des activités d'administration Détecte les événements où une clé est créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours.
Accès initial: clé de compte de service divulguée utilisée LEAKED_SA_KEY_USED Journaux d'audit Cloud : Journaux des activités d'administration
Journaux d'accès aux données
Détecte les événements où une clé de compte de service divulguée est utilisée pour authentifier l'action. Dans ce contexte, une clé de compte de service divulguée est une clé qui a été publiée sur Internet.
Accès initial: opérations refusées en raison d'autorisations excessives EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs : Journaux des activités d'administration Détecte les événements où un principal déclenche à plusieurs reprises des erreurs autorisation refusée en essayant d'apporter des modifications dans plusieurs méthodes et services.
Défenses diminuées : authentification forte - désactivé ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit d'administration

La validation en deux étapes a été désactivée pour l'organisation.

Cette information n'est pas disponible pour les activations au niveau du projet.

Défenses diminuées : Vérification en deux étapes - désactivé 2SV_DISABLE Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Un utilisateur a désactivé la validation en deux étapes.

Cette information n'est pas disponible pour les activations au niveau du projet.

Accès initial : piratage - compte désactivé ACCOUNT_DISABLED_HIJACKED Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte.

Cette information n'est pas disponible pour les activations au niveau du projet.

Accès initial : fuite de mot de passe - désactivé ACCOUNT_DISABLED_PASSWORD_LEAK Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Le compte d'un utilisateur est désactivé, car une fuite de mot de passe a été détectée.

Cette information n'est pas disponible pour les activations au niveau du projet.

Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement GOV_ATTACK_WARNING Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur.

Cette information n'est pas disponible pour les activations au niveau du projet.

Accès initial : tentative de compromis Log4j Indisponible Journaux d'équilibrage de charge Cloud:
Équilibreur de charge HTTP Cloud
Remarque: Vous devez activer la journalisation externe de l'équilibreur de charge d'application pour utiliser cette règle.

Détecte les recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage.

Cette règle est toujours activée.

Accès initial : connexion suspecte - bloqué SUSPICIOUS_LOGIN Journaux Google Workspace:
Audit des connexions
Autorisations:
DATA_READ

Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée.

Cette information n'est pas disponible pour les activations au niveau du projet.

Logiciel malveillant Log4j : domaine incorrect LOG4J_BAD_DOMAIN Journaux Cloud DNS Détection du trafic exploité par Log4j sur la base d'une connexion ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j.
Logiciel malveillant Log4j : adresse IP incorrecte LOG4J_BAD_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT
Détection du trafic exploité par Log4j sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j.
Logiciel malveillant : domaine incorrect MALWARE_BAD_DOMAIN Journaux Cloud DNS Détection de logiciel malveillant sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu
Logiciel malveillant : adresse IP incorrecte MALWARE_BAD_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT
Détection de logiciel malveillant sur la base d'une connexion à une adresse IP incorrecte connue
Logiciel malveillant : domaine malveillant minant de la cryptomonnaie CRYPTOMINING_POOL_DOMAIN Journaux Cloud DNS Détection du minage de cryptomonnaie en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu
Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie CRYPTOMINING_POOL_IP Journaux de flux VPC
Journaux de règles de pare-feu
Journaux Cloud NAT
Détection du minage de cryptomonnaie en fonction d'une connexion à une adresse IP de minage connue
DoS sortantÉteindre OUTGOING_DOS Journaux de flux VPC Détection du trafic de déni de service sortant
Persistance: ajout d'une clé SSH par l'administrateur GCE GCE_ADMIN_ADD_SSH_KEY Cloud Audit Logs:
Journaux d'audit des activités d'administration Compute Engine
Détection d'une modification de la valeur de la clé SSH dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance: ajout d'un script de démarrage par l'administrateur GCE GCE_ADMIN_ADD_STARTUP_SCRIPT Cloud Audit Logs:
Journaux d'audit des activités d'administration Compute Engine
Détection d'une modification de la valeur du script de démarrage dans les métadonnées d'instance Compute Engine sur une instance établie (datant de plus d'une semaine).
Persistance : Octroi anormal d'autorisations IAM IAM_ANOMALOUS_GRANT Journaux d'audit Cloud:
Journaux d'audit des activités d'administration IAM

Cette observation comprend des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de cette observation.

La liste suivante répertorie toutes les sous-règles possibles:

  • external_service_account_added_to_policy, external_member_added_to_policy: détection des droits accordés aux utilisateurs IAM et aux comptes de service qui ne sont pas membres de votre organisation ou, si Security Command Center est activé au niveau du projet uniquement, de votre projet.

    Remarque: Si Security Command Center est activé au niveau de l'organisation à n'importe quel niveau, ce détecteur utilise les stratégies IAM existantes d'une organisation comme contexte. Si l'activation de Security Command Center n'est effectuée qu'au niveau du projet, le détecteur n'utilise que les stratégies IAM du projet comme contexte.

    Si une autorisation IAM sensible est accordée à un membre externe et que moins de trois stratégies IAM existantes sont similaires, ce détecteur génère un résultat.

    Rôles sensibles

    Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.

  • external_member_invited_to_policy: détecte quand un membre externe est invité en tant que propriétaire du projet via l'API InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: détecte quand l'autorisation setIAMPolicy est ajoutée à un rôle personnalisé.
  • service_account_granted_sensitive_role_to_member: détecte quand des rôles privilégiés sont accordés aux membres via un compte de service. Cette sous-règle est déclenchée par un sous-ensemble de rôles sensibles qui n'incluent que des rôles IAM de base et certains rôles de stockage de données. Pour en savoir plus, consultez la section Rôles IAM et autorisations sensibles.
  • policy_modified_by_default_compute_service_account: détecte quand un compte de service Compute Engine par défaut est utilisé pour modifier les paramètres IAM du projet.
Persistance: rôle sensible attribué à un compte non géré (bêta) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détection d'un rôle sensible attribué à un compte non géré.
Persistance: Nouvelle méthode d'API
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Cloud Audit Logs:
Journaux des activités d'administration
Détection d'une utilisation anormale des services Google Cloud par les comptes de service IAM
Persistance : Nouvelle géographie IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Cloud Audit Logs:
Journaux des activités d'administration

Détection des comptes utilisateur de service et utilisateur IAM qui accèdent à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes.

Cette information n'est pas disponible pour les activations au niveau du projet.

Persistance : Nouvel agent utilisateur IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Cloud Audit Logs:
Journaux des activités d'administration

Détection des comptes de service IAM accédant à Google Cloud à partir d'agents utilisateur anormaux ou suspects.

Cette information n'est pas disponible pour les activations au niveau du projet.

Persistance : activer/désactiver l'authentification unique TOGGLE_SSO_ENABLED Google Workspace:
Audit d'administration

Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur.

Cette information n'est pas disponible pour les activations au niveau du projet.

Persistance : paramètres SSO modifiés CHANGE_SSO_SETTINGS Google Workspace:
Audit d'administration

Les paramètres SSO du compte administrateur ont été modifiés.

Cette information n'est pas disponible pour les activations au niveau du projet.

Escalade des droits: usurpation d'identité de compte de service anormale pour les activités d'administration ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Cloud Audit Logs:
Journaux des activités d'administration
Détecte quand un compte de service usurpé potentiellement anormal est utilisé pour une activité administrative.
Escalade des droits: délégation de compte de service multi-étapes anormale pour les activités d'administration ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Cloud Audit Logs:
Journaux des activités d'administration
Détecte une demande déléguée anormale en plusieurs étapes pour une activité administrative.
Escalade des droits: délégation de compte de service multi-étapes anormale pour l'accès aux données ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Cloud Audit Logs:
Journaux d'accès aux données
Détecte une requête déléguée anormale en plusieurs étapes pour une activité d'accès aux données.
Escalade des droits: emprunt d'identité anormal d'un compte de service pour les activités d'administration ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Cloud Audit Logs:
Journaux des activités d'administration
Détecte lorsqu'un appelant/imposteur potentiellement anormal dans une chaîne de délégation est utilisé pour une activité administrative.
Escalade des droits: emprunt d'identité de compte de service anormal pour l'accès aux données ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Cloud Audit Logs:
Journaux d'accès aux données
Détecte lorsqu'un appelant/imposteur potentiellement anormal dans une chaîne de délégation est utilisé pour une activité d'accès aux données.
Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Cloud Audit Logs:
Journaux des activités d'administration GKE
Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible cluster-admin à l'aide d'une requête PUT ou PATCH.
Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Cloud Audit Logs:
Journaux des activités d'administration GKE
Un individu potentiellement malveillant a créé une requête de signature de certificat (CSR) maître Kubernetes, ce qui lui permet de disposer de l'accès cluster-admin.
Élévation des privilèges : création de liaisons Kubernetes sensibles GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Pour élever un privilège, une personne potentiellement malveillante a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle cluster-admin.
Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Cloud Audit Logs:
Journaux d'accès aux données GKE
Une personne potentiellement malveillante a émis une requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis.
Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Cloud Audit Logs:
Journaux des activités d'administration GKE

Un individu potentiellement malveillant a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.

Le champ privileged d'un conteneur privilégié est défini sur true. Le champ allowPrivilegeEscalation d'un conteneur doté de fonctionnalités d'élévation des privilèges est défini sur true. Pour en savoir plus, consultez la documentation de référence de l'API SecurityContext v1 Core dans la documentation de Kubernetes.

Persistance: clé de compte de service créée SERVICE_ACCOUNT_KEY_CREATION Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte la création d'une clé de compte de service. Les clés de compte de service sont des identifiants de longue durée qui augmentent le risque d'accès non autorisé aux ressources Google Cloud.
Élévation des privilèges: script d'arrêt global ajouté GLOBAL_SHUTDOWN_SCRIPT_ADDED Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand un script d'arrêt global est ajouté à un projet.
Persistance: script de démarrage global ajouté GLOBAL_STARTUP_SCRIPT_ADDED Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand un script de démarrage global est ajouté à un projet.
Défense contre l'évasion: rôle de créateur de jetons de compte de service au niveau de l'organisation ajouté ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand le Rôle IAM Créateur de jetons du compte de service est accordé au niveau de l'organisation.
Défense contre l'évasion: rôle de créateur de jetons de compte de service au niveau du projet ajouté PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand le Rôle IAM Créateur de jetons du compte de service est attribué au niveau du projet.
Mouvement latéral: exécution du correctif d'OS depuis le compte de service OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Cloud Audit Logging
Journaux d'audit pour les activités d'administration IAM
Détecte quand un compte de service utilise la fonctionnalité de correctif Compute Engine pour mettre à jour le système d'exploitation de toute instance Compute Engine en cours d'exécution.
Mouvement latéral: disque de démarrage modifié associé à une instance (version Preview) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Cloud Audit Logs (Journaux d'audit Cloud) :
Journaux d'audit Compute Engine
Détecte quand un disque de démarrage est dissocié d'une instance Compute Engine et associé à une autre, ce qui peut indiquer une tentative malveillante de compromettre le système à l'aide d'un disque de démarrage modifié.
Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Cloud Audit Logs:
Journaux d'accès aux données GKE
Détecte l'accès à des secrets ou des jetons de compte de service par un compte de service dans l'espace de noms Kubernetes actuel.
Développement de ressources: activité de distribution Offensive Security OFFENSIVE_SECURITY_DISTRO_ACTIVITY Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte les manipulations réussies de ressources Google Cloud à partir de tests d'intrusion connus ou de distributions de sécurité offensives.
Escalade des droits: le nouveau compte de service est propriétaire ou éditeur SERVICE_ACCOUNT_EDITOR_OWNER Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte la création d'un compte de service avec les rôles Éditeur ou Propriétaire pour un projet.
Découverte: Outil de collecte d'informations utilisé INFORMATION_GATHERING_TOOL_USED Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte l'utilisation de ScoutSuite, un outil d'audit de la sécurité cloud connu pour être utilisé par des acteurs de la menace.
Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte les cas d'utilisation abusive de l'autorisation iam.serviceAccounts.implicitDelegation pour générer des jetons d'accès à partir d'un compte de service plus privilégié.
Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand un compte de service utilise la méthode serviceAccounts.signJwt pour générer un jeton d'accès pour un autre compte de service.
Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Détecte l'utilisation interprojets de l'autorisation IAM iam.serviceAccounts.getOpenIdToken.

Cette information n'est pas disponible pour les activations au niveau du projet.

Élévation des privilèges: génération de jetons suspects SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Détecte l'utilisation interprojets de l'autorisation IAM iam.serviceAccounts.getAccessToken.

Cette information n'est pas disponible pour les activations au niveau du projet.

Élévation des privilèges: utilisation suspecte d'autorisations multiprojets SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Détecte l'utilisation interprojets de l'autorisation IAM datafusion.instances.create.

Cette information n'est pas disponible pour les activations au niveau du projet.

Commande et contrôle: tunnelisation DNS DNS_TUNNELING_IODINE_HANDSHAKE Journaux Cloud DNS Détecte le handshake de l'outil de tunnelisation DNS Iodine.
Contournement des défenses: tentative de masquage de route VPC VPC_ROUTE_MASQUERADE Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte la création manuelle de routes VPC se faisant passer pour des routes par défaut Google Cloud, ce qui permet de diriger le trafic de sortie vers des adresses IP externes.
Impact: Facturation désactivée BILLING_DISABLED_SINGLE_PROJECT Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand la facturation a été désactivée pour un projet.
Impact: Facturation désactivée BILLING_DISABLED_MULTIPLE_PROJECTS Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand la facturation a été désactivée pour plusieurs projets d'une organisation dans un court laps de temps.
Impact: Blocage à priorité élevée du pare-feu VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte lorsqu'une règle de pare-feu VPC qui bloque tout le trafic est ajoutée avec une priorité 0.
Impact: La suppression groupée des règles de pare-feu VPC est temporairement indisponible VPC_FIREWALL_MASS_RULE_DELETION Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM

Détecte la suppression groupée des règles de pare-feu VPC par des comptes autres que des comptes de service.

Cette règle est temporairement indisponible. Pour surveiller les mises à jour de vos règles de pare-feu, utilisez les journaux d'audit Cloud.

Impact: API de service désactivée SERVICE_API_DISABLED Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand une API de service Google Cloud est désactivée dans un environnement de production.
Impact: autoscaling du groupe d'instances géré défini sur "Maximum" MIG_AUTOSCALING_SET_TO_MAX Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte quand un groupe d'instances géré est configuré pour l'autoscaling maximal.
Découverte: Appel d'API de compte de service non autorisé UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit Logs:
Journaux d'audit pour les activités d'administration IAM
Détecte lorsqu'un compte de service effectue un appel d'API interprojet non autorisé.
Contournement des systèmes de défense: accès d'administrateur de cluster accordé aux sessions anonymes ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Cloud Audit Logs:
Journaux des activités d'administration GKE
Détecte la création d'un objet ClusterRoleBinding de contrôle des accès basé sur les rôles (RBAC) qui ajoute le comportement root-cluster-admin-binding aux utilisateurs anonymes.
Accès initial: ressource GKE anonyme créée à partir d'Internet (bêta) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Journaux des activités d'administration GKE
Détecte les événements de création de ressources provenant d' utilisateurs Internet anonymes.
Accès initial: ressource GKE modifiée anonymement à partir d'Internet (preview) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Cloud Audit Logs:
Journaux des activités d'administration GKE
Détecte les événements de manipulation de ressources provenant d' utilisateurs Internet anonymes.
Escalade des droits: accès au cluster GKE accordé aux utilisateurs anonymes (bêta) GKE_ANONYMOUS_USERS_GRANTED_ACCESS Cloud Audit Logs:
Journaux des activités d'administration GKE

Quelqu'un a créé une liaison RBAC qui fait référence à l'un des utilisateurs ou groupes suivants:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

Ces utilisateurs et groupes sont en fait anonymes et doivent être évités lors de la création de liaisons de rôle ou de liaisons de rôle de cluster pour des rôles RBAC. Vérifiez la liaison pour vous assurer qu'elle est nécessaire. Si la liaison n'est pas nécessaire, supprimez-la.

Exécution: exécution suspecte d'un pod système ou association suspecte à un pod système (preview) GKE_SUSPICIOUS_EXEC_ATTACH Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a utilisé les commandes exec ou attach pour obtenir un shell ou exécuter une commande sur un conteneur exécuté dans l'espace de noms kube-system. Ces méthodes sont parfois utilisées à des fins de débogage légitimes. Toutefois, l'espace de noms kube-system est destiné aux objets système créés par Kubernetes. L'exécution de commandes ou la création de shells inattendues doivent être examinées.
Élévation des privilèges: charge de travail créée avec une installation de chemin d'hôte sensible (Preview) GKE_SENSITIVE_HOSTPATH Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a créé une charge de travail qui contient un montage de volume hostPath sur un chemin sensible dans le système de fichiers du nœud hôte. L'accès à ces chemins d'accès sur le système de fichiers de l'hôte peut être utilisé pour accéder à des informations privilégiées ou sensibles sur le nœud et pour échapper aux conteneurs. Si possible, n'autorisez aucun volume hostPath dans votre cluster.
Élévation des privilèges: charge de travail avec shareProcessNamespace activé (Preview) GKE_SHAREPROCESSNAMESPACE_POD Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a déployé une charge de travail avec l'option shareProcessNamespace définie sur true, ce qui permet à tous les conteneurs de partager le même espace de noms de processus Linux. Cela pourrait permettre à un conteneur non approuvé ou compromis d'élever les privilèges en accédant et en contrôlant les variables d'environnement, la mémoire et d'autres données sensibles à partir de processus exécutés dans d'autres conteneurs.
Élévation des privilèges: ClusterRole avec des verbes avec privilèges (Preview) GKE_CLUSTERROLE_PRIVILEGED_VERBS Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a créé un ClusterRole RBAC contenant les verbes bind, escalate ou impersonate. Un sujet lié à un rôle avec ces verbes peut usurper l'identité d'autres utilisateurs disposant de droits plus élevés, se lier à des Roles ou ClusterRoles supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'octroi de droits d'administrateur de cluster à ces sujets.
Élévation des privilèges: ClusterRoleBinding pour un rôle avec privilèges (Preview) GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a créé un ClusterRoleBinding RBAC qui fait référence à l'ClusterRole system:controller:clusterrole-aggregation-controller par défaut. Ce ClusterRole par défaut comporte le verbe escalate, qui permet aux sujets de modifier les droits d'accès de leurs propres rôles, ce qui permet d'escalader les droits.
Defense Evasion: Requête de signature de certificat (CSR) supprimée manuellement (Preview) GKE_MANUALLY_DELETED_CSR Cloud Audit Logs:
Journaux des activités d'administration GKE
Une demande de signature de certificat (CSR) a été supprimée manuellement. Les CSR sont automatiquement supprimés par un contrôleur de récupération de mémoire, mais des acteurs malveillants peuvent les supprimer manuellement pour éviter d'être détectés. Si la requête de signature de certificat supprimée concernait un certificat approuvé et émis, l'acteur potentiellement malveillant dispose désormais d'une méthode d'authentification supplémentaire pour accéder au cluster. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées. Kubernetes n'est pas compatible avec la révocation de certificats.
Accès aux identifiants: échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes (Preview) GKE_APPROVE_CSR_FORBIDDEN Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a tenté d'approuver manuellement une requête de signature de certificat (CSR), mais l'action a échoué. La création d'un certificat pour l'authentification de cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées.
Accès aux identifiants: requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview) GKE_CSR_APPROVED Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a approuvé manuellement une requête de signature de certificat (CSR). La création d'un certificat pour l'authentification du cluster est une méthode courante utilisée par les pirates informatiques pour créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction de l'objet inclus, mais peuvent être très privilégiées.
Exécution: Pod Kubernetes créé avec de potentiels arguments de shell inversé (Preview) GKE_REVERSE_SHELL_POD Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a créé un pod contenant des commandes ou des arguments couramment associés à un shell inversé. Les pirates informatiques utilisent des shells inversés pour étendre ou maintenir leur accès initial à un cluster et pour exécuter des commandes arbitraires.
Détournement de défense: dissimulation potentielle de pod Kubernetes (bêta) GKE_POD_MASQUERADING Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a déployé un pod avec une convention de nommage semblable aux charges de travail par défaut créées par GKE pour le fonctionnement normal du cluster. Cette technique est appelée masquage.
Élévation des privilèges: Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) GKE_SUSPICIOUS_EXPLOIT_POD Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des outils courants utilisés pour les échappements de conteneur ou pour exécuter d'autres attaques sur le cluster.
Impact: Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie (Preview) GKE_SUSPICIOUS_CRYPTOMINING_POD Cloud Audit Logs:
Journaux des activités d'administration GKE
Quelqu'un a déployé un pod avec une convention d'attribution de noms semblable à celle des mineurs de cryptomonnaies courants. Il peut s'agir d'une tentative d'un pirate informatique qui a obtenu un accès initial au cluster pour utiliser ses ressources à des fins de minage de cryptomonnaie.

Modules personnalisés Event Threat Detection

En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de modules que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour en savoir plus, consultez la section Présentation des modules personnalisés pour Event Threat Detection.

Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journal vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.

Modifications non sécurisées apportées aux groupes Google

Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est disponible que lorsque vous activez Security Command Center au niveau de l'organisation.

Les clients Google Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.

Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations permettant d'identifier personnellement l'utilisateur, et ne sont pas recommandés pour les membres de groupe externes.

Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Cloud Audit Logs enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.

Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux sont au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que lorsque vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center au niveau du projet.

Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :

  • Membres de groupe externes ajoutés aux groupes privilégiés
  • Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
  • Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder

Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.

Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.

Rôles et autorisations IAM sensibles

Cette section explique comment Event Threat Detection définit les rôles IAM sensibles. Les détections telles que les autorisations anormales IAM et les modifications non sécurisées apportées aux groupes Google ne génèrent des résultats que si elles impliquent des rôles à sensibilité élevée ou moyenne. La sensibilité des rôles a un impact sur le niveau de gravité attribué aux résultats.

  • Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
  • Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud, et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
    • Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
    • Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.

L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est un membre externe ou une identité anormale, comme un principal inactif depuis longtemps.

L'attribution de rôles sensibles à des membres externes crée une menace potentielle, car ils peuvent être utilisés de manière abusive pour compromettre des comptes et exfiltrer des données.

Les catégories de résultats qui utilisent ces rôles sensibles incluent les suivantes:

  • Persistance: octroi anormal d'autorisations IAM
    • Sous-règle: external_service_account_added_to_policy
    • Sous-règle: external_member_added_to_policy
  • Accès aux identifiants : rôle sensible attribué au groupe hybride
  • Escalade des droits: un compte de service inactif a reçu un rôle sensible

Les catégories de résultats qui utilisent un sous-ensemble des rôles sensibles incluent les suivantes:

  • Persistance: octroi anormal d'autorisations IAM
    • Sous-règle: service_account_granted_sensitive_role_to_member

La sous-règle service_account_granted_sensitive_role_to_member cible généralement à la fois les membres externes et internes, et n'utilise donc qu'un sous-ensemble de rôles sensibles, comme expliqué dans la section Règles Event Threat Detection.

Catégorie Rôle Description
Rôles de base: incluent des milliers d'autorisations pour tous les services Google Cloud. roles/owner Rôles de base
roles/editor
Rôles de sécurité: contrôlent l'accès aux paramètres de sécurité. roles/cloudkms.* Tous les rôles Cloud Key Management Service
roles/cloudsecurityscanner.* Tous les rôles Web Security Scanner
roles/dlp.* Tous les rôles Sensitive Data Protection
roles/iam.* Tous les Rôles IAM
roles/secretmanager.* Tous les rôles Secret Manager
roles/securitycenter.* Tous les rôles Security Command Center
Rôles de journalisation: contrôlent l'accès aux journaux d'une organisation. roles/errorreporting.* Tous les rôles Error Reporting
roles/logging.* Tous les rôles Cloud Logging
roles/stackdriver.* Tous les rôles Cloud Monitoring
Rôles d'informations personnelles: contrôlent l'accès aux ressources contenant des informations permettant d'identifier personnellement l'utilisateur, y compris des coordonnées bancaires et des coordonnées. roles/billing.* Tous les rôles Cloud Billing
roles/healthcare.* Tous les rôles de l'API Cloud Healthcare
roles/essentialcontacts.* Tous les rôles Essential Contacts
Rôles de mise en réseau: contrôlent l'accès aux paramètres réseau d'une organisation. roles/dns.* Tous les rôles Cloud DNS
roles/domains.* Tous les rôles Cloud Domains
roles/networkconnectivity.* Tous les rôles Network Connectivity Center
roles/networkmanagement.* Tous les rôles Network Connectivity Center
roles/privateca.* Tous les rôles Certificate Authority Service
Rôles de service: contrôlent l'accès aux ressources de service dans Google Cloud. roles/cloudasset.* Tous les rôles de l'inventaire des éléments cloud
roles/servicedirectory.* Tous les rôles de l'annuaire des services
roles/servicemanagement.* Tous les rôles Service Management
roles/servicenetworking.* Tous les rôles Service Networking
roles/serviceusage.* Tous les rôles Service Usage
Rôles Compute Engine: contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu.

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Tous les rôles Administrateur et Éditeur de Compute Engine
Catégorie Rôle Description
Rôles de modification: rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud.

Exemples :

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur.

Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.

Rôles de stockage des données: rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données

Exemples :

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne.
Tous les rôles à sensibilité moyenne

Access Approval

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

Actions

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Autorisation binaire

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminBêta

Fonctions Cloud Run

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud IoT

  • roles/cloudiot.admin
  • roles/cloudiot.deviceController
  • roles/cloudiot.editor
  • roles/cloudiot.provisioner

Cloud Life Sciences

  • roles/genomics.admin
  • roles/genomics.admin
  • roles/lifesciences.admin
  • roles/lifesciences.editor

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

Analyse des artefacts

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Game Servers

  • roles/gameservices.admin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

Google Workspace

  • roles/gsuiteaddons.developer

Identity-Aware Proxy

  • roles/iap.admin
  • roles/iap.settingsAdmin

Service géré pour Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore pour Redis

  • roles/redis.admin
  • roles/redis.editor

API On-Demand Scanning

  • roles/ondemandscanning.admin

Surveillance de la configuration des opérations

  • roles/opsconfigmonitoring.resourceMetadata.writer

Service de règles d'administration

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Autres rôles

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter
  • roles/chroniclesm.admin
  • roles/dataprocessing.admin
  • roles/earlyaccesscenter.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/identityplatform.admin
  • roles/identitytoolkit.admin
  • roles/oauthconfig.editor
  • roles/retail.admin
  • roles/retail.editor
  • roles/runtimeconfig.admin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

Recommandations

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

Outil de recommandation

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Paramètres de ressources

  • roles/resourcesettings.admin

Accès au VPC sans serveur

  • roles/vpcaccess.admin

Gestion des clients du service

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Service de transfert de stockage

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Notebooks Vertex AI Workbench gérés par l'utilisateur

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

Workflows

  • roles/workflows.admin
  • roles/workflows.editor

Types de journaux et conditions d'activation

Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'il recherche dans chaque journal et les actions à effectuer pour activer chaque journal, le cas échéant.

Vous ne devez activer un journal pour Event Threat Detection que si toutes les conditions suivantes sont remplies:

  • Vous utilisez le produit ou le service qui écrit dans le journal.
  • Vous devez protéger le produit ou le service contre les menaces détectées par la détection des menaces d'événements dans le journal.
  • Il s'agit d'un journal d'audit des accès aux données ou d'un autre journal désactivé par défaut.

Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter cette même menace.

Si un journal n'est pas listé dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez la section Analyses de journaux potentiellement redondantes.

Comme indiqué dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau du projet, Event Threat Detection n'analyse pas ces journaux et ne produit aucun résultat.

Sources de journaux de base

Event Threat Detection utilise des sources de données de base pour détecter les activités potentiellement malveillantes sur votre réseau.

  • Si vous activez Event Threat Detection sans les journaux de flux VPC, Event Threat Detection commence immédiatement à analyser un flux de journaux de flux VPC indépendant, en double et interne. Pour examiner plus en détail un résultat Event Threat Detection existant, vous devez activer les journaux de flux VPC et accéder manuellement à l'explorateur de journaux et à l'analyseur de flux. Si vous activez les journaux de flux VPC ultérieurement, seuls les résultats futurs contiendront les liens pertinents pour une enquête plus approfondie.

  • Si vous activez Event Threat Detection avec les journaux de flux VPC, il commence immédiatement à analyser les journaux de flux VPC de votre déploiement et fournit des liens vers l'explorateur de journaux et Flow Analyzer pour vous aider à examiner plus en détail.

Analyses de journaux potentiellement redondantes

Event Threat Detection peut détecter les logiciels malveillants sur le réseau en analysant l'un des journaux suivants:

  • Journalisation Cloud DNS
  • Journalisation Cloud NAT
  • Journalisation des règles de pare-feu
  • Journaux de flux VPC

Si vous utilisez déjà la journalisation Cloud DNS, Event Threat Detection peut détecter les logiciels malveillants à l'aide de la résolution de domaine. Pour la plupart des utilisateurs, les journaux Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.

Si vous avez besoin d'un autre niveau de visibilité au-delà de la résolution de domaine, vous pouvez activer les journaux de flux VPC, mais cela peut entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5% et 10 %. Toutefois, il existe un compromis entre le rappel (échantillonnage plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible). Pour en savoir plus, consultez la section Échantillonnage et traitement des journaux.

Si vous utilisez déjà la journalisation des règles de pare-feu ou la journalisation Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.

Vous n'avez pas besoin d'activer plusieurs options de journalisation : Cloud NAT, journalisation des règles de pare-feu ou journaux de flux VPC.

Journaux que vous devez activer

Cette section liste les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces que Event Threat Detection peut détecter.

Certaines menaces, telles que celles liées à l'usurpation d'identité ou à la délégation anormale d'un compte de service, peuvent être détectées dans la plupart des journaux d'audit. Pour ces types de menaces, vous déterminez les journaux que vous devez activer en fonction des produits et services que vous utilisez.

Le tableau suivant présente les journaux spécifiques que vous devez activer pour les menaces qui ne peuvent être détectées que dans certains types de journaux spécifiques.

Type de journal Menaces détectées Configuration obligatoire
Journalisation Cloud DNS

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

Activer la journalisation Cloud DNS
Journalisation Cloud NAT

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Activer la journalisation Cloud NAT
Journalisation des règles de pare-feu

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Activez la journalisation des règles de pare-feu.
Journaux d'audit de l'accès aux données Google Kubernetes Engine (GKE)

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Activer la journalisation des journaux d'audit des accès aux données pour GKE
Journals d'audit des administrateurs Google Workspace

Credential Access: Privileged Group Opened To Public

Impair Defenses: Strong Authentication Disabled

Impair Defenses: Two Step Verification Disabled

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

partager les journaux d'audit Google Workspace Admin avec Cloud Logging ;

Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.

Journaux d'audit des connexions Google Workspace

Credential Access: External Member Added To Privileged Group

Impair Defenses: Two Step Verification Disabled

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

partager les journaux d'audit de connexion Google Workspace avec Cloud Logging ;

Ce type de journal ne peut pas être analysé dans les activations au niveau du projet.

Loggs du service de backend de l'équilibreur de charge d'application externe Initial Access: Log4j Compromise Attempt Activer la journalisation de l'équilibreur de charge d'application externe
Journaux d'audit d'accès aux données MySQL Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Activer la journalisation des journaux d'audit pour l'accès aux données pour Cloud SQL pour MySQL
Journaux d'audit de l'accès aux données PostgreSQL dans Cloud SQL

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Cloud SQL Over-Privileged Grant

Journaux d'audit de l'accès aux données AlloyDB pour PostgreSQL

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant

Journaux d'audit pour l'accès aux données IAM Discovery: Service Account Self-Investigation Activer la journalisation des journaux d'audit des accès aux données pour Resource Manager
Journaux d'audit pour l'accès aux données SQL Server Exfiltration: Cloud SQL Data Exfiltration Activer l'enregistrement des journaux d'audit d'accès aux données pour Cloud SQL pour SQL Server
Journaux d'audit génériques pour l'accès aux données

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Activez la journalisation des journaux d'audit des accès aux données.
authlogs/authlog sur les machines virtuelles Brute force SSH Installer l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM
Journaux de flux VPC

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

Activer les journaux de flux VPC

Journaux toujours activés

Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés et Event Threat Detection les analyse automatiquement.

Type de journal Menaces détectées Configuration obligatoire
Journaux d'accès aux données BigQueryAuditMetadata

Exfiltration : exfiltration de données BigQuery

Exfiltration : extraction de données BigQuery

Exfiltration : données BigQuery vers Google Drive

Exfiltration: transfert vers une ressource BigQuery publique (bêta)

Aucun
Journaux d'audit des activités d'administration Google Kubernetes Engine (GKE)

Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles

Élévation des privilèges : création de liaisons Kubernetes sensibles

Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié

Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal

Contournement des systèmes de défense: accès d'administrateur de cluster accordé aux sessions anonymes

Accès initial: ressource GKE anonyme créée à partir d'Internet (Preview)

Accès initial: ressource GKE modifiée anonymement à partir d'Internet (Preview)

Escalade des droits: accès au cluster GKE accordé aux utilisateurs anonymes (bêta)

Exécution: exécution suspecte d'un pod système ou association suspecte à un pod système (Preview)

Élévation des privilèges: charge de travail créée avec une installation de chemin d'hôte sensible (Preview)

Élévation des privilèges: charge de travail avec shareProcessNamespace activé (Preview)

Élévation des privilèges: ClusterRole avec des verbes avec privilèges (Preview)

Élévation des privilèges: ClusterRoleBinding pour un rôle avec privilèges (Preview)

Defense Evasion: Requête de signature de certificat (CSR) supprimée manuellement (Preview)

Accès aux identifiants: échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes (Preview)

Accès aux identifiants: requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview)

Exécution: Pod Kubernetes créé avec de potentiels arguments de shell inversé (Preview)

Détournement de défense: dissimulation potentielle de pod Kubernetes (bêta)

Élévation des privilèges: Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview)

Impact: Noms de conteneurs Kubernetes suspects - Minage de cryptomonnaie (Preview)

Aucun
Journaux d'audit pour les activités d'administration IAM

Accès aux identifiants : rôle sensible attribué au groupe hybride

Escalade des droits: un compte de service inactif a reçu un rôle sensible

Persistance: rôle d'impersonation attribué à un compte de service inactif

Persistance: octroi anormal d'autorisations IAM (Preview)

Persistance: rôle sensible attribué à un compte non géré

Aucun
Journaux des activités d'administration MySQL Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucun
Journaux des activités d'administration PostgreSQL Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucun
Journaux d'activité des administrateurs SQL Server Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe Aucun
Journaux d'audit génériques pour les activités d'administration

Accès initial: action sur un compte de service inactif>

Accès initial: clé de compte de service inactif créée

Accès initial: opérations refusées en raison d'autorisations excessives

Accès initial: clé de compte de service divulguée utilisée

Persistance: ajout d'une clé SSH par l'administrateur GCE

Persistance: ajout d'un script de démarrage par l'administrateur GCE

Persistance: nouvelle méthode d'API

Persistance : Nouvelle géographie

Persistance : Nouvel agent utilisateur

Escalade des droits: usurpation d'identité anormale d'un compte de service pour les activités d'administration

Escalade des droits: délégation de compte de service multi-étapes anormale pour les activités d'administration

Escalade des droits: usurpation d'identité anormale d'un compte de service pour les activités d'administration

Mouvement latéral: disque de démarrage modifié associé à l'instance (version Preview)

Aucun
Journaux d'audit VPC Service Controls Defense Evasion: Modifier VPC Service Controls (version Preview) Aucun
Journaux d'audit des activités des administrateurs de sauvegarde et de reprise après sinistre

Destruction des données: la sauvegarde et la reprise après sinistre de Google Cloud expirent toutes les images

Inhiber la récupération du système: règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud

Inhiber la récupération du système: modèle de suppression de Google Cloud Backup and DR

Inhiber la récupération du système: profil de suppression de la sauvegarde-Reprise après sinistre Google Cloud

Inhiber la récupération du système: Google Cloud Backup and DR supprime le pool de stockage

Inhibit system recovery: deleted Google Cloud Backup and DR host

Destruction des données: image d'expiration de la sauvegarde et de la reprise après sinistre Google Cloud

Destruction des données: suppression de l'appareil de sauvegarde-reprise après sinistre Google Cloud

Inhiber la récupération du système: supprimer le plan de sauvegarde et de reprise après sinistre Google Cloud

Impact: Google Cloud Backup and DR réduit le délai d'expiration des sauvegardes

Impact: La sauvegarde et la reprise après sinistre Google Cloud réduisent la fréquence de sauvegarde

Aucun

Étape suivante