Che cos'è Event Threat Detection?
Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora continuamente la tua organizzazione o i tuoi progetti e identifica le minacce all'interno dei tuoi sistemi quasi in tempo reale. Event Threat Detection viene aggiornato regolarmente con nuovi rilevatori per identificare le minacce emergenti su larga scala cloud.
Come funziona Event Threat Detection
Event Threat Detection monitora il flusso di Cloud Logging per la tua organizzazione o i tuoi progetti. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Event Threat Detection consuma i log dei progetti man mano che vengono creati e può monitorare i log di Google Workspace. Cloud Logging contiene voci di log di chiamate API e altre azioni che creano, leggono o modificano la configurazione o i metadati delle risorse. I log di Google Workspace monitorano gli accessi degli utenti al tuo dominio e forniscono un registro delle azioni eseguite nella Console di amministrazione Google Workspace.
Le voci di log contengono informazioni sullo stato e sugli eventi che Event Threat Detection utilizza per rilevare rapidamente le minacce. Event Threat Detection applica logica di rilevamento e intelligence sulle minacce proprietarie, tra cui corrispondenza di indicatori di tripwire, profiling con finestre, profiling avanzato, machine learning e rilevamento di anomalie, per identificare le minacce quasi in tempo reale.
Quando Event Threat Detection rileva una minaccia, scrive un risultato in Security Command Center. Se attivi il livello Premium di Security Command Center a livello di organizzazione, Security Command Center può scrivere i risultati in un progetto Cloud Logging. Dai log di Cloud Logging e di Google Workspace, puoi esportare i risultati in altri sistemi con Pub/Sub ed elaborarli con le funzioni Cloud Run.
Se attivi il livello Premium di Security Command Center a livello di organizzazione, puoi anche utilizzare Google Security Operations per esaminare alcuni risultati. Google SecOps è un servizio Google Cloud che consente di esaminare le minacce e passare da un'entità all'altra in un'unica sequenza temporale. Per istruzioni su come inviare i risultati a Google SecOps, consulta Esaminare i risultati in Google SecOps.
La tua capacità di visualizzare e modificare i risultati e i log è determinata dai ruoli IAM (Identity and Access Management) che ti sono stati concessi. Per saperne di più sui ruoli IAM di Security Command Center, consulta Controllo dell'accesso.
Regole di Event Threat Detection
Le regole definiscono il tipo di minacce rilevate da Event Threat Detection e i tipi di log che devono essere attivati per il funzionamento dei rilevatori. Gli audit log per le attività di amministrazione vengono sempre scritti; non puoi configurarli o disabilitarli.
Event Threat Detection include le seguenti regole predefinite:
Nome visualizzato | Nome API | Tipi di origini log | Descrizione |
---|---|---|---|
Scansione attiva: Log4j vulnerabile all'attacco RCE | Non disponibile | Log di Cloud DNS | Rileva le vulnerabilità Log4j attive identificando le query DNS per i domini non offuscati avviate dagli scanner delle vulnerabilità Log4j supportati. |
Blocco recupero sistema: host di Google Cloud Backup e RE eliminato | BACKUP_HOSTS_DELETE_HOST |
Audit log di Cloud: Audit log delle attività di amministrazione del servizio di backup e RE |
Un host è stato eliminato da Backup e RE Le applicazioni associate all'host eliminato potrebbero non essere protette. |
Distruzione dei dati: immagine di scadenza di Google Cloud Backup e RE | BACKUP_EXPIRE_IMAGE |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
Un utente ha richiesto l'eliminazione di un'immagine di backup da Backup e DR. L'eliminazione di un'immagine di backup non impedisce i backup futuri. |
Inhibit System Recovery: Google Cloud Backup and RE remove plan | BACKUP_REMOVE_PLAN |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
È stato eliminato un piano di backup con più criteri per un'applicazione da Backup e DR. L'eliminazione di un piano di backup può impedire i backup futuri. |
Distruzione dei dati: tutte le immagini di Google Cloud Backup e RE scadono | BACKUP_EXPIRE_IMAGES_ALL |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
Un utente ha richiesto l'eliminazione di tutte le immagini di backup per un'applicazione protetta da Backup e DR. L'eliminazione delle immagini di backup non impedisce i backup futuri. |
Inhibit System Recovery: Google Cloud Backup and RE delete template | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
È stato eliminato un modello di backup predefinito, utilizzato per configurare i backup per più applicazioni. La possibilità di configurare i backup in futuro potrebbe essere interessata. |
Inhibit System Recovery: Google Cloud Backup and RE delete policy | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
È stato eliminato un criterio di backup e RE che definisce come viene eseguito un backup e dove viene archiviato. I backup futuri che utilizzano il criterio potrebbero non riuscire. |
Blocco recupero sistema: profilo di eliminazione di Google Cloud Backup e RE | BACKUP_PROFILES_DELETE_PROFILE |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
È stato eliminato un profilo di backup e RE che definisce i pool di archiviazione da utilizzare per memorizzare i backup. I backup futuri che utilizzano il profilo potrebbero non riuscire. |
Distruzione dei dati: rimozione dell'appliance Google Cloud Backup e RE | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
Un'appliance di backup è stata eliminata da Backup e RE Le applicazioni associate all'appliance di backup eliminata potrebbero non essere protette. |
Inhibit System Recovery: Google Cloud Backup and RE delete storage pool | BACKUP_STORAGE_POOLS_DELETE |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
Un pool di archiviazione, che associa un bucket Cloud Storage a Backup e RE, è stato rimosso da Backup e RE. I backup futuri in questo destinazione di archiviazione non andranno a buon fine. |
Impatto: riduzione della scadenza dei backup di Google Cloud Backup e RE | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
La data di scadenza di un backup protetto da Backup e RE è stata ridotta. |
Impatto: frequenza di backup ridotta per Google Cloud Backup e RE | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud Audit Logs: Audit log delle attività di amministrazione di backup e RE |
La pianificazione dei backup di Backup e RE è stata modificata per ridurre la frequenza dei backup. |
Forza bruta SSH | BRUTE_FORCE_SSH |
authlog | Rilevamento di un attacco di forza bruta SSH riuscito su un host. |
Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Log di Cloud IDS |
Eventi di minaccia rilevati da Cloud IDS. Cloud IDS rileva gli attacchi di livello 7 analizzando i pacchetti sottoposti a mirroring e, quando viene rilevato un evento di minaccia, invia un risultato relativo alla classe di minaccia a Security Command Center. I nomi delle categorie di risultati iniziano con "Cloud IDS", seguiti dall'identificatore della minaccia Cloud IDS. L'integrazione di Cloud IDS con il rilevamento delle minacce da eventi non include i rilevamenti delle vulnerabilità di Cloud IDS. Per scoprire di più sui rilevamenti di Cloud IDS, consulta Informazioni sui log di Cloud IDS. |
Accesso con credenziali: membro esterno aggiunto al gruppo con privilegi | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Log di Google Workspace: Controllo degli accessi Autorizzazioni: DATA_READ
|
Rileva gli eventi in cui un membro esterno viene aggiunto a un gruppo Google con privilegi (un gruppo a cui sono stati assegnati ruoli o autorizzazioni sensibili). Viene generato un rilevamento solo se il gruppo non contiene già altri membri esterni della stessa organizzazione del membro appena aggiunto. Per saperne di più, consulta Modifiche non sicure a Google Gruppi. I risultati sono classificati come di gravità Alta o Media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso alle credenziali: gruppo con privilegi aperto al pubblico | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Controllo dell'amministratore Autorizzazioni: DATA_READ
|
Rileva gli eventi in cui un gruppo Google privilegiato (un gruppo a cui sono stati concessi ruoli o autorizzazioni sensibili) viene modificato in modo da essere accessibile al pubblico in generale. Per saperne di più, consulta Modifiche non sicure a Google Gruppi. I risultati sono classificati come di gravità elevata o media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva gli eventi in cui i ruoli sensibili vengono concessi a un gruppo Google con membri esterni. Per saperne di più, consulta Modifiche non sicure a Google Gruppi. I risultati sono classificati come di gravità elevata o media, a seconda della sensibilità dei ruoli associati alla modifica del gruppo. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Evasione della difesa: deployment di emergenza del workload creato (anteprima) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Audit log di Cloud: Log attività di amministrazione |
Rileva il deployment di workload usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
Evasione della difesa: deployment di emergenza del workload aggiornato (anteprima) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: Log attività di amministrazione |
Rileva l'aggiornamento di workload usando il flag di deployment di emergenza per eseguire l'override dei controlli di Autorizzazione binaria. |
Evasione della difesa: modifica del Controllo di servizio VPC | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Audit log di Cloud Audit log di VPC Service Controls |
Rileva una modifica a un perimetro dei Controlli di servizio VPC esistente che potrebbe comportare una riduzione della protezione offerta dal perimetro. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Scoperta: può ottenere il controllo di oggetti Kubernetes sensibili | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Audit log di Cloud: Log di accesso ai dati GKE |
Un utente potenzialmente malintenzionato ha tentato di determinare su quali oggetti sensibili in GKE può eseguire query utilizzando il comando
|
Discovery: auto-indagine sull'account di servizio | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Audit log di Cloud: Audit log di accesso ai dati IAM Autorizzazioni: DATA_READ
|
Rilevamento di una credenziale dell'account di servizio IAM utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio. Ruoli sensibili I risultati sono classificati come di gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili. |
Evasione: accesso da proxy con anonimizzazione | ANOMALOUS_ACCESS |
Cloud Audit Logs: Log attività di amministrazione |
Rilevamento di modifiche ai servizi Google Cloud originate da indirizzi IP proxy anonimi, come gli indirizzi IP di Tor. |
Esfiltrazione: esfiltrazione dei dati di BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Log di controllo di Cloud:
Log di accesso ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva i seguenti scenari:
|
Esfiltrazione: estrazione di dati di BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Log di controllo di Cloud:
Log di accesso ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva i seguenti scenari:
Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. |
Esfiltrazione: dati di BigQuery su Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Log di controllo di Cloud:
Log di accesso ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva quanto segue:
|
Esfiltrazione: spostamento nella risorsa BigQuery pubblica | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Log di controllo di Cloud:
Log di accesso ai dati BigQueryAuditMetadata Autorizzazioni: DATA_READ
|
Rileva quanto segue:
|
Esfiltrazione: esfiltrazione dei dati di Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Log di controllo di Cloud:
Log di accesso ai dati di MySQL Log di accesso ai dati di PostgreSQL Log di accesso ai dati di SQL Server |
Rileva i seguenti scenari:
Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. |
Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Log di controllo cloud:
Log delle attività amministrative di MySQL Log delle attività amministrative di PostgreSQL Log delle attività amministrative di SQL Server |
Rileva gli eventi in cui il backup di un'istanza Cloud SQL viene ripristinato in un'istanza al di fuori dell'organizzazione. |
Esfiltrazione: concessione di privilegi eccessivi in Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Log di controllo di Cloud:
Log di accesso ai dati PostgreSQL Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. |
Rileva gli eventi in cui a un utente o ruolo Cloud SQL per PostgreSQL sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema. |
Accesso iniziale: il super user del database scrive nelle tabelle utente | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Log di controllo Cloud:
Log di accesso ai dati di Cloud SQL per PostgreSQL Log di accesso ai dati di Cloud SQL per MySQL Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit per PostgreSQL o il controllo del database per MySQL. |
Rileva gli eventi in cui un superutente Cloud SQL (postgres per i server PostgreSQL o root per gli utenti MySQL) scrive in tabelle non di sistema.
|
Escalation dei privilegi: concessione con privilegi in eccesso per AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Log di controllo di Cloud:
Log di accesso ai dati di AlloyDB per PostgreSQL Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. |
Rileva gli eventi in cui a un utente o ruolo AlloyDB per PostgreSQL sono stati concessi tutti i privilegi per un database o per tutte le tabelle, procedure o funzioni in uno schema. |
Escalation dei privilegi: il super user del database AlloyDB scrive nelle tabelle utente | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Log di controllo di Cloud:
Log di accesso ai dati di AlloyDB per PostgreSQL Nota: per utilizzare questa regola, devi attivare l'estensione pgAudit. |
Rileva gli eventi in cui un superutente AlloyDB per PostgreSQL (postgres ) scrive
in tabelle non di sistema.
|
Accesso iniziale: azione account di servizio inattivo | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Audit log di Cloud: Log delle attività di amministrazione | Rileva gli eventi in cui un account di servizio gestito dall'utente inattivo ha attivato un'azione. In questo contesto, un account di servizio è considerato inattivo se è stato inattivo per più di 180 giorni. |
Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva gli eventi in cui a un account di servizio gestito dall'utente inattivo sono stati concessi uno o più ruoli IAM sensibili. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. Ruoli sensibili I risultati sono classificati come di gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM sensibili. |
Persistenza: ruolo per furto d'identità concesso per service account inattivo | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM | Rileva gli eventi in cui a un principale vengono concesse autorizzazioni per simulare l'identità di un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio viene considerato inattivo se è rimasto inattivo per più di 180 giorni. |
Accesso iniziale: chiave dell'account di servizio inattivo creata | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Audit log di Cloud: Log delle attività di amministrazione | Rileva gli eventi in cui viene creata una chiave per un account di servizio gestito dall'utente inattivo. In questo contesto, un account di servizio è considerato inattivo se è rimasto inattivo per più di 180 giorni. |
Accesso iniziale: chiave dell'account di servizio divulgata utilizzata | LEAKED_SA_KEY_USED |
Audit log di Cloud:
Log attività di amministrazione Log di accesso ai dati |
Rileva gli eventi in cui viene utilizzata una chiave dell'account di servizio divulgata per autenticare l'azione. In questo contesto, una chiave dell'account di servizio divulgata è una chiave che è stata pubblicata su internet. |
Accesso iniziale: azioni negate per autorizzazioni eccessive | EXCESSIVE_FAILED_ATTEMPT |
Audit log di Cloud: Log delle attività di amministrazione | Rileva gli eventi in cui un principale attiva ripetutamente errori di autorizzazione negata tentando di apportare modifiche in più metodi e servizi. |
Indebolimento difese: autenticazione avanzata disattivata |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Controllo dell'amministratore |
La verifica in due passaggi è stata disattivata per l'organizzazione. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Indebolimento delle difese: verifica in due passaggi disattivata |
2SV_DISABLE
|
Log di Google Workspace: Controllo degli accessi Autorizzazioni: DATA_READ
|
Un utente ha disattivato la verifica in due passaggi. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: account compromesso e disattivato |
ACCOUNT_DISABLED_HIJACKED
|
Log di Google Workspace: Controllo degli accessi Autorizzazioni: DATA_READ
|
L'account di un utente è stato sospeso a causa di attività sospette. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: fuga di password disattivata |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Log di Google Workspace: Controllo degli accessi Autorizzazioni: DATA_READ
|
L'account di un utente è stato disattivato perché è stata rilevata una fuga di password. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: attacco supportato da un governo |
GOV_ATTACK_WARNING
|
Log di Google Workspace: Controllo degli accessi Autorizzazioni: DATA_READ
|
Alcuni soggetti vicini a un governo potrebbero aver cercato di compromettere un account utente o un computer. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Accesso iniziale: tentativo di compromissione di Log4j | Non disponibile |
Log del bilanciamento del carico Cloud: Bilanciatore del carico HTTP Cloud Nota: per utilizzare questa regola, devi attivare la registrazione del bilanciatore del carico delle applicazioni esterno. |
Rileva le ricerca JNDI (Java Naming and Directory Interface) all'interno di intestazioni o parametri URL. Queste ricerche potrebbero indicare tentativi di sfruttamento di Log4Shell. Questi risultati hanno una bassa gravità, perché indicano solo un rilevamento o un tentativo di sfruttamento, non una vulnerabilità o un compromesso. Questa regola è sempre attiva. |
Accesso iniziale: accesso sospetto bloccato |
SUSPICIOUS_LOGIN
|
Log di Google Workspace: Controllo degli accessi Autorizzazioni: DATA_READ
|
È stato rilevato e bloccato un accesso sospetto all'account di un utente. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Malware Log4j: dominio non valido | LOG4J_BAD_DOMAIN |
Log di Cloud DNS | Rilevamento del traffico di exploit Log4j in base a una connessione o a una ricerca di un dominio conosciuto utilizzato negli attacchi Log4j. |
Malware Log4j: IP non valido | LOG4J_BAD_IP |
Log di flusso VPC Log delle regole firewall Log Cloud NAT |
Rilevamento del traffico di exploit Log4j in base a una connessione a un indirizzo IP noto utilizzato negli attacchi Log4j. |
Malware: dominio non valido | MALWARE_BAD_DOMAIN |
Log di Cloud DNS | Rilevamento di malware in base a una connessione o una ricerca di un dominio noto come dannoso. |
Malware: IP non valido | MALWARE_BAD_IP |
Log di flusso VPC Log delle regole firewall Log Cloud NAT |
Rilevamento di malware in base a una connessione a un indirizzo IP noto come non valido. |
Malware: dominio non valido per il cryptomining | CRYPTOMINING_POOL_DOMAIN |
Log di Cloud DNS | Rilevamento del cryptomining in base a una connessione o a una ricerca di un dominio di mining conosciuto. |
Malware: IP non valido per il cryptomining | CRYPTOMINING_POOL_IP |
Log di flusso VPC Log delle regole firewall Log Cloud NAT |
Rilevamento del cryptomining in base a una connessione a un indirizzo IP di mining noto. |
DoS in uscitaArrestare | OUTGOING_DOS |
Log di flusso VPC | Rilevamento di traffico DoS in uscita. |
Persistenza: chiave SSH aggiunta dall'amministratore GCE | GCE_ADMIN_ADD_SSH_KEY |
Audit log di Cloud: Audit log delle attività di amministrazione di Compute Engine |
Rilevamento di una modifica al valore della chiave SSH dei metadati dell'istanza Compute Engine su un'istanza stabilita (più vecchia di 1 settimana). |
Persistenza: script di avvio aggiunto dall'amministratore GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Audit log di Cloud: Audit log delle attività di amministrazione di Compute Engine |
Rilevamento di una modifica al valore dello script di avvio dei metadati dell'istanza Compute Engine in un'istanza stabilita (più vecchia di 1 settimana). |
Persistenza: concessione IAM anomala | IAM_ANOMALOUS_GRANT |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Questo rilevamento include sottoregole che forniscono informazioni più specifiche su ogni istanza di questo rilevamento. L'elenco seguente mostra tutte le possibili sottoregole:
|
Persistenza: ruolo sensibile concesso all'account non gestito (anteprima) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rilevamento di un ruolo sensibile concesso a un account non gestito. |
Persistenza: nuovo metodo API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: Log attività di amministrazione |
Rilevamento di un utilizzo anomalo dei servizi Google Cloud da parte degli account di servizio IAM. |
Persistenza: nuova geografia | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Audit log di Cloud: Log attività di amministrazione |
Rilevamento di account utente e di servizio IAM che accedono a Google Cloud da località anomale, in base alla geolocalizzazione degli indirizzi IP che effettuano la richiesta. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistenza: nuovo user agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Audit log di Cloud: Log attività di amministrazione |
Rilevamento di account di servizio IAM che accedono a Google Cloud da agenti utente anomali o sospetti. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistenza: pulsante di attivazione/disattivazione SSO |
TOGGLE_SSO_ENABLED
|
Google Workspace: Controllo dell'amministratore |
L'impostazione Attiva SSO (Single Sign-On) nell'account amministratore è stata disattivata. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistenza: impostazioni SSO modificate |
CHANGE_SSO_SETTINGS
|
Google Workspace: Controllo dell'amministratore |
Le impostazioni del Single Sign-On per l'account amministratore sono state modificate. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Riassegnazione dei privilegi: simulazione anomala dell'identità del service account per l'attività di amministrazione | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Audit log di Cloud: Log attività di amministrazione |
Rileva quando un service account simulato potenzialmente anomalo viene utilizzato per un'attività di amministrazione. |
Riassegnazione dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: Log attività di amministrazione |
Rileva quando viene trovata una richiesta delegata con più passaggi anomala per un'attività di amministrazione. |
Riassegnazione dei privilegi: delega anomala del service account con più passaggi per l'accesso ai dati | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Audit log di Cloud: Log di accesso ai dati |
Rileva quando viene trovata una richiesta delegata con più passaggi anomala per un'attività di accesso ai dati. |
Riassegnazione dei privilegi: simulatore anomalo dell'identità del service account per l'attività di amministrazione | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: Log attività di amministrazione |
Rileva quando un chiamatore/usurpatore potenzialmente anomalo in una catena di delega viene utilizzato per un'attività amministrativa. |
Riassegnazione dei privilegi: simulatore anomalo dell'identità di un service account per l'accesso ai dati | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Audit log di Cloud: Log di accesso ai dati |
Rileva quando viene utilizzato un chiamatore/usurpatore potenzialmente anomalo in una catena di delega per un'attività di accesso ai dati. |
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di modificare un oggetto con controllo dell'accesso basato su ruoli (RBAC) ClusterRole , RoleBinding o ClusterRoleBinding del ruolo sensibile
cluster-admin
utilizzando una richiesta PUT o PATCH .
|
Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente malintenzionato ha creato una richiesta di firma del certificato (CSR) master di Kubernetes, che gli consente di accedere con il ruolo
cluster-admin .
|
Escalation dei privilegi: creazione di associazioni Kubernetes sensibili | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Per eseguire l'escalation del privilegio, un utente potenzialmente malintenzionato ha tentato di creare un nuovo oggetto RoleBinding o ClusterRoleBinding per il ruolo
cluster-admin .
|
Escalation dei privilegi: recupera informazioni su CSR Kubernetes con credenziali bootstrap compromesse | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Audit log di Cloud: Log di accesso ai dati GKE |
Un utente potenzialmente malintenzionato ha eseguito una query per ottenere una
richiesta di firma del certificato
(CSR) con il comando kubectl utilizzando credenziali di bootstrap compromesse.
|
Escalation dei privilegi: avvia un container Kubernetes con privilegi | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Un utente potenzialmente malintenzionato ha creato un pod contenente container con privilegi o con funzionalità di escalation dei privilegi.
Il campo |
Persistenza: chiave dell'account di servizio creata | SERVICE_ACCOUNT_KEY_CREATION |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva la creazione di una chiave dell'account di servizio. Le chiavi dell'account di servizio sono credenziali di lunga durata che aumentano il rischio di accesso non autorizzato alle risorse Google Cloud. |
Escalation dei privilegi: script di chiusura globale aggiunto | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando uno script di chiusura globale viene aggiunto a un progetto. |
Persistenza: script di avvio globale aggiunto | GLOBAL_STARTUP_SCRIPT_ADDED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando uno script di avvio globale viene aggiunto a un progetto. |
Defense Evasion: ruolo Creatore token account di servizio a livello di organizzazione aggiunto | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di organizzazione. |
Evasione della difesa: aggiunto il ruolo Creatore token account di servizio a livello di progetto | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando il ruolo IAM Creatore token account di servizio viene concesso a livello di progetto. |
Movimento laterale: esecuzione patch del sistema operativo dal service account | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Audit log di Cloud. Audit log delle attività di amministrazione IAM |
Rileva quando un account di servizio utilizza la funzionalità Patch di Compute Engine per aggiornare il sistema operativo di qualsiasi istanza Compute Engine in esecuzione. |
Spostamento laterale: disco di avvio modificato collegato all'istanza (anteprima) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Audit log di Cloud: Audit log di Compute Engine |
Rileva quando un disco di avvio viene scollegato da un'istanza Compute Engine e collegato a un'altra, il che potrebbe indicare un tentativo malintenzionato di compromettere il sistema utilizzando un disco di avvio modificato. |
Accesso con credenziali: secret a cui è stato eseguito l'accesso nello spazio dei nomi Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Audit log di Cloud: Log di accesso ai dati GKE |
Rileva quando i token di secret o account di servizio vengono acceduti da un account di servizio nello spazio dei nomi Kubernetes corrente. |
Sviluppo risorse: attività distro di sicurezza non valida | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva le manipolazioni riuscite delle risorse Google Cloud da test di penetrazione o distribuzioni di sicurezza offensive noti. |
Riassegnazione dei privilegi: il nuovo account di servizio è Proprietario o Editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando viene creato un nuovo account di servizio con i ruoli Editor o Proprietario per un progetto. |
Discovery: strumento di raccolta delle informazioni utilizzato | INFORMATION_GATHERING_TOOL_USED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'utilizzo di ScoutSuite, uno strumento di controllo della sicurezza del cloud che è noto per essere utilizzato dagli autori di minacce. |
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando l'autorizzazione iam.serviceAccounts.implicitDelegation viene usata in modo improprio per generare token di accesso da un account di servizio con più privilegi.
|
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un account di servizio utilizza il metodo
serviceAccounts.signJwt
per generare un token di accesso per un altro account di servizio.
|
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'utilizzo tra progetti dell'autorizzazione IAM Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Escalation dei privilegi: generazione di token sospetti | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'utilizzo tra progetti dell'autorizzazione IAM Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Riassegnazione dei privilegi: utilizzo sospetto di autorizzazioni tra progetti | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'utilizzo tra progetti dell'autorizzazione IAM Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Comando e controllo: tunneling DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Log di Cloud DNS | Rileva l'handshake dello strumento di tunneling DNS Iodine. |
Evasione della difesa: tentativo di accesso mascherato route VPC | VPC_ROUTE_MASQUERADE |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva la creazione manuale di route VPC mascherate da route predefinite di Google Cloud, consentendo il traffico in uscita verso indirizzi IP esterni. |
Impatto: fatturazione disattivata | BILLING_DISABLED_SINGLE_PROJECT |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando la fatturazione è stata disattivata per un progetto. |
Impatto: fatturazione disattivata | BILLING_DISABLED_MULTIPLE_PROJECTS |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando la fatturazione è stata disattivata per più progetti di un'organizzazione in un breve periodo di tempo. |
Impatto: blocco ad alta priorità per firewall VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando viene aggiunta una regola firewall VPC che blocca tutto il traffico con priorità 0. |
Impatto: eliminazione di più regole firewall VPCtemporaneamente non disponibile | VPC_FIREWALL_MASS_RULE_DELETION |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva l'eliminazione collettiva delle regole firewall VPC da parte di account non di servizio. Questa regola non è al momento disponibile. Per monitorare gli aggiornamenti delle regole del firewall, utilizza gli audit log di Cloud. |
Impatto: API di servizio disabilitata | SERVICE_API_DISABLED |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un'API di servizio Google Cloud è disattivata in un ambiente di produzione. |
Impatto: scalabilità automatica gruppo di istanze gestite impostata al massimo | MIG_AUTOSCALING_SET_TO_MAX |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un gruppo di istanze gestite è configurato per la scalabilità automatica massima. |
Rilevamento: chiamata non autorizzata all'API del service account | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Audit log di Cloud: Audit log delle attività di amministrazione IAM |
Rileva quando un account di servizio effettua una chiamata API tra progetti non autorizzata. |
Evasione di difesa: sessioni anonime che hanno concesso l'accesso amministrativo al cluster | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Rileva la creazione di un oggetto ClusterRoleBinding (controllo dell'accesso dell'accesso basato sui ruoli, RBAC) aggiungendo il comportamento root-cluster-admin-binding agli utenti anonimi.
|
Accesso iniziale: risorsa GKE anonima creata da internet (anteprima) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Rileva gli eventi di creazione delle risorse da utenti di internet effettivamente anonimi. |
Accesso iniziale: risorsa GKE modificata in modo anonimo da internet (anteprima) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Rileva eventi di manipolazione delle risorse da parte di utenti di internet effettivamente anonimi. |
Riassegnazione dei privilegi: accesso al cluster GKE concesso a utenti anonimi (anteprima) | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Qualcuno ha creato un'associazione RBAC che fa riferimento a uno dei seguenti utenti o gruppi:
Questi utenti e gruppi sono effettivamente anonimi e devono essere evitati quando crei associazioni di ruoli o associazioni di ruoli del cluster a qualsiasi ruolo RBAC. Controlla il vincolo per assicurarti che sia necessario. Se la associazione non è necessaria, rimuovila. |
Esecuzione: esecuzione o collegamento sospetti a un pod di sistema (anteprima) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Qualcuno ha utilizzato i comandi exec o attach per ottenere una shell o eseguire un comando su un contenitore in esecuzione nello spazio dei nomi kube-system .
A volte questi metodi vengono utilizzati per scopi di debug legittimi. Tuttavia, lo spazio dei nomi kube-system è destinato agli oggetti di sistema creati da Kubernetes e l'esecuzione di comandi o la creazione di shell inaspettate deve essere esaminata.
|
Escalation dei privilegi: workload creato con un montaggio del percorso host sensibile (anteprima) | GKE_SENSITIVE_HOSTPATH |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha creato un workload che contiene un montaggio del volume hostPath in un
percorso sensibile sul file system del nodo host. L'accesso a questi percorsi sul
file system dell'host può essere utilizzato per accedere a informazioni privilegiate o sensibili sul nodo e per
le uscite dal contenitore. Se possibile, non consentire volumi hostPath nel tuo
cluster.
|
Escalation dei privilegi: workload con shareProcessNamespace abilitato (anteprima) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Qualcuno ha eseguito il deployment di un carico di lavoro con l'opzione shareProcessNamespace impostata su
true , consentendo a tutti i container di condividere lo stesso spazio dei nomi dei processi Linux.
Ciò potrebbe consentire a un contenitore non attendibile o compromesso di eseguire la riassegnazione dei privilegi accedendo e controllando le variabili di ambiente, la memoria e altri dati sensibili dei processi in esecuzione in altri contenitori.
|
Escalation dei privilegi: ClusterRole con verbi con privilegi (anteprima) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha creato un ClusterRole RBAC contenente i verbi bind ,
escalate o impersonate . Un soggetto associato a un ruolo con questi verbi può rubare l'identità di altri utenti con privilegi più elevati, associarsi a Roles o ClusterRoles aggiuntivi che contengono autorizzazioni aggiuntive o modificare le proprie autorizzazioni ClusterRole. Ciò potrebbe portare a questi soggetti
a ottenere privilegi di amministratore del cluster.
|
Escalation dei privilegi: ClusterRoleBinding a ruolo con privilegi (anteprima) | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Qualcuno ha creato un ClusterRoleBinding RBAC che fa riferimento al valore predefinito
system:controller:clusterrole-aggregation-controller
ClusterRole . Questo ClusterRole predefinito ha il verbo
escalate , che consente ai soggetti di modificare i privilegi dei propri
ruoli, consentendo la escalation dei privilegi.
|
Evasione della difesa: richiesta di firma del certificato (CSR) eliminata manualmente (anteprima) | GKE_MANUALLY_DELETED_CSR |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha eliminato manualmente una richiesta di firma del certificato (CSR). Le CSR vengono rimosse automaticamente da un controller di garbage collection, ma gli utenti malintenzionati potrebbero eliminarle manualmente per eludere il rilevamento. Se la CSR eliminata era per un certificato approvato ed emesso, l'attore potenzialmente malintenzionato ora dispone di un metodo di autenticazione aggiuntivo per accedere al cluster. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere molto privilegiate. Kubernetes non supporta la revoca dei certificati. |
Accesso con credenziali: tentativo di approvazione della richiesta di firma del certificato (CSR) di Kubernetes non riuscito (anteprima) | GKE_APPROVE_CSR_FORBIDDEN |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha tentato di approvare manualmente una richiesta di firma del certificato (CSR), ma l'azione non è andata a buon fine. La creazione di un certificato per l'autenticazione del cluster è un metodo comune utilizzato dai malintenzionati per creare un accesso permanente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere di alto livello. |
Accesso con credenziali: richiesta di firma del certificato (CSR) Kubernetes approvata manualmente (anteprima) | GKE_CSR_APPROVED |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha approvato manualmente una richiesta di firma del certificato (CSR). La creazione di un certificato per l'autenticazione del cluster è un metodo comune utilizzato dagli attaccanti per creare un accesso permanente a un cluster compromesso. Le autorizzazioni associate al certificato variano a seconda dell'oggetto incluso, ma possono essere molto privilegiate. |
Esecuzione: pod Kubernetes creato con potenziali argomenti reverse shell (anteprima) | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Qualcuno ha creato un pod contenente comandi o argomenti comunemente associati a una shell inversa. Gli aggressori utilizzano le shell reverse per espandere o mantenere il loro accesso iniziale a un cluster ed eseguire comandi arbitrari. |
Evasione di difesa: potenziale mascheramento di pod Kubernetes (anteprima) | GKE_POD_MASQUERADING |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha eseguito il deployment di un pod con una convenzione di denominazione simile ai carichi di lavoro predefiniti creati da GKE per il normale funzionamento del cluster. Questa tecnica è chiamata mascheramento. |
Escalation dei privilegi: nomi dei container Kubernetes sospetti - Exploit ed escape (anteprima) | GKE_SUSPICIOUS_EXPLOIT_POD |
Audit log di Cloud: Log delle attività di amministrazione di GKE |
Qualcuno ha eseguito il deployment di un pod con una convenzione di denominazione simile a quella degli strumenti comuni utilizzati per le uscite dai container o per eseguire altri attacchi sul cluster. |
Impatto: nomi dei container Kubernetes sospetti - Coin mining (anteprima) | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs: Log delle attività di amministrazione di GKE |
Qualcuno ha disegnato un pod con una convenzione di denominazione simile a quella dei comuni miner di criptovaluta. Potrebbe trattarsi di un tentativo da parte di un malintenzionato che ha ottenuto l'accesso iniziale al cluster di utilizzare le risorse del cluster per il mining di criptovaluta. |
Moduli personalizzati per Event Threat Detection
Oltre alle regole di rilevamento incorporate, Event Threat Detection fornisce modelli di moduli che puoi utilizzare per creare regole di rilevamento personalizzate. Per ulteriori informazioni, consulta la Panoramica dei moduli personalizzati per Event Threat Detection.
Per creare regole di rilevamento per le quali non sono disponibili modelli di moduli personalizzati, puoi esportare i dati dei log in BigQuery, quindi eseguire query SQL uniche o ricorrenti che acquisiscono i tuoi modelli di minacce.
Modifiche non sicure a Google Gruppi
Questa sezione spiega come Event Threat Detection utilizza i log di Google Workspace, Cloud Audit Logs e i criteri IAM per rilevare modifiche non sicure di Google Gruppi. Il rilevamento delle modifiche di Google Gruppi è supportato solo se attivi Security Command Center a livello di organizzazione.
I clienti Google Cloud possono utilizzare Google Gruppi per gestire i ruoli e le autorizzazioni per i membri delle loro organizzazioni oppure applicare criteri di accesso a raccolte di utenti. Anziché concedere i ruoli direttamente ai membri, gli amministratori possono concedere ruoli e autorizzazioni ai gruppi Google e poi aggiungere i membri a gruppi specifici. I membri del gruppo ereditano tutti i ruoli e le autorizzazioni del gruppo, il che consente loro di accedere a risorse e servizi specifici.
Sebbene Google Gruppi sia un modo pratico per gestire il controllo dell'accesso su larga scala, possono rappresentare un rischio se utenti esterni all'organizzazione o al dominio vengono aggiunti a gruppi autorizzati, ovvero gruppi a cui sono concesse autorizzazioni o ruoli sensibili. I ruoli sensibili controllano l'accesso alle impostazioni di sicurezza e di rete, ai log e alle informazioni che consentono l'identificazione personale (PII) e non sono consigliati per i membri esterni del gruppo.
Nelle organizzazioni di grandi dimensioni, gli amministratori potrebbero non essere a conoscenza dell'aggiunta di membri esterni ai gruppi con privilegi. Cloud Audit Logs registrano le concessioni di ruoli ai gruppi, ma questi eventi di log non contengono informazioni sui membri del gruppo, il che può nascondere il potenziale impatto di alcune modifiche del gruppo.
Se condividi i log di Google Workspace con Google Cloud, Event Threat Detection monitora i flussi di log per rilevare i nuovi membri aggiunti a Google Gruppi della tua organizzazione. Poiché i log si trovano a livello di organizzazione, Event Threat Detection può eseguire la scansione dei log di Google Workspace solo quando attivi Security Command Center a livello di organizzazione. Event Threat Detection non può eseguire la scansione di questi log quando attivi Security Command Center a livello di progetto.
Event Threat Detection identifica i membri esterni del gruppo e, utilizzando Cloud Audit Logs, esamina i ruoli IAM di ciascun gruppo interessato per verificare se ai gruppi sono stati concessi ruoli sensibili. Queste informazioni vengono utilizzate per rilevare le seguenti modifiche non sicure per i gruppi Google con privilegi:
- Membri esterni del gruppo aggiunti ai gruppi con privilegi
- Ruoli o autorizzazioni sensibili concessi a gruppi con membri esterni
- Gruppi con privilegi modificati per consentire a chiunque appartenga al pubblico in generale di farvi parte
Event Threat Detection scrive i risultati in Security Command Center. I risultati contengono gli indirizzi email dei membri esterni appena aggiunti, i membri interni del gruppo che avviano gli eventi, i nomi dei gruppi e i ruoli sensibili associati ai gruppi. Puoi utilizzare le informazioni per rimuovere membri esterni dai gruppi o revocare i ruoli sensibili concessi ai gruppi.
Per ulteriori informazioni sui risultati di Event Threat Detection, consulta Regole di Event Threat Detection.
Ruoli e autorizzazioni IAM sensibili
Questa sezione spiega come Event Threat Detection definisce i ruoli IAM sensibili. Rilevamento di concessioni anomale IAM e modifiche ai gruppi Google non sicure generano risultati solo se le modifiche riguardano ruoli con sensibilità elevata o media. La sensibilità dei ruoli influisce sulla classificazione della gravità assegnata ai risultati.
- I ruoli ad alta sensibilità controllano i servizi critici nelle organizzazioni, tra cui fatturazione, impostazioni del firewall e logging. I risultati che corrispondono a questi ruoli sono classificati come Alta gravità.
- I ruoli con dati di media sensibilità dispongono di autorizzazioni di modifica che consentono ai principali di apportare modifiche alle risorse Google Cloud, nonché di visualizzare ed eseguire autorizzazioni sui servizi di archiviazione dei dati che spesso contengono dati sensibili. La gravità assegnata ai risultati dipende dalla risorsa:
- Se i ruoli con sensibilità media vengono concessi a livello di organizzazione, i risultati vengono classificati come di gravità elevata.
- Se i ruoli con livello di sensibilità medio vengono concessi a livelli inferiori nella gerarchia delle risorse (cartelle, progetti e bucket, tra gli altri), i risultati vengono classificati come di gravità media.
L'assegnazione di questi ruoli sensibili è considerata pericolosa se il beneficiario è un membro esterno o un'identità anomala, ad esempio un principale che è stato inattivo per molto tempo.
La concessione di ruoli sensibili a membri esterni rappresenta una potenziale minaccia perché possono essere utilizzati in modo improprio per compromettere l'account ed esfiltrazione di dati.
Per trovare le categorie che utilizzano questi ruoli sensibili, includi:
- Persistenza: concessione IAM anomala
- Regola secondaria:
external_service_account_added_to_policy
- Regola secondaria:
external_member_added_to_policy
- Regola secondaria:
- Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido
- Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo
Per trovare le categorie che utilizzano un sottoinsieme dei ruoli sensibili, includi:
- Persistenza: concessione IAM anomala
- Regola secondaria:
service_account_granted_sensitive_role_to_member
- Regola secondaria:
La sottoregola service_account_granted_sensitive_role_to_member
ha come target gli abbonati sia esterni che interni in generale e, pertanto, utilizza solo un sottoinsieme di ruoli sensibili, come spiegato in Regole di rilevamento delle minacce correlate agli eventi.
Categoria | Ruolo | Descrizione |
---|---|---|
Ruoli di base: contengono migliaia di autorizzazioni per tutti i servizi Google Cloud. | roles/owner |
Ruoli di base |
roles/editor |
||
Ruoli di sicurezza: controllano l'accesso alle impostazioni di sicurezza | roles/cloudkms.* |
Tutti i ruoli di Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Tutti i ruoli di Web Security Scanner | |
roles/dlp.* |
Tutti i ruoli Sensitive Data Protection | |
roles/iam.* |
Tutti i ruoli IAM | |
roles/secretmanager.* |
Tutti i ruoli di Secret Manager | |
roles/securitycenter.* |
Tutti i ruoli di Security Command Center | |
Ruoli di registrazione: controlla l'accesso ai log di un'organizzazione | roles/errorreporting.* |
Tutti i ruoli di Error Reporting |
roles/logging.* |
Tutti i ruoli di Cloud Logging | |
roles/stackdriver.* |
Tutti i ruoli di Cloud Monitoring | |
Ruoli per le informazioni personali: controlla l'accesso alle risorse che contengono informazioni che consentono l'identificazione personale, inclusi dati bancari e di contatto | roles/billing.* |
Tutti i ruoli di Fatturazione Cloud |
roles/healthcare.* |
Tutti i ruoli dell'API Cloud Healthcare | |
roles/essentialcontacts.* |
Tutti i ruoli di Contatti fondamentali | |
Ruoli di rete: controllano l'accesso alle impostazioni di rete di un'organizzazione | roles/dns.* |
Tutti i ruoli Cloud DNS |
roles/domains.* |
Tutti i ruoli di Cloud Domains | |
roles/networkconnectivity.* |
Tutti i ruoli di Network Connectivity Center | |
roles/networkmanagement.* |
Tutti i ruoli di Network Connectivity Center | |
roles/privateca.* |
Tutti i ruoli di Certificate Authority Service | |
Ruoli di servizio: controlla l'accesso alle risorse di servizio in Google Cloud | roles/cloudasset.* |
Tutti i ruoli di Cloud Asset Inventory |
roles/servicedirectory.* |
Tutti i ruoli di Service Directory | |
roles/servicemanagement.* |
Tutti i ruoli di Service Management | |
roles/servicenetworking.* |
Tutti i ruoli di Service Networking | |
roles/serviceusage.* |
Tutti Ruoli di utilizzo del servizio | |
Ruoli Compute Engine: controllano l'accesso alle macchine virtuali Compute Engine, che eseguono job a lungo termine e sono associate a regole firewall |
|
Tutti i ruoli Amministratore e Editor di Compute Engine |
Categoria | Ruolo | Descrizione |
---|---|---|
Ruoli di modifica: i ruoli IAM che includono le autorizzazioni per apportare modifiche alle risorse Google Cloud |
Esempi:
|
I nomi dei ruoli di solito terminano con titoli come Amministratore, Proprietario, Editor o Scrittore. Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli con sensibilità media |
Ruoli di archiviazione dati: ruoli IAM che includono le autorizzazioni per visualizzare ed eseguire i servizi di archiviazione dati |
Esempi:
|
Espandi il nodo nell'ultima riga della tabella per visualizzare Tutti i ruoli con sensibilità media |
Tutti i ruoli con sensibilità media
Managed Service for Microsoft Active Directory
Monitoraggio configurazione applicazioni
Servizio Criteri dell'organizzazione
Blocchi note gestiti dall'utente di Vertex AI Workbench
|
Tipi di log e requisiti di attivazione
Questa sezione elenca i log utilizzati da Event Threat Detection, le minacce che Event Threat Detection cerca in ogni log e cosa devi fare, se necessario, per attivare ogni log.
Devi attivare un log per Event Threat Detection solo se tutte le seguenti condizioni sono vere:
- Stai utilizzando il prodotto o il servizio che scrive nel log.
- Devi proteggere il prodotto o il servizio dalle minacce rilevate da Rilevamento minacce evento nel log.
- Il log è un audit log di accesso ai dati o un altro log disattivato per impostazione predefinita.
Alcune minacce possono essere rilevate in più log. Se Event Threat Detection può rilevare una minaccia in un log già attivato, non è necessario attivarne un altro per rilevare la stessa minaccia.
Se un log non è elencato in questa sezione, Event Threat Detection non lo esegue la scansione, anche se è attivato. Per ulteriori informazioni, consulta la sezione Scansioni dei log potenzialmente ridondanti.
Come descritto nella tabella seguente, alcuni tipi di log sono disponibili solo a livello di organizzazione. Se attivi Security Command Center a livello di progetto, Event Threat Detection non esegue la scansione di questi log e non genera risultati.
Origini log di base
Event Threat Detection utilizza origini dati di base per rilevare attività potenzialmente dannose nella tua rete.
Se attivi Event Threat Detection senza i log di flusso VPC, Event Threat Detection inizia immediatamente ad analizzare uno stream indipendente, duplicato e interno di log di flusso VPC. Per esaminare ulteriormente un risultato di Event Threat Detection esistente, devi attivare Log di flusso VPC e accedere manualmente a Logs Explorer e Strumento di analisi dei flussi. Se attivi i log di flusso VPC in un secondo momento, solo i risultati futuri conterranno i link pertinenti per ulteriori indagini.
Se attivi Event Threat Detection con i log di flusso VPC, Event Threat Detection inizia immediatamente ad analizzare i log di flusso VPC nel tuo deployment e fornisce link a Logs Explorer e Flow Analyzer per aiutarti a effettuare ulteriori accertamenti.
Scansioni dei log potenzialmente ridondanti
Event Threat Detection può fornire il rilevamento di malware sulla rete analizzando uno qualsiasi degli eventi riportati di seguito:
- Log di Cloud DNS
- Log di Cloud NAT
- Logging delle regole firewall
- Log di flusso VPC
Se utilizzi già il logging di Cloud DNS, Event Threat Detection può rilevare malware utilizzando la risoluzione del dominio. Per la maggior parte degli utenti, i log di Cloud DNS sono sufficienti per il rilevamento di malware sulla rete.
Se hai bisogno di un altro livello di visibilità oltre alla risoluzione del dominio, puoi attivare i log di flusso VPC, ma questi possono comportare costi. Per gestire questi costi, consigliamo di aumentare l'intervallo di aggregazione a 15 minuti e di ridurre la frequenza di campionamento al 5-10%, ma esiste un compromesso tra il recupero (campione più elevato) e la gestione dei costi (frequenza di campionamento inferiore). Per ulteriori informazioni, consulta Campionamento e elaborazione dei log.
Se utilizzi già la registrazione delle regole firewall o la registrazione Cloud NAT, questi log sono utili al posto dei log di flusso VPC.
Non è necessario attivare più di un tipo di logging, tra il logging di Cloud NAT, il logging delle regole firewall o i log di flusso VPC.
Log da attivare
Questa sezione elenca i log di Cloud Logging e Google Workspace che puoi attivare o configurare in altro modo per aumentare il numero di minacce che Event Threat Detection può rilevare.
Alcune minacce, come quelle rappresentate dall'impersonificazione o dalla delega anomala di un account di servizio, possono essere rilevate nella maggior parte dei log di controllo. Per questi tipi di minacce, devi determinare quali log attivare in base ai prodotti e servizi che utilizzi.
La tabella seguente mostra i log specifici che devi attivare per le minacce che possono essere rilevate solo in determinati tipi di log.
Tipo di log | Minacce rilevate | Configurazione necessaria |
---|---|---|
Logging di Cloud DNS |
|
Attivare il logging di Cloud DNS |
Log di Cloud NAT |
|
Attivare il logging di Cloud NAT |
Logging delle regole firewall |
|
Attiva il logging delle regole firewall. |
Audit log degli accessi ai dati di Google Kubernetes Engine (GKE) |
|
Attiva gli audit log di accesso ai dati di Logging per GKE |
Log di controllo di amministrazione di Google Workspace |
|
Condividere i log di controllo di amministrazione di Google Workspace con Cloud Logging Questo tipo di log non può essere sottoposto a scansione nelle attivazioni a livello di progetto. |
Log di controllo degli accessi di Google Workspace |
|
Condividere i log di controllo degli accessi di Google Workspace con Cloud Logging Questo tipo di log non può essere sottoposto a scansione nelle attivazioni a livello di progetto. |
Log del servizio di backend del bilanciatore del carico delle applicazioni esterno | Initial Access: Log4j Compromise Attempt |
Attivare il logging del bilanciatore del carico delle applicazioni esterno |
Audit log degli accessi ai dati di Cloud SQL MySQL | Exfiltration: Cloud SQL Data Exfiltration |
Attivare la registrazione degli audit log di accesso ai dati per Cloud SQL per MySQL |
Audit log degli accessi ai dati di Cloud SQL PostgreSQL |
|
|
Audit log degli accessi ai dati di AlloyDB per PostgreSQL |
|
|
Audit log degli accessi ai dati IAM |
Discovery: Service Account Self-Investigation
|
Attivare la registrazione degli audit log di accesso ai dati per Resource Manager |
Audit log degli accessi ai dati di SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Attivare i log di controllo dell'accesso ai dati per Cloud SQL per SQL Server |
Audit log generici di accesso ai dati |
|
Attiva gli audit log di accesso ai dati. |
authlogs/authlog sulle macchine virtuali | Brute force SSH |
Installa Ops Agent o l'agente Logging precedente sui tuoi host VM |
Log di flusso VPC |
|
Attivare i log di flusso VPC |
Log sempre attivi
La tabella seguente elenca i log di Cloud Logging che non devi attivare o configurare. Questi log sono sempre attivi ed Event Threat Detection li analizza automaticamente.
Tipo di log | Minacce rilevate | Configurazione necessaria |
---|---|---|
Log di accesso ai dati BigQueryAuditMetadata |
Esfiltrazione: esfiltrazione dei dati di BigQuery Esfiltrazione: estrazione di dati di BigQuery Esfiltrazione: dati di BigQuery su Google Drive Esfiltrazione: spostamento nella risorsa BigQuery pubblica (anteprima) |
Nessuno |
Audit log delle attività di amministrazione di Google Kubernetes Engine (GKE) |
Escalation dei privilegi: modifiche agli oggetti RBAC Kubernetes sensibili Escalation dei privilegi: creazione di associazioni Kubernetes sensibili Escalation dei privilegi: avvia un container Kubernetes con privilegi Escalation dei privilegi: crea una richiesta CSR Kubernetes per il certificato principale Evasione di difesa: sessioni anonime che hanno concesso l'accesso amministrativo al cluster Accesso iniziale: risorsa GKE anonima creata da internet (anteprima) Accesso iniziale: risorsa GKE modificata in modo anonimo da internet (anteprima) Riassegnazione dei privilegi: accesso al cluster GKE concesso a utenti anonimi (anteprima) Esecuzione: esecuzione o collegamento sospetti a un pod di sistema (anteprima) Escalation dei privilegi: workload creato con un montaggio del percorso host sensibile (anteprima) Escalation dei privilegi: workload con shareProcessNamespace abilitato (anteprima) Escalation dei privilegi: ClusterRole con verbi con privilegi (anteprima) Escalation dei privilegi: ClusterRoleBinding a ruolo con privilegi (anteprima) Evasione della difesa: richiesta di firma del certificato (CSR) eliminata manualmente (anteprima) Accesso con credenziali: tentativo di approvazione della richiesta di firma del certificato (CSR) di Kubernetes non riuscito (anteprima) Accesso con credenziali: richiesta di firma del certificato (CSR) Kubernetes approvata manualmente (anteprima) Esecuzione: pod Kubernetes creato con potenziali argomenti reverse shell (anteprima) Evasione di difesa: potenziale mascheramento di pod Kubernetes (anteprima) Escalation dei privilegi: nomi dei container Kubernetes sospetti - Exploit ed escape (anteprima) Impatto: nomi dei container Kubernetes sospetti - Coin mining (anteprima) |
Nessuno |
Audit log delle attività di amministrazione IAM |
Accesso con credenziali: ruolo sensibile concesso a un gruppo ibrido Riassegnazione dei privilegi: ruolo sensibile concesso a un account di servizio inattivo Persistenza: ruolo per furto d'identità concesso per un account di servizio inattivo Persistenza: concessione IAM anomala (anteprima) Persistenza: ruolo sensibile concesso all'account non gestito |
Nessuno |
Log delle attività di amministrazione di MySQL | Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna | Nessuno |
Log delle attività di amministrazione PostgreSQL | Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna | Nessuno |
Log delle attività di amministrazione di SQL Server | Esfiltrazione: backup di ripristino Cloud SQL in un'organizzazione esterna | Nessuno |
Audit log delle attività di amministrazione generici |
Accesso iniziale: azione account di servizio inattivo> Accesso iniziale: chiave dell'account di servizio inattivo creata Accesso iniziale: azioni negate per autorizzazioni eccessive Accesso iniziale: chiave dell'account di servizio divulgata utilizzata Persistenza: chiave SSH aggiunta dall'amministratore GCE Persistenza: script di avvio aggiunto dall'amministratore GCE Persistenza: nuovo metodo API Persistenza: nuova geografia Persistenza: nuovo user agent Riassegnazione dei privilegi: simulazione anomala dell'identità del service account per l'attività di amministrazione Riassegnazione dei privilegi: delega anomala del service account con più passaggi per l'attività di amministrazione Riassegnazione dei privilegi: simulatore anomalo dell'identità del service account per l'attività di amministrazione Spostamento laterale: disco di avvio modificato collegato all'istanza (anteprima) |
Nessuno |
Log di controllo di VPC Service Controls | Evasione della difesa: modifica del Controllo di servizio VPC (anteprima) | Nessuno |
Log di controllo delle attività di amministrazione di backup e RE |
Distruzione dei dati: Google Cloud Backup e RE fanno scadere tutte le immagini Impedisci il recupero del sistema: criterio di eliminazione di Google Cloud Backup e RE Impedisci il recupero del sistema: modello di eliminazione di Google Cloud Backup e RE Impedisci il recupero del sistema: elimina il profilo di Google Cloud Backup e RE Impedisci il recupero del sistema: elimina il pool di archiviazione di Google Cloud Backup e RE Impedisci il recupero del sistema: host di Google Cloud Backup e RE eliminato Distruzione dei dati: immagine di scadenza di Google Cloud Backup e RE Distruzione dei dati: rimozione dell'appliance Google Cloud Backup e RE Impedisci il recupero del sistema: piano di rimozione di Google Cloud Backup e RE Impatto: Google Cloud Backup e RE riducono la scadenza del backup Impatto: Google Cloud Backup e RE riducono la frequenza dei backup |
Nessuno |
Passaggi successivi
- Scopri di più su come utilizzare Event Threat Detection.
- Scopri come indagare e sviluppare piani di risposta alle minacce.