Ringkasan Kategori Ancaman Cloud

Dokumen ini memberikan ringkasan tentang kumpulan aturan dalam kategori Ancaman Cloud, sumber data yang diperlukan, dan konfigurasi yang dapat Anda gunakan untuk menyesuaikan pemberitahuan yang dihasilkan oleh setiap kumpulan aturan. Kumpulan aturan ini membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data Google Cloud, dan di lingkungan AWS menggunakan data AWS.

Deskripsi kumpulan aturan

Kumpulan aturan berikut tersedia di kategori Ancaman Cloud.

Singkatan CDIR adalah singkatan dari Cloud Detection, Investigation, and Response.

Deteksi pilihan untuk data Google Cloud

Kumpulan aturan Google Cloud membantu mengidentifikasi ancaman di lingkungan Google Cloud menggunakan data peristiwa dan konteks, serta mencakup kumpulan aturan berikut:

  • Tindakan Admin: Aktivitas yang terkait dengan tindakan administratif, dianggap mencurigakan, tetapi berpotensi sah, bergantung pada penggunaan organisasi.
  • Pemindahan Tidak Sah yang Ditingkatkan CDIR SCC: Berisi aturan kontekstual yang menghubungkan temuan Pemindahan Tidak Sah Security Command Center dengan sumber log lain, seperti log Cloud Audit Logs, konteks Perlindungan Data Sensitif, konteks BigQuery, dan log Kesalahan konfigurasi Security Command Center.
  • CDIR SCC Enhanced Defense Evasion: Berisi aturan kontekstual yang menghubungkan temuan Security Command Center Evasion atau Defense Evasion dengan data dari sumber data Google Cloud lainnya seperti Cloud Audit Logs.
  • Malware yang Ditingkatkan CDIR SCC: Berisi aturan kontekstual yang menghubungkan temuan Malware Security Command Center dengan data, seperti kemunculan alamat IP dan domain serta skor prevalensinya, selain sumber data lainnya seperti log Cloud DNS.
  • Persistensi yang Ditingkatkan CDIR SCC: Berisi aturan kontekstual yang menghubungkan temuan Persistensi Security Command Center dengan data dari sumber seperti log Cloud DNS dan log analisis IAM.
  • Eskalasi Hak Istimewa yang Ditingkatkan CDIR SCC: Berisi aturan kontekstual yang menghubungkan temuan eskalasi Hak Istimewa Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs.
  • Akses Kredensial CDIR SCC: Berisi aturan kontekstual yang menghubungkan temuan Akses Kredensial Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs
  • CDIR SCC Enhanced Discovery: Berisi aturan kontekstual yang menghubungkan temuan eskalasi Security Command Center Discovery dengan data dari sumber seperti layanan Google Cloud dan Cloud Audit Logs.
  • CDIR SCC Brute Force: Berisi aturan kontekstual yang menghubungkan temuan eskalasi Security Command Center Brute Force dengan data seperti log DNS Cloud.
  • CDIR SCC Data Destruction: Berisi aturan kontekstual yang menghubungkan temuan eskalasi Penghancuran Data Security Command Center dengan data dari beberapa sumber data lainnya, seperti Cloud Audit Logs.
  • CDIR SCC Inhibit System Recovery: Berisi aturan kontekstual yang menghubungkan Security Command Center Menghambat temuan Pemulihan Sistem dengan data dari beberapa sumber data lain seperti Cloud Audit Logs.
  • Eksekusi SCC CDIR: Berisi aturan kontekstual yang menghubungkan temuan Eksekusi Security Command Center dengan data dari beberapa sumber data lain seperti Cloud Audit Logs.
  • Akses Awal SCC CDIR: Berisi aturan kontekstual yang menghubungkan temuan Akses Awal Security Command Center dengan data dari beberapa sumber data lain seperti Cloud Audit Logs.
  • CDIR SCC Gangguan Pertahanan: Berisi aturan kontekstual yang menghubungkan temuan Security Command Center Gangguan Pertahanan dengan data dari beberapa sumber data lain seperti Cloud Audit Logs.
  • Dampak SCC CDIR: Berisi aturan yang mendeteksi temuan Dampak dari Security Command Center dengan klasifikasi tingkat keseriusan Kritis, Tinggi, Sedang, dan Rendah.
  • CDIR SCC Cloud IDS: Berisi aturan yang mendeteksi temuan Cloud Intrusion Detection System dari Security Command Center dengan klasifikasi tingkat keparahan Kritis, Tinggi, Sedang, dan Rendah.
  • CDIR SCC Cloud Armor: Berisi aturan yang mendeteksi temuan Google Cloud Armor dari Security Command Center.
  • Modul Kustom CDIR SCC: Berisi aturan yang mendeteksi temuan modul kustom Deteksi Ancaman Peristiwa dari Security Command Center.
  • Cloud Hacktool: Aktivitas terdeteksi dari platform keamanan yang diketahui dan menyinggung, atau dari alat atau software menyinggung yang digunakan di luar sana oleh pelaku ancaman yang khususnya menargetkan resource cloud.
  • Ransom Cloud SQL: Mendeteksi aktivitas yang terkait dengan pemindahan data yang tidak sah atau tebusan data dalam database Cloud SQL.
  • Kubernetes Kubernetes Tools: Mendeteksi perilaku pengintaian dan eksploitasi dari alat Kubernetes open source.
  • Penyalahgunaan RBAC Kubernetes: Mendeteksi aktivitas Kubernetes yang terkait dengan penyalahgunaan kontrol akses berbasis peran (RBAC) yang mencoba eskalasi akses atau pemindahan lateral.
  • Kubernetes Certificate Sensitive Action: Mendeteksi tindakan Sertifikat Kubernetes dan Permintaan Penandatanganan Sertifikat (CSR) yang dapat digunakan untuk membuat persistensi atau mengeskalasikan hak istimewa.
  • Penyalahgunaan IAM: Aktivitas yang terkait dengan penyalahgunaan peran dan izin IAM untuk berpotensi melakukan eskalasi akses atau bergerak ke samping dalam project Cloud tertentu atau di seluruh organisasi Cloud.
  • Potensi Aktivitas Pemindahan yang Tidak Sah: Mendeteksi aktivitas yang terkait dengan potensi pemindahan data yang tidak sah.
  • Penyamaran Resource: Mendeteksi resource Google Cloud yang dibuat dengan nama atau karakteristik resource atau jenis resource lain. Hal ini dapat digunakan untuk menyamarkan aktivitas berbahaya yang dilakukan oleh atau di dalam resource, dengan tujuan untuk membuatnya terlihat sah.
  • Ancaman Serverless : Mendeteksi aktivitas yang terkait dengan potensi penyusupan atau penyalahgunaan resource Serverless di Google Cloud, seperti Cloud Run dan Cloud Functions.
  • Gangguan Layanan: Mendeteksi tindakan yang destruktif atau mengganggu yang, jika dilakukan dalam lingkungan produksi yang berfungsi, dapat menyebabkan pemadaman layanan yang signifikan. Perilaku yang terdeteksi bersifat umum dan kemungkinan tidak berbahaya dalam lingkungan pengujian dan pengembangan.
  • Perilaku Mencurigakan: Aktivitas yang dianggap tidak umum dan mencurigakan di sebagian besar lingkungan.
  • Perubahan Infrastruktur yang Mencurigakan: Mendeteksi modifikasi pada infrastruktur produksi yang selaras dengan taktik persistensi yang diketahui
  • Weakened Config: Aktivitas yang terkait dengan pelemahan atau penurunan kontrol keamanan. Dianggap mencurigakan, berpotensi sah tergantung pada penggunaan organisasi.
  • Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Chrome: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman orang dalam, seperti pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Chrome yang dianggap tidak wajar dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Drive: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman orang dalam, seperti pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini mencakup perilaku dari Drive yang dianggap tidak wajar dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Gmail: Mendeteksi aktivitas yang terkait dengan potensi perilaku ancaman orang dalam seperti pemindahan data yang tidak sah atau hilangnya data yang berpotensi sensitif di luar organisasi Google Workspace. Hal ini termasuk perilaku dari Gmail yang dianggap tidak wajar dibandingkan dengan dasar pengukuran 30 hari.
  • Potensi Pembobolan Akun Workspace: Mendeteksi perilaku ancaman orang dalam yang menunjukkan bahwa akun berpotensi disusupi dan dapat menyebabkan upaya eskalasi hak istimewa atau upaya pemindahan lateral dalam organisasi Google Workspace. Hal ini akan mencakup perilaku yang dianggap langka atau tidak wajar dibandingkan dengan dasar pengukuran 30 hari.
  • Tindakan Administratif Workspace yang Mencurigakan: Mendeteksi perilaku yang menunjukkan potensi penghindaran, downgrade keamanan, atau perilaku yang jarang terjadi dan tidak wajar yang tidak pernah terlihat dalam 30 hari terakhir dari pengguna dengan hak istimewa yang lebih tinggi seperti administrator.

Singkatan CDIR adalah singkatan dari Cloud Detection, Investigation, and Response.

Perangkat dan jenis log yang didukung

Bagian berikut menjelaskan data wajib yang diperlukan oleh kumpulan aturan dalam kategori Ancaman Cloud.

Untuk menyerap data dari layanan Google Cloud, lihat Menyerap log Cloud ke Chronicle. Hubungi perwakilan Chronicle jika Anda perlu mengumpulkan log tersebut menggunakan mekanisme yang berbeda.

Chronicle menyediakan parser default yang mengurai dan menormalisasi log mentah dari layanan Google Cloud untuk membuat data UDM dengan data yang diperlukan oleh kumpulan aturan ini.

Untuk mengetahui daftar semua sumber data yang didukung Chronicle, lihat Parser default yang didukung.

Semua kumpulan aturan

Untuk menggunakan kumpulan aturan apa pun, sebaiknya Anda mengumpulkan Google Cloud Cloud Audit Logs. Aturan tertentu mengharuskan pelanggan mengaktifkan logging DNS Cloud. Pastikan layanan Google Cloud dikonfigurasi untuk merekam data ke log berikut:

Kumpulan aturan Tebusan Cloud SQL

Untuk menggunakan kumpulan aturan Ransom Cloud SQL, sebaiknya Anda mengumpulkan data Google Cloud berikut:

Kumpulan aturan yang Ditingkatkan CDIR SCC

Semua set aturan yang dimulai dengan nama CDIR SCC Enhanced menggunakan temuan Security Command Center Premium yang dikontekstualisasikan dengan beberapa sumber log Google Cloud lainnya, termasuk:

  • Cloud Audit Logs
  • Log Cloud DNS
  • Analisis Identity and Access Management (IAM)
  • Konteks Perlindungan Data Sensitif
  • Konteks BigQuery
  • Konteks Compute Engine

Untuk menggunakan kumpulan aturan CDIR SCC Enhanced, sebaiknya Anda mengumpulkan data Google Cloud berikut:

  • Data log yang tercantum di bagian Semua set aturan.

  • Data log berikut, yang dicantumkan menurut nama produk dan label penyerapan Chronicle:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Perlindungan Data Sensitif (GCP_DLP_CONTEXT)
    • Log Audit Cloud (GCP_CLOUDAUDIT)
    • Aktivitas Google Workspace (WORKSPACE_ACTIVITY)
    • Kueri Cloud DNS (GCP_DNS)

  • Class penemuan Security Command Center berikut, yang dicantumkan berdasarkan ID findingClass dan label penyerapan Chronicle:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Kumpulan aturan CDIR SCC Enhanced juga bergantung pada data dari layanan Google Cloud. Untuk mengirim data yang diperlukan ke Chronicle, pastikan Anda menyelesaikan hal-hal berikut:

Kumpulan aturan berikut membuat deteksi saat temuan dari Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service, dan modul kustom untuk Deteksi Ancaman Peristiwa diidentifikasi:

  • Cloud IDS SCC CDIR
  • Cloud Armor SCC CDIR
  • Dampak SCC CDIR
  • Persistensi yang Ditingkatkan CDIR SCC
  • Penghindaran Pertahanan Ditingkatkan CDIR SCC
  • Modul Kustom CDIR SCC

Kumpulan aturan Alat Mencurigakan Kubernetes

Untuk menggunakan kumpulan aturan Kubernetes Kubernetes Tools, sebaiknya Anda mengumpulkan data yang tercantum di bagian Semua kumpulan aturan. Pastikan layanan Google Cloud dikonfigurasi untuk merekam data ke Log Node Google Kubernetes Engine (GKE)

Kumpulan aturan Penyalahgunaan RBAC Kubernetes

Untuk menggunakan kumpulan aturan Penyalahgunaan RBAC Kubernetes, sebaiknya Anda mengumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes

Untuk menggunakan kumpulan aturan Tindakan Sensitif Sertifikat Kubernetes, sebaiknya kumpulkan Cloud Audit Logs, yang tercantum di bagian Semua kumpulan aturan.

Kumpulan aturan terkait Google Workspace

Kumpulan aturan berikut mendeteksi pola di data Google Workspace:

  • Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Chrome
  • Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Drive
  • Potensi Pemindahan Data Orang Dalam yang Tidak Sah dari Gmail
  • Potensi Pembobolan Akun Workspace
  • Tindakan Administratif Workspace yang Mencurigakan

Kumpulan aturan ini memerlukan jenis log berikut, yang dicantumkan menurut nama produk dan label penyerapan Chronicle:

  • Aktivitas Workspace (WORKSPACE_ACTIVITY)
  • Pemberitahuan Workspace (WORKSPACE_ALERTS)
  • Perangkat ChromeOS Workspace (WORKSPACE_CHROMEOS)
  • Perangkat Seluler Workspace (WORKSPACE_MOBILE)
  • Pengguna Workspace (WORKSPACE_USERS)
  • Pengelolaan Cloud Browser Google Chrome (CHROME_MANAGEMENT)
  • Log Gmail (GMAIL_LOGS)

Untuk menyerap data yang diperlukan, lakukan hal berikut:

Kumpulan aturan Ancaman Serverless

Log Cloud Run mencakup Log permintaan dan log Container yang diserap sebagai jenis log GCP_RUN di Chronicle. Log GCP_RUN dapat diserap menggunakan penyerapan langsung atau menggunakan Feed dan Cloud Storage. Untuk mengetahui filter log tertentu dan detail penyerapan selengkapnya, lihat Mengekspor Log Google Cloud ke Chronicle. Filter ekspor berikut mengekspor log Google Cloud Run (GCP_RUN), selain log default melalui mekanisme penyerapan langsung serta melalui Cloud Storage dan Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Deteksi pilihan untuk kumpulan aturan AWS

Kumpulan aturan AWS dalam kategori ini membantu mengidentifikasi ancaman di lingkungan AWS menggunakan data peristiwa dan konteks, serta menyertakan kumpulan aturan berikut:

  • AWS - Compute: Mendeteksi aktivitas anomali terkait resource komputasi AWS seperti EC2 dan Lambda.
  • AWS - Data: Mendeteksi aktivitas AWS yang terkait dengan resource data seperti snapshot RDS atau bucket S3 yang tersedia untuk publik.
  • AWS - GuardDuty: Pemberitahuan AWS GuardDuty kontekstual untuk Perilaku, Akses Kredensial, Cryptomining, Discovery, Evasion, Eksekusi, Pemindahan Tidak Sah, Dampak, Akses Awal, Malware, Uji Penetrasi, Persistensi, Kebijakan, Eskalasi Hak Istimewa, dan Akses Tidak Sah.
  • AWS - Hacktools: Mendeteksi penggunaan Hacktools di lingkungan AWS seperti pemindai, toolkit, dan framework.
  • AWS - Identitas: Deteksi untuk aktivitas AWS yang terkait dengan IAM dan aktivitas autentikasi seperti login yang tidak biasa dari beberapa lokasi geografis, pembuatan peran yang terlalu permisif, atau aktivitas IAM dari alat yang mencurigakan.
  • AWS - Logging dan Pemantauan: Mendeteksi aktivitas AWS yang terkait dengan penonaktifan layanan logging dan pemantauan, seperti CloudTrail, CloudWatch, dan GuardDuty.
  • AWS - Jaringan: Mendeteksi perubahan yang tidak aman pada setelan jaringan AWS seperti grup keamanan dan firewall.
  • AWS - Organisasi: Mendeteksi aktivitas AWS yang terkait dengan organisasi Anda, seperti penambahan atau penghapusan akun, dan peristiwa tidak terduga yang terkait dengan penggunaan region.
  • AWS - Secrets: Mendeteksi aktivitas AWS yang terkait dengan secret, token, dan sandi, seperti penghapusan secret KMS atau secret Secret Manager.

Perangkat dan jenis log yang didukung

Kumpulan aturan ini telah diuji dan didukung dengan sumber data Chronicle berikut, yang dicantumkan menurut nama produk dan label penyerapan.

Lihat Mengonfigurasi penyerapan data AWS untuk mendapatkan informasi tentang cara menyiapkan penyerapan data AWS.

Untuk mengetahui daftar semua sumber data yang didukung, lihat Parser default yang didukung.

Bagian berikut menjelaskan data yang diperlukan oleh set aturan yang mengidentifikasi pola dalam data.

Anda dapat menyerap data AWS menggunakan bucket Amazon Simple Storage Service (Amazon S3) sebagai jenis sumber atau, secara opsional, menggunakan Amazon S3 dengan Amazon Simple Queue Service (Amazon SQS). Pada level tinggi, Anda perlu melakukan hal berikut:

  • Konfigurasikan Amazon S3 atau Amazon S3 dengan Amazon SQS untuk mengumpulkan data log.
  • Konfigurasi Chronicle Feed untuk menyerap data dari Amazon S3 atau Amazon SQS

Lihat Menyerap log AWS ke Chronicle untuk mengetahui langkah-langkah mendetail yang diperlukan guna mengonfigurasi layanan AWS dan mengonfigurasi Feed Chronicle untuk menyerap data AWS.

Anda dapat menggunakan aturan pengujian AWS Managed Detection Testing untuk memastikan bahwa data AWS diserap ke Chronicle SIEM. Aturan pengujian ini membantu memverifikasi apakah data log AWS diserap seperti yang diharapkan. Setelah menyiapkan penyerapan data AWS, Anda melakukan tindakan di AWS yang akan memicu aturan pengujian.

Lihat artikel Memverifikasi penyerapan data AWS untuk kategori Ancaman Cloud untuk mengetahui informasi tentang cara memverifikasi penyerapan data AWS menggunakan aturan pengujian Pengujian Deteksi yang Dikelola AWS.

Menyesuaikan pemberitahuan yang ditampilkan oleh kumpulan aturan

Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh suatu aturan atau kumpulan aturan menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi tentang cara melakukannya.

Langkah selanjutnya