Was ist Event Threat Detection?
Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe von Security Command Center, der Ihre Organisation oder Projekte kontinuierlich überwacht und Bedrohungen in Ihren Systemen nahezu in Echtzeit identifiziert. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.
Funktionsweise von Event Threat Detection
Event Threat Detection überwacht den Cloud Logging-Stream für Ihre Organisation oder Ihre Projekte. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, verarbeitet Event Threat Detection Logs für Ihre Projekte, während sie erstellt werden, und Event Threat Detection kann Google Workspace-Logs überwachen. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.
Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.
Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis in Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Über Cloud Logging und Google Workspace-Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Functions verarbeiten.
Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können Sie zusätzlich Google Security Operations verwenden, um einige Ergebnisse zu untersuchen. Google SecOps ist ein Google Cloud-Dienst, mit dem Sie Bedrohungen untersuchen und durch zugehörige Entitäten in einem einheitlichen Zeitplan pivotieren können. Eine Anleitung zum Senden von Ergebnissen an Google SecOps finden Sie unter Ergebnisse in Google SecOps untersuchen.
Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Event Threat Detection-Regeln
Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.
Derzeit umfasst Event Threat Detection folgende Standardregeln:
Anzeigename | API-Name | Logquelltypen | Beschreibung |
---|---|---|---|
Aktiver Scan: Log4j-Sicherheitslücken für RCE | Nicht verfügbar | Cloud DNS-Logs | Erkennt aktive Log4j-Sicherheitslücken. Dazu werden DNS-Abfragen für nicht verschleierte Domains ermittelt, die von unterstützten Scannern für Log4j-Sicherheitslücken initiiert wurden. |
Systemwiederherstellung blockieren: Google Cloud-Host für Sicherung und Notfallwiederherstellung gelöscht | BACKUP_HOSTS_DELETE_HOST |
Cloud-Audit-Logs: Zugriffslogs für Dienstdaten für Sicherung und Notfallwiederherstellung |
Ein Host wurde aus „Sicherung und Notfallwiederherstellung“ gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt. |
Datenvernichtung: Image in Google Cloud-Sicherung und Notfallwiederherstellung läuft ab | BACKUP_EXPIRE_IMAGE |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Ein Nutzer hat das Löschen eines Reservebilds aus der Sicherung und der Notfallwiederherstellung angefordert. Das Löschen eines Reservebilds verhindert künftige Sicherungen nicht. |
Systemwiederherstellung behindern: Google Cloud-Sicherung und -Notfallwiederherstellung, Entfernungsplan | BACKUP_REMOVE_PLAN |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus der Sicherung und der Notfallwiederherstellung gelöscht. Das Löschen eines Sicherungsplans kann zukünftige Sicherungen verhindern. |
Vernichtung von Daten: Alle Images in Google Cloud-Sicherung und ‐DR laufen ab | BACKUP_EXPIRE_IMAGES_ALL |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Ein Nutzer hat das Löschen aller Reservebilder für eine geschützte Anwendung aus der Sicherung und Notfallwiederherstellung angefordert. Das Löschen von Reservebildern verhindert künftige Sicherungen nicht. |
Systemwiederherstellung blockieren: Vorlage zum Löschen von Google Cloud-Sicherung und Notfallwiederherstellung | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde gelöscht. Die Möglichkeit, in Zukunft Sicherungen einzurichten, kann beeinträchtigt sein. |
Systemwiederherstellung blockieren: Google Cloud-Richtlinie für Sicherung und Notfallwiederherstellung | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Eine Richtlinie für Sicherung und Notfallwiederherstellung, die definiert, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde gelöscht. Künftige Sicherungen, die die Richtlinie verwenden, schlagen möglicherweise fehl. |
Systemwiederherstellung blockieren: Google Cloud-Sicherung und Notfallwiederherstellung, Profil löschen | BACKUP_PROFILES_DELETE_PROFILE |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Ein Profil für Sicherung und Notfallwiederherstellung, das definiert, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde gelöscht. Künftige Sicherungen, die das Profil verwenden, schlagen möglicherweise fehl. |
Datenvernichtung: Appliance für Sicherung und Notfallwiederherstellung in Google Cloud entfernen | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Eine Sicherungs-Appliance wurde aus der Sicherung und der Notfallwiederherstellung gelöscht. Anwendungen, die mit der gelöschten Sicherungs-Appliance verknüpft sind, sind möglicherweise nicht geschützt. |
Systemwiederherstellung blockieren: Google Cloud-Sicherung und Notfallwiederherstellung, Speicherpool löschen | BACKUP_STORAGE_POOLS_DELETE |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Ein Speicherpool, der einen Cloud Storage-Bucket mit Sicherung und Notfallwiederherstellung verknüpft, wurde aus Sicherung und Notfallwiederherstellung entfernt. Zukünftige Sicherungen an diesem Speicherziel schlagen fehl. |
Auswirkungen: Verkürzter Ablauf von Sicherungen in Google Cloud für Back-ups und Notfallwiederherstellung | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Das Ablaufdatum für eine durch Sicherung und Notfallwiederherstellung geschützte Sicherung wurde verkürzt. |
Auswirkungen: Reduzierung der Sicherungshäufigkeit für Google Cloud-Sicherungen und Notfallwiederherstellung | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud-Audit-Logs: Datenzugriffslogs für Sicherung und Notfallwiederherstellung |
Der Zeitplan für Sicherungen und Notfallwiederherstellungen wurde geändert, um die Häufigkeit von Sicherungen zu verringern. |
Brute-Force-SSH | BRUTE_FORCE_SSH |
authlog | Erkennung erfolgreicher SSH-Brute Force auf einem Host. |
Cloud IDS: THREAT_IDENTIFIER Vorschau | CLOUD_IDS_THREAT_ACTIVITY |
Cloud IDS-Logs | Ereignisse, die von Cloud IDS erkannt werden.
Cloud IDS erkennt Layer-7-Angriffe durch die Analyse gespiegelter Pakete und sendet, wenn ein Ereignis erkannt wird, ein Ergebnis an Security Command Center. Kategorienamen beginnen mit „Cloud IDS“, gefolgt von der Cloud IDS-Bedrohungs-ID. Weitere Informationen zur Cloud IDS-Erkennung finden Sie unter Informationen zum Cloud IDS-Logging.
|
Zugriff auf Anmeldedaten: Externes Mitglied zur privilegierten Gruppe hinzugefügt |
EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Erkennt Ereignisse, bei denen ein externes Mitglied zu einer privilegierten Google-Gruppe hinzugefügt wird (eine Gruppe, der vertrauliche Rollen oder Berechtigungen gewährt werden). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Zugriff auf Anmeldedaten: Privilegierte Gruppe öffentlich zugänglich gemacht |
PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Admin-Audit Berechtigungen: DATA_READ
|
Erkennt Ereignisse, bei denen eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) so geändert wird, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt |
SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER
|
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Erkennt Ereignisse, bei denen einer Google-Gruppe mit externen Mitgliedern sensible Rollen gewährt werden. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Defense Evasion: Break-Glass-Arbeitslastbereitstellung erstelltVorschau | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Arbeitslastbereitstellungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben. |
Verteidigungsausgang: Break-Glass-Arbeitslast-Deployment aktualisiertVorschau | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Arbeitslastaktualisierungen, die mithilfe des Break-Glass-Flags erfolgen, um Einstellungen für die Binärautorisierung zu überschreiben. |
Defense Evasion: VPC Service Control modifizieren | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud-Audit-Logs Audit-Logs für VPC Service Controls | Erkennt eine Änderung an einem vorhandenen VPC Service Controls-Perimeter, der zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud-Audit-Logs: GKE-Datenzugriffslogs |
Ein potentiell böswilliger Akteur hat mithilfe des Befehls
|
Erkennung: Dienstkonto-Prüfung | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud-Audit-Logs: Audit-Logs zum IAM-Datenzugriff Berechtigungen: DATA_READ
|
Erkennung von IAM-Dienstkonto-Anmeldedaten, die zum Untersuchen von Rollen und Berechtigungen verwendet werden, die diesem Dienstkonto zugeordnet sind. Sensible Rollen Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
Umgehung: Zugriff über Anonymisierungs-Proxy | ANOMALOUS_ACCESS |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennung von Änderungen am Google Cloud-Dienst, die von anonymen Proxy-IP-Adressen wie Tor-IP-Adressen stammen. |
Exfiltration: BigQuery-Daten-Exfiltration | DATA_EXFILTRATION_BIG_QUERY |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt folgende Szenarien:
|
Exfiltration: BigQuery-Datenextraktion | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt folgende Szenarien:
Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. |
Exfiltration: BigQuery-Daten in Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt Folgendes:
|
Exfiltration: Cloud SQL-Daten-Exfiltration |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS |
Cloud-Audit-Logs:
MySQL-Datenzugriffslogs PostgreSQL-Datenzugriffslogs SQL Server-Datenzugriffslogs |
Erkennt folgende Szenarien:
Bei Aktivierungen der Premium-Stufe von Security Command Center auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standardstufe in der übergeordneten Organisation aktiviert ist. |
Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud-Audit-Logs:
MySQL-Administratoraktivitätslogs PostgreSQL-Administratoraktivitätslogs SQL Server-Administratoraktivitätslogs |
Erkennt Ereignisse, bei denen die Sicherung einer Cloud SQL-Instanz in einer Instanz außerhalb der Organisation wiederhergestellt wird. |
Exfiltration: Cloud SQL Überprivilegierte Berechtigung | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud-Audit-Logs:
PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Verfahren oder Funktionen in einem Schema gewährt wurden. |
Erstzugriff: Datenbank-Superuser schreibt in Nutzertabellen | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud-Audit-Logs:
Cloud SQL for PostgreSQL-Datenzugriffslogs Cloud SQL for MySQL-Datenzugriffslogs Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen ein Cloud SQL-Superuser ( |
Ausweitung der Zugriffsrechte: Überprivilegierte AlloyDB-Erteilung | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud-Audit-Logs:
Datenzugriffslogs von AlloyDB for PostgreSQL Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen einem AlloyDB for PostgreSQL-Nutzer oder einer Rolle alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt wurden. |
Ausweitung der Zugriffsrechte: Der AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud-Audit-Logs:
Datenzugriffslogs von AlloyDB for PostgreSQL Hinweis: Sie müssen die pgAudit-Erweiterung aktivieren, um diese Regel zu verwenden. |
Erkennt Ereignisse, bei denen ein AlloyDB for PostgreSQL-Superuser ( |
Erstzugriff: Aktion für inaktives Dienstkonto | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Ereignisse, bei denen ein inaktives vom Nutzer verwaltetes Dienstkonto eine Aktion ausgelöst hat. Ein Dienstkonto gilt in diesem Zusammenhang als inaktiv, wenn es länger als 180 Tage inaktiv war. |
Ausweitung der Zugriffsrechte: Sensible Rolle für inaktives Dienstkonto gewährt | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt Ereignisse, bei denen einem inaktiven vom Nutzer verwalteten Dienstkonto eine oder mehrere sensible IAM-Rollen gewährt wurden. Ein Dienstkonto gilt in diesem Zusammenhang als inaktiv, wenn es länger als 180 Tage inaktiv war. Sensible Rollen Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
Persistenz: Rolle „Identitätsdiebstahl“ für inaktives Dienstkonto gewährt | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt Ereignisse, bei denen einem Hauptkonto Berechtigungen zur Übernahme der Identität eines inaktiven, vom Nutzer verwalteten Dienstkontos gewährt wurden. Ein Dienstkonto gilt in diesem Zusammenhang als inaktiv, wenn es länger als 180 Tage inaktiv war. |
Erstzugriff: Inaktiver Dienstkontoschlüssel erstellt | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Ereignisse, bei denen ein Schlüssel für ein inaktives nutzerverwaltetes Dienstkonto erstellt wird. Ein Dienstkonto gilt in diesem Zusammenhang als inaktiv, wenn es länger als 180 Tage inaktiv war. |
Erstzugriff: Gehackter Dienstkontoschlüssel verwendet | LEAKED_SA_KEY_USED |
Cloud-Audit-Logs:
Administratoraktivitätslogs Datenzugriffslogs |
Erkennt Ereignisse, bei denen ein gehackter Dienstkontoschlüssel zur Authentifizierung der Aktion verwendet wird. Ein gehackter Dienstkontoschlüssel wurde in diesem Zusammenhang im öffentlichen Internet veröffentlicht. |
Erstzugriff: Aktionen aufgrund von unzulässigen Berechtigungen | EXCESSIVE_FAILED_ATTEMPT |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt Ereignisse, bei denen ein Hauptkonto wiederholt den Fehler Berechtigung verweigert auslöst, indem versucht wird, Änderungen über mehrere Methoden und Dienste hinweg zu ändern. |
Verteidigung beeinträchtigen: Starke Authentifizierung deaktiviert |
ENFORCE_STRONG_AUTHENTICATION |
Google Workspace: Administratorprüfung |
Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Verteidigung beeinträchtigen: Bestätigung in zwei Schritten deaktiviert |
2SV_DISABLE |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Erstzugriff: Konto deaktiviert – Gehackt |
ACCOUNT_DISABLED_HIJACKED |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Erstzugriff: Deaktiviert – Passwortleck |
ACCOUNT_DISABLED_PASSWORD_LEAK |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Das Konto eines Nutzers ist deaktiviert, weil ein Passwortleck erkannt wurde. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Erstzugriff: Von staatlichen Stellen unterstützter Angriff |
GOV_ATTACK_WARNING |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Von einer Regierung unterstützte Angreifer haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Anfangszugriff: Log4j-Kompromittierungsversuch | Nicht verfügbar | Cloud Load Balancing-Logs: Cloud-HTTP-Load-Balancer Hinweis: Sie müssen das externe Logging für den Application Load Balancer aktivieren, um diese Regel zu verwenden. |
Erkennt JNDI-lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen.
Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung. Diese Regel ist immer aktiviert. |
Erstzugriff: Verdächtige Anmeldung blockiert |
SUSPICIOUS_LOGIN |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Log4j-Malware: Ungültige Domain | LOG4J_BAD_DOMAIN |
Cloud DNS-Logs | Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain, die bei Log4j-Angriffen verwendet wird. |
Log4j-Malware: Ungültige IP-Adresse | LOG4J_BAD_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Erkennung von Log4j-Exploit-Traffic anhand einer Verbindung zu einer bekannten IP-Adresse, die bei Log4j-Angriffen verwendet wird. |
Malware: Schädliche Domain | MALWARE_BAD_DOMAIN |
Cloud DNS-Logs | Erkennung von Malware auf der Grundlage einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain. |
Malware: Schädliche IP-Adresse | MALWARE_BAD_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Malware-Erkennung anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse. |
Malware: Ungültige Domain für Kryptomining | CRYPTOMINING_POOL_DOMAIN |
Cloud DNS-Logs | Kryptomining-Erkennung anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain. |
Malware: Schädliche Kryptomining-IP-Adresse | CRYPTOMINING_POOL_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Kryptomining-Erkennung anhand einer Verbindung zu einer bekannten Mining-IP-Adresse. |
Ausgehender DoS | OUTGOING_DOS |
VPC-Flusslogs | Erkennung von ausgehendem Denial of Service-Traffic. |
Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt | GCE_ADMIN_ADD_SSH_KEY |
Cloud-Audit-Logs: Compute Engine-Audit-Logs |
Erkennung einer Änderung am SSH-Schlüsselwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche). |
Persistenz: GCE-Administrator hat Startskript hinzugefügt | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud-Audit-Logs: Compute Engine-Audit-Logs |
Erkennung einer Änderung am Startskriptwert der Compute Engine-Instanzmetadaten für eine vorhandene Instanz (älter als 1 Woche). |
Persistenz: Ungewöhnliche IAM-Gewährung | IAM_ANOMALOUS_GRANT |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Dieses Ergebnis enthält Unterregeln mit genaueren Informationen zu jeder Instanz dieses Ergebnisses. In der folgenden Liste sind alle möglichen Unterregeln aufgeführt:
|
VorschauPersistenz: Dem nicht verwalteten Konto wurde vertrauliche Rolle zugewiesen |
UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennung einer vertraulichen Rolle, die einem nicht verwalteten Konto gewährt wird. |
Persistenz: Neue API-Methode |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennung anomaler Nutzung von Google Cloud-Diensten durch IAM-Dienstkonten. |
Persistenz: Neue Region |
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennung von IAM-Nutzern und -Dienstkonten, die von ungewöhnlichen Standorten aus auf Google Cloud zugreifen, basierend auf dem Standort der anfragenden IP-Adressen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistenz: Neuer User-Agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennung von IAM-Dienstkonten, die über anomale oder verdächtige User-Agents auf Google Cloud zugreifen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistenz: Umschalter für SSO-Aktivierung |
TOGGLE_SSO_ENABLED |
Google Workspace: Administratorprüfung |
Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistenz: SSO-Einstellungen geändert |
CHANGE_SSO_SETTINGS |
Google Workspace: Administratorprüfung |
Die SSO-Einstellungen für das Administratorkonto wurden geändert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Ausweitung der Berechtigungen: Anomale Identitätsübertragung für ein Dienstkonto für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt, wenn ein potenziell ungewöhnliches Dienstkonto mit Identitätsdiebstahl für eine Verwaltungsaktivität verwendet wird. |
Ausweitung der Berechtigungen: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt, wenn eine anomale delegierte Anfrage mit mehreren Schritten für eine Verwaltungsaktivität gefunden wird. |
Ausweitung der Zugriffsrechte: Anomale mehrstufige Dienstkontodelegierung für den Datenzugriff | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud-Audit-Logs: Datenzugriffslogs |
Erkennt, wenn eine anomale mehrstufige delegierte Anfrage für eine Datenzugriffsaktivität gefunden wird. |
Ausweitung der Berechtigungen: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Erkennt, wenn ein potenziell ungewöhnlicher Anrufer/Identitätsdiebstahl in einer Delegierungskette für eine Verwaltungsaktivität verwendet wird. |
Ausweitung der Zugriffsrechte: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud-Audit-Logs: Datenzugriffslogs |
Erkennt, wenn ein potenziell ungewöhnlicher Anrufer/Imitator in einer Delegierungskette für eine Datenzugriffsaktivität verwendet wird. |
Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Zum Eskalieren der Berechtigung hat ein potenziell böswilliger Akteur versucht, ein Objekt der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) der sensiblen cluster-admin -Rolle mit einer PUT - oder PATCH -Anfrage zu ändern.ClusterRole RoleBinding ClusterRoleBinding
|
Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Nutzer hat eine Anfrage für die Signierung des Zertifikats des Kubernetes-Masters erstellt, wodurch der Zugriff auf cluster-admin gewährt wird. |
Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding - oder ClusterRoleBinding -Objekt für die Rolle cluster-admin zu erstellen.
|
Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud-Audit-Logs: GKE-Datenzugriffslogs |
Ein potentiell böswilliger Nutzer hat mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet. |
Rechteausweitung: Start eines privilegierten Kubernetes-Containers | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält. Bei einem privilegierten Container ist das Feld |
Persistenz: Dienstkontoschlüssel erstellt | SERVICE_ACCOUNT_KEY_CREATION |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt das Erstellen eines Dienstkontoschlüssels. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko nicht autorisierter Zugriffe auf Google Cloud-Ressourcen erhöhen. |
Ausweitung der Zugriffsrechte: Globales Skript zur Einstellung hinzugefügt | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn einem Projekt ein globales Beendigungsskript hinzugefügt wird. |
Persistenz: Globales Startskript hinzugefügt | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn einem Projekt ein globales Startskript hinzugefügt wird. |
Umgehung von Abwehrmaßnahmen: Rolle „Ersteller von Dienstkonto-Tokens“ auf Organisationsebene hinzugefügt | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Organisationsebene gewährt wird. |
Umgehung von Abwehrmaßnahmen: Rolle „Ersteller von Dienstkonto-Tokens“ auf Projektebene hinzugefügt | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ auf Projektebene gewährt wird. |
Ausbreitung im Netzwerk: Ausführung von Betriebssystem-Patches vom Dienstkonto | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn ein Dienstkonto die Compute Engine-Patchfunktion verwendet, um das Betriebssystem einer derzeit ausgeführten Compute Engine-Instanz zu aktualisieren. |
Ausbreitung im Netzwerk: Geändertes Bootlaufwerk wurde an Instanz Vorschau angehängt | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud-Audit-Logs: Audit-Logs der Compute Engine |
Erkennt, wenn ein Bootlaufwerk von einer Compute Engine-Instanz getrennt und an eine andere angehängt wird. Dies kann auf einen böswilligen Versuch hindeuten, das System mit einem geänderten Bootlaufwerk zu manipulieren. |
Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit-Logs: GKE Data Access-Logs |
Erkennt, wenn ein Dienstkonto im aktuellen Kubernetes-Namespace auf Secrets oder Dienstkonto-Token zugreift. |
Ressourcenentwicklung: Offensive Security Distro Activity | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt erfolgreiche Google Cloud-Ressourcenmanipulationen aus bekannten Penetrationstests oder anstößigen Sicherheitsverteilungen. |
Ausweitung der Zugriffsrechte: Neues Dienstkonto ist Inhaber oder Bearbeiter | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn ein neues Dienstkonto mit der Rolle „Bearbeiter“ oder „Inhaber“ für ein Projekt erstellt wird. |
Discovery: Verwendung des Tools zum Sammeln von Informationen | INFORMATION_GATHERING_TOOL_USED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt die Verwendung von ScoutSuite, einem Prüftool für die Cloud-Sicherheit, das bekanntermaßen von Angreifern verwendet wird. |
Ausweitung der Zugriffsrechte: Generieren eines verdächtigen Tokens | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn die Berechtigung iam.serviceAccounts.implicitDelegation missbraucht wird, um Zugriffstokens aus einem Dienstkonto mit umfassenderen Berechtigungen zu generieren. |
Ausweitung der Zugriffsrechte: Generieren eines verdächtigen Tokens | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn ein Dienstkonto mit der Methode serviceAccounts.signJwt ein Zugriffstoken für ein anderes Dienstkonto generiert. |
Ausweitung der Zugriffsrechte: Generieren eines verdächtigen Tokens | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt die projektübergreifende Verwendung der IAM-Berechtigung iam.serviceAccounts.getOpenIdToken .
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Ausweitung der Zugriffsrechte: Generieren eines verdächtigen Tokens | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt die projektübergreifende Verwendung der IAM-Berechtigung iam.serviceAccounts.getAccessToken .
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Ausweitung der Zugriffsrechte: Verdächtige projektübergreifende Berechtigungen | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt die projektübergreifende Verwendung der IAM-Berechtigung datafusion.instances.create .
Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Befehl und Kontrolle: DNS-Tunneling | DNS_TUNNELING_IODINE_HANDSHAKE |
Cloud DNS-Logs | Erkennt den Handshake des DNS-Tunneltools Iodine. |
Umgehung von Abwehrmaßnahmen: Versuch einer VPC-Route-Masquerade | VPC_ROUTE_MASQUERADE |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt das manuelle Erstellen von VPC-Routen, die sich als Google Cloud-Standardrouten ausgeben und ausgehenden Traffic an externe IP-Adressen zulassen. |
Auswirkungen: Abrechnung deaktiviert | BILLING_DISABLED_SINGLE_PROJECT |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn die Abrechnung für ein Projekt deaktiviert wurde. |
Auswirkungen: Abrechnung deaktiviert | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn die Abrechnung innerhalb kurzer Zeit für mehrere Projekte in einer Organisation deaktiviert wurde. |
Auswirkungen: VPC-Firewall-Block mit hoher Priorität | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn eine VPC-Firewallregel, die den gesamten Traffic blockiert, mit Priorität 0 hinzugefügt wird. |
Auswirkungen: Löschen einer Massenregel der VPC-Firewall | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt das Massenlöschung von VPC-Firewallregeln durch Konten, die keine Dienstkonten sind. |
Auswirkungen: Service API deaktiviert | SERVICE_API_DISABLED |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn eine Google Cloud Service API in einer Produktionsumgebung deaktiviert ist. |
Auswirkung: Autoscaling der verwalteten Instanzgruppe auf das Maximum gesetzt | MIG_AUTOSCALING_SET_TO_MAX |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn eine verwaltete Instanzgruppe für ein maximales Autoscaling konfiguriert ist. |
Erkennung: Nicht autorisierter Dienstkonto-API-Aufruf | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud-Audit-Logs: Audit-Logs zur IAM-Administratoraktivität |
Erkennt, wenn ein Dienstkonto einen nicht autorisierten projektübergreifenden API-Aufruf durchführt. |
Umgehung von Abwehrmaßnahmen: Anonymen Sitzungen gewährter Clusteradministratorzugriff | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit-Logs:
GKE Admin Activity-Logs |
Erkennt das Erstellen eines ClusterRoleBinding -Objekts für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Dabei wird das Verhalten root-cluster-admin-binding anonymen Nutzern hinzugefügt.
|
Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurdeVorschau | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit-Logs:
GKE Admin Activity-Logs |
Erkennt Ereignisse der Ressourcenerstellung von praktisch anonymen Internetnutzern. |
Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde Vorschau | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit-Logs:
GKE Admin Activity-Logs |
Erkennt Ereignisse zur Ressourcenmanipulation von effektiv anonymen Internetnutzern. |
Benutzerdefinierte Module für Event Threat Detection
Zusätzlich zu den integrierten Erkennungsregeln bietet Event Threat Detection Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.
Wenn Sie Erkennungsregeln erstellen möchten, für die keine benutzerdefinierten Modulvorlagen verfügbar sind, können Sie Ihre Logdaten nach BigQuery exportieren und dann eindeutige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.
Unsichere Änderungen an Google-Gruppen
In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Das Erkennen von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Google Cloud-Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.
Obwohl Google-Gruppen eine bequeme Möglichkeit sind, die Zugriffssteuerung in großem Umfang zu verwalten, kann das ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.
In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.
Wenn Sie Ihre Google Workspace-Logs für Google Cloud freigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Protokolle auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Protokolle nur scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Logs nicht scannen, wenn Sie Security Command Center auf Projektebene aktivieren.
Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:
- Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
- Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
- Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann
Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.
Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.
Vertrauliche IAM-Rollen und -Berechtigungen
In diesem Abschnitt wird erläutert, wie Event Threat Detection sensible IAM-Rollen definiert. Erkennungen wie IAM Anomalous Grant und Änderungen unsicherer Google-Gruppen führen nur dann zu Ergebnissen, wenn die Änderungen Rollen mit hoher oder mittlerer Vertraulichkeit umfassen. Die Vertraulichkeit der Rollen wirkt sich auf den Schweregrad der Ergebnisse aus.
- Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
- Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud-Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
- Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
- Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.
Das Gewähren dieser vertraulichen Rollen gilt als gefährlich, wenn der Empfänger ein externes Mitglied oder eine abnormale Identität ist, z. B. ein Hauptkonto, das lange Zeit inaktiv war. Wenn Sie externen Mitgliedern vertrauliche Rollen zuweisen, stellt dies eine potenzielle Bedrohung dar, da diese zur Manipulation von Konten und Daten-Exfiltration missbraucht werden können.
Zu den Kategorien, für die diese sensiblen Rollen verwendet werden, gehören:
- Persistenz: Anomale IAM-Erteilung
- Untergeordnete Regel:
external_service_account_added_to_policy
- Untergeordnete Regel:
external_member_added_to_policy
- Untergeordnete Regel:
- Zugriff auf Anmeldedaten: Sensible Rolle der Hybridgruppe gewährt
- Ausweitung der Zugriffsrechte: Sensible Rolle für inaktives Dienstkonto gewährt
Zu den Kategorien, für die ein Teil der sensiblen Rollen verwendet wird, gehören:
- Persistenz: Anomale IAM-Erteilung
- Untergeordnete Regel:
service_account_granted_sensitive_role_to_member
- Untergeordnete Regel:
Die untergeordnete Regel service_account_granted_sensitive_role_to_member
zielt im Allgemeinen sowohl auf externe als auch interne Mitglieder ab und verwendet daher nur einen Teil der sensiblen Rollen, wie unter Regeln für die Event Threat Detection erläutert.
Kategorie | Rolle | Beschreibung |
---|---|---|
Einfache Rollen:enthalten Tausende von Berechtigungen für alle Google Cloud-Dienste. | roles/owner |
Einfache Rollen |
roles/editor |
||
Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen | roles/cloudkms.* |
Alle Cloud Key Management Service-Rollen |
roles/cloudsecurityscanner.* |
Alle Web Security Scanner-Rollen | |
roles/dlp.* |
Alle Rollen für den Schutz sensibler Daten | |
roles/iam.* |
Alle IAM-Rollen | |
roles/secretmanager.* |
Alle Secret Manager-Rollen | |
roles/securitycenter.* |
Alle Security Command Center-Rollen | |
Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation | roles/errorreporting.* |
Alle Error Reporting-Rollen |
roles/logging.* |
Alle Cloud Logging-Rollen | |
roles/stackdriver.* |
Alle Cloud Monitoring-Rollen | |
Rollen mit personenbezogenen Daten:steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen | roles/billing.* |
Alle Cloud Billing-Rollen |
roles/healthcare.* |
Alle Cloud Healthcare API-Rollen | |
roles/essentialcontacts.* |
Alle "Wichtige Kontakte"-Rollen | |
Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation | roles/dns.* |
Alle Cloud DNS-Rollen |
roles/domains.* |
Alle Cloud Domains-Rollen | |
roles/networkconnectivity.* |
Alle Network Connectivity Center-Rollen | |
roles/networkmanagement.* |
Alle Network Connectivity Center-Rollen | |
roles/privateca.* |
Alle Certificate Authority Service-Rollen | |
Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud | roles/cloudasset.* |
Alle Cloud Asset Inventory-Rollen |
roles/servicedirectory.* |
Alle Service Directory-Rollen | |
roles/servicemanagement.* |
Alle Service Management-Rollen | |
roles/servicenetworking.* |
Alle Service Networking-Rollen | |
roles/serviceusage.* |
Alle Service Usage-Rollen | |
Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind. |
|
Alle Compute Engine-Rollen: Administrator und Bearbeiter |
Kategorie | Rolle | Beschreibung |
---|---|---|
Rollen bearbeiten: IAM-Rollen, die Berechtigungen zum Ändern von Google Cloud-Ressourcen umfassen |
Beispiele:
|
Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor.
Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen. |
Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten |
Beispiele:
|
Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen. |
Alle Rollen mit mittlerer Vertraulichkeit
Zugriffsgenehmigung
Access Context Manager
Aktionen
AI Platform
API-Gateway
App Engine
AutoML
BigQuery
Binärautorisierung
Bigtable
Cloud Build
Cloud Deployment Manager
Cloud Endpoints
Cloud Functions
Cloud IoT
Cloud Life Sciences
Cloud Monitoring
Cloud Run
Cloud Scheduler
Cloud Source Repositories
Spanner
Cloud Storage
Cloud SQL
Cloud Tasks
Cloud TPU
Cloud Trace
Compute Engine
Artefaktanalyse
Data Catalog
Dataflow
Dataproc
Dataproc Metastore
Datenspeicher
Eventarc
Filestore
Firebase
Game Servers
Google Cloud VMware Engine
Google Kubernetes Engine
Google Kubernetes Engine Hub
Google Workspace
Identity-Aware Proxy
Managed Service for Microsoft Active Directory
Memorystore for Redis
On-Demand Scanning API
Ops Config Monitoring
Organisationsrichtliniendienst
Weitere Rollen
Näherungs-Beacon
Pub/Sub
Pub/Sub Lite
reCAPTCHA Enterprise
Empfehlungen
Recommender
Resource Manager
Ressourceneinstellungen
Serverloser VPC-Zugriff
Dienstnutzer-Management
Storage Transfer Service
Vertex AI
Vom Nutzer verwaltete Notebooks in Vertex AI Workbench
Workflows |
Logtypen und Aktivierungsanforderungen
In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.
Sie müssen ein Log für Event Threat Detection nur aktivieren, wenn alle folgenden Bedingungen erfüllt sind:
- Sie verwenden das Produkt oder den Dienst, der in das Log schreibt.
- Sie müssen das Produkt oder den Dienst vor den Bedrohungen schützen, die Event Threat Detection im Log erkennt.
- Das Log ist ein Audit-Log für den Datenzugriff oder ein anderes Log, das standardmäßig deaktiviert ist.
Bestimmte Bedrohungen können in mehreren Logs erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem bereits aktivierten Log erkennen kann, müssen Sie kein anderes Log aktivieren, um dieselbe Bedrohung zu erkennen.
Wenn ein Log in diesem Abschnitt nicht aufgeführt ist, scannt Event Threat Detection es nicht, auch wenn es aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Logscans.
Wie in der folgenden Tabelle dargestellt, sind einige Logtypen nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center auf Projektebene aktivieren, scannt Event Threat Detection diese Logs nicht und liefert keine Ergebnisse.
Potenziell redundante Logscans
Event Threat Detection kann Malware im Netzwerk erkennen, indem eines der folgenden Logs gescannt wird:
- Cloud DNS-Logging
- Cloud NAT-Logging
- Logging von Firewallregeln
- VPC-Flusslogs
Wenn Sie Cloud DNS-Logging bereits verwenden, kann Event Threat Detection Malware über die Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Logs zur Netzwerkerkennung von Malware aus.
Wenn Sie über die Domainauflösung hinaus eine weitere Sichtbarkeit benötigen, können Sie VPC-Flusslogs aktivieren. Allerdings können für VPC-Flusslogs Kosten anfallen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Abtastrate auf 5 % bis 10 % zu reduzieren, allerdings ist dies ein Kompromiss zwischen Recall (höhere Abtastrate) und Kostenmanagement (niedrigere Abtastrate).
Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT-Logging verwenden, sind diese Logs anstelle von VPC-Flusslogs nützlich.
Sie müssen nicht mehr als Cloud NAT-Logging, Logging von Firewallregeln oder VPC-Flusslogs aktivieren.
Zu aktivierende Logs
In diesem Abschnitt werden die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der Bedrohungen zu erhöhen, die von Event Threat Detection erkannt werden können.
Bestimmte Bedrohungen, z. B. durch den ungewöhnlichen Identitätswechsel oder die Delegierung eines Dienstkontos, sind in den meisten Audit-Logs enthalten. Bei dieser Art von Bedrohungen bestimmen Sie je nach den verwendeten Produkten und Diensten, welche Logs Sie aktivieren müssen.
Die folgende Tabelle enthält bestimmte Logs, die Sie für Bedrohungen aktivieren müssen, die nur in bestimmten Logtypen erkannt werden können.
Logtyp | Bedrohungen erkannt | Konfiguration erforderlich | |
---|---|---|---|
Cloud DNS-Logging |
Log4j Malware: Bad Domain Malware: bad domain Malware: Cryptomining Bad Domain |
Cloud DNS-Logging aktivieren | |
Cloud NAT-Logging |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Cloud NAT-Logging aktivieren | |
Logging von Firewallregeln |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Logging von Firewallregeln aktivieren. | |
Audit-Logs zum Datenzugriff in Google Kubernetes Engine (GKE) |
Discovery: Can get sensitive Kubernetes object check Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Audit-Logs zum Datenzugriff von Logging für GKE aktivieren | |
Audit-Logs für Google Workspace-Administratoren |
Credential Access: Privileged Group Opened To Public Impair Defenses: Strong Authentication Disabled Impair Defenses: Two Step Verification Disabled Persistence: SSO Enablement Toggle Persistence: SSO Settings Changed |
Google Workspace Admin-Audit-Logs für Cloud Logging freigeben
Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden. |
|
Audit-Logs von Google Workspace Login |
Credential Access: External Member Added To Privileged Group Impair Defenses: Two Step Verification Disabled Initial Access: Account Disabled Hijacked Initial Access: Disabled Password Leak Initial Access: Government Based Attack Initial Access: Suspicious Login Blocked |
Audit-Logs zur Anmeldung in Google Workspace für Cloud Logging freigeben
Dieser Logtyp kann bei Aktivierungen auf Projektebene nicht gescannt werden. |
|
Logs für externe Backend-Dienste des Application Load Balancers |
Initial Access: Log4j Compromise Attempt |
Logging für den externen Application Load Balancer aktivieren | |
Audit-Logs zum Datenzugriff für MySQL in Cloud SQL | Exfiltration: Cloud SQL Data Exfiltration |
Audit-Logs zum Datenzugriff von Logging für Cloud SQL for MySQL aktivieren | |
Audit-Logs zum PostgreSQL-Datenzugriff in Cloud SQL |
Exfiltration: Cloud SQL Data Exfiltration Exfiltration: Cloud SQL Over-Privileged Grant |
|
|
Audit-Logs zum Datenzugriff von AlloyDB for PostgreSQL |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables Privilege Escalation: AlloyDB Over-Privileged Grant |
|
|
Audit-Logs zum IAM-Datenzugriff |
Discovery: Service Account Self-Investigation |
Audit-Logs zum Datenzugriff von Logging für Resource Manager aktivieren | |
Audit-Logs zum SQL Server-Datenzugriff | Exfiltration: Cloud SQL Data Exfiltration |
Audit-Logs zum Datenzugriff von Logging für Cloud SQL for SQL Server aktivieren | |
Allgemeine Audit-Logs zum Datenzugriff |
Initial Access: Leaked Service Account Key Used |
Aktivieren Sie Audit-Logs zum Datenzugriff in Logging. | |
authlogs/authlog auf virtuellen Maschinen | Brute force SSH |
Installieren Sie den Ops-Agent oder den alten Logging-Agent auf Ihren VM-Hosts | |
VPC-Flusslogs |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Aktivieren Sie VPC-Flusslogs. | |
Audit-Logging für Sicherungen und Notfallwiederherstellungen |
Data destruction: Google Cloud Backup and DR expire all images Inhibit system recovery: Google Cloud Backup and DR delete policy Inhibit system recovery: Google Cloud Backup and DR delete template Inhibit system recovery: Google Cloud Backup and DR delete profile Inhibit system recovery: Google Cloud Backup and DR delete storage pool Inhibit system recovery: deleted Google Cloud Backup and DR host Data destruction: Google Cloud Backup and DR expire image Data destruction: Google Cloud Backup and DR remove appliance Inhibit system recovery: Google Cloud Backup and DR remove plan Impact: Google Cloud Backup and DR reduce backup expiration Impact: Google Cloud Backup and DR reduce backup frequency |
Audit-Logging für Sicherung und Notfallwiederherstellung aktivieren |
Logs, die immer aktiviert sind
In der folgenden Tabelle sind die Cloud Logging-Logs aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.
Logtyp | Bedrohungen erkannt | Konfiguration erforderlich | |
---|---|---|---|
Datenzugriffslogs von BigQueryAuditMetadata |
Datenausschleusung: Daten-Exfiltration in BigQuery Datenausschleusung: Datenextraktion in BigQuery Datenausschleusung: BigQuery-Daten zu Google Drive |
Ohne | |
Audit-Logs zur Administratoraktivität in der Google Kubernetes Engine (GKE) |
Ausweitung der Berechtigungen: Änderungen an vertraulichen Kubernetes-RBAC-Objekten Ausweitung der Berechtigungen: Erstellung von vertraulichen Kubernetes-Bindungen Ausweitung der Berechtigungen: Einführung des privilegierten Kubernetes-Containers Ausweitung der Berechtigungen: Kubernetes-CSR für Master-Zertifikat erstellen |
Ohne | |
Audit-Logs zur IAM-Administratoraktivität |
Zugriff auf Anmeldedaten: Hybridgruppe gewährte sensible Rolle Ausweitung der Berechtigung: Sensible Rolle „Inaktives Dienstkonto“ gewährt Persistenz: Rolle „Identitätsdiebstahl“ für inaktives Dienstkonto gewährt Persistenz: Anomale IAM-Zuweisung VorschauPersistenz: Nicht verwaltetes Konto mit sensibler Rolle |
Ohne | |
MySQL-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Ohne | |
Logs für PostgreSQL-Administratoraktivitäten | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Ohne | |
Logs für SQL Server-Administratoraktivitäten | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Ohne | |
Allgemeine Audit-Logs zur Administratoraktivität |
Geänderter Erstzugriff: Aktion „Inaktive Dienstkonto-Erweiterung“ > Ursprünglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt und Dienstkontoschlüssel erstellt Erstzugriff: Aktionen aufgrund von unzulässigen Berechtigungen verweigert Ursprünglicher Zugriff: Unzulässiger Dienstkontoschlüssel verwendet Persistenz: Compute Engine-Administrator hat SSH-Schlüssel hinzugefügt Persistenz: Compute Engine-Administrator hat Startup-Script für Beendigung des Dienstkontos hinzugefügt Persistenz des Dienstkonto-Administrators für die Ausweitung des Bootvorgangs: Neue API-Sitzung – Ausweitung der Verwaltung: Persistenz des Dienstprogramms für den Dienststart: Neu |
Ohne | |
Audit-Logs für VPC Service Controls | Umgehung von Abwehrmaßnahmen: VPC Service Control ändern Vorschau | Ohne |
Nächste Schritte
Weitere Informationen zur Verwendung der Event Threat Detection
Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.