Was ist Event Threat Detection?
Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht Ihre Organisation oder Projekte kontinuierlich und identifiziert Bedrohungen in Ihren Systemen nahezu in Echtzeit. Event Threat Detection wird regelmäßig mit neuen Detektoren aktualisiert, um aufkommende Bedrohungen im Cloud-Maßstab zu identifizieren.
Funktionsweise von Event Threat Detection
Event Threat Detection überwacht den Cloud Logging-Stream für Ihre Organisation oder Projekte. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, werden Logs für Ihre Projekte von Event Threat Detection genutzt, sobald sie erstellt werden. Außerdem können Google Workspace-Logs von Event Threat Detection überwacht werden. Cloud Logging enthält Logeinträge von API-Aufrufen und anderen Aktionen, die die Konfiguration oder die Metadaten Ihrer Ressourcen erstellen, lesen oder ändern. Google Workspace-Logs erfassen Nutzeranmeldungen in Ihrer Domain und bieten eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden.
Logeinträge enthalten Status- und Ereignisinformationen, die Event Threat Detection verwendet, um Bedrohungen schnell zu erkennen. Event Threat Detection wendet Erkennungslogik und proprietäre Bedrohungsinformationen an, einschließlich Tripwire-Indikator-Abgleich, fensterbasierter Profilerstellung, erweiterter Profilerstellung, maschinellen Lernens und Anomalieerkennung, um Bedrohungen nahezu in Echtzeit zu identifizieren.
Wenn Event Threat Detection eine Bedrohung erkennt, schreibt es ein Ergebnis ins Security Command Center. Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, kann Security Command Center Ergebnisse in ein Cloud Logging-Projekt schreiben. Mit Cloud Logging und Google Workspace-Logging können Sie Ergebnisse mit Pub/Sub in andere Systeme exportieren und mit Cloud Run-Funktionen verarbeiten.
Wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren, können Sie zusätzlich Google Security Operations verwenden, um einige Ergebnisse zu untersuchen. Google SecOps ist ein Google Cloud -Dienst, mit dem Sie Bedrohungen untersuchen und verwandte Entitäten in einer einheitlichen Zeitachse durchblättern können. Unter Ergebnisse in Google SecOps untersuchen erfahren Sie, wie Sie Ergebnisse an Google SecOps senden.
Ob Sie Ergebnisse und Logs aufrufen und bearbeiten können, hängt von den IAM-Rollen (Identity and Access Management) ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Rollen im Security Command Center finden Sie unter Zugriffssteuerung.
Event Threat Detection-Regeln
Regeln definieren den Typ von Bedrohungen, die Event Threat Detection erkennt, und die Logtypen, die aktiviert werden müssen, damit Detektoren funktionieren. Audit-Logs für Administratoraktivitäten werden immer geschrieben. Sie können sie nicht konfigurieren oder deaktivieren.
Derzeit umfasst Event Threat Detection folgende Standardregeln:
| Anzeigename | API-Name | Logquelltypen | Beschreibung |
|---|---|---|---|
| Aktiver Scan: Log4j-Sicherheitslücken für RCE | Nicht verfügbar | Cloud DNS-Logs | Scanner für Log4j-Sicherheitslücken haben DNS-Abfragen für nicht verschleierte Domains initiiert und identifiziert. Diese Sicherheitslücke kann zur Remote-Codeausführung (Remote Code Execution, RCE) führen. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Auswirkung: Google Cloud-Sicherungs- und Notfallwiederherstellungshost wurde gelöscht | BACKUP_HOSTS_DELETE_HOST |
Cloud-Audit-Logs: Backup and DR Service Admin Activity-Audit-Logs |
Ein Host wurde aus der Backup und DR-Verwaltungskonsole gelöscht. Anwendungen, die mit dem gelöschten Host verknüpft sind, sind möglicherweise nicht geschützt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkungen: Google Cloud Backup and DR expire image | BACKUP_EXPIRE_IMAGE |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Nutzer hat das Löschen eines Sicherungs-Image aus der Backup und DR-Verwaltungskonsole angefordert. Das Löschen eines Reservebilds verhindert nicht, dass zukünftige Back-ups erstellt werden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Auswirkungen: Google Cloud Backup & DR: Plan entfernen | BACKUP_REMOVE_PLAN |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Sicherungsplan mit mehreren Richtlinien für eine Anwendung wurde aus Backup & DR gelöscht. Das Löschen eines Sicherungsplans kann verhindern, dass zukünftige Sicherungen erstellt werden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Auswirkung: Alle Images in Google Cloud Backup and DR laufen ab | BACKUP_EXPIRE_IMAGES_ALL |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Nutzer hat in der Backup & DR-Verwaltungskonsole das Löschen aller Sicherungsbilder für eine geschützte Anwendung angefordert. Das Löschen von Reservebildern verhindert nicht, dass zukünftige Back-ups erstellt werden. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Auswirkungen: Google Cloud Backup and DR delete template | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Eine vordefinierte Sicherungsvorlage, die zum Einrichten von Sicherungen für mehrere Anwendungen verwendet wird, wurde aus der Backup & DR-Verwaltungskonsole gelöscht. Möglicherweise können Sie in Zukunft keine Back-ups mehr einrichten. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Auswirkungen: Google Cloud Backup and DR delete policy | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Eine Backup- und DR-Richtlinie, die definiert, wie eine Sicherung erstellt und wo sie gespeichert wird, wurde aus der Backup- und DR-Verwaltungskonsole gelöscht. Künftige Sicherungen, die die Richtlinie verwenden, schlagen möglicherweise fehl. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkungen: Google Cloud Backup and DR, Profil löschen | BACKUP_PROFILES_DELETE_PROFILE |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Backup & DR-Profil, in dem definiert ist, welche Speicherpools zum Speichern von Sicherungen verwendet werden sollen, wurde aus der Backup & DR-Verwaltungskonsole gelöscht. Zukünftige Sicherungen, die das Profil verwenden, schlagen möglicherweise fehl. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Google Cloud Backup & DR, Appliance entfernen | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Eine Sicherungs-Appliance wurde aus der Backup und DR-Verwaltungskonsole gelöscht. Anwendungen, die mit dem gelöschten Sicherungsgerät verknüpft sind, sind möglicherweise nicht geschützt. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Auswirkungen: Google Cloud Backup & DR, Speicherpool löschen | BACKUP_STORAGE_POOLS_DELETE |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Speicherpool, der einen Cloud Storage-Bucket mit Backup und DR verknüpft, wurde aus der Backup und DR-Verwaltungskonsole entfernt. Zukünftige Sicherungen auf diesem Speicherziel schlagen fehl. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Ablauf von Sicherungen in Google Cloud Backup and DR verkürzt | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Das Ablaufdatum einer Sicherung, die durch Backup und DR geschützt ist, wurde über die Backup und DR-Verwaltungskonsole verkürzt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Google Cloud Backup & DR – geringere Häufigkeit von Sicherungen | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Der Backup-Zeitplan für Backup und DR wurde geändert, um die Häufigkeit von Sicherungen über die Backup und DR-Verwaltungskonsole zu verringern. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkungen: Gelöschter Google Cloud Backup and DR-Vault | BACKUP_DELETE_VAULT |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Backup Vault wurde gelöscht. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Auswirkungen: Gelöschte Google Cloud Backup and DR-Sicherung | BACKUP_DELETE_VAULT_BACKUP |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Eine in einem Backup Vault gespeicherte Sicherung wurde manuell gelöscht. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Auswirkung: Verknüpfung des Google Cloud Backup & DR-Plans gelöscht | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Cloud-Audit-Logs: Backup and DR Admin Activity-Audit-Logs |
Ein Sicherungsplan aus Backup and DR wurde aus einer Arbeitslast entfernt. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Brute-Force-SSH | BRUTE_FORCE_SSH |
authlog | Ein Akteur hat sich über Brute-Force-Techniken erfolgreich SSH-Zugriff auf einen Host verschafft. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Cloud IDS-Logs |
Cloud IDS hat Bedrohungsereignisse erkannt. Cloud IDS erkennt Layer 7-Angriffe durch die Analyse gespiegelter Pakete und sendet bei Erkennung eines Bedrohungsereignisses ein Ergebnis der Bedrohungsklasse an Security Command Center. Kategorienamen beginnen mit „Cloud IDS“, gefolgt von der Cloud IDS-Bedrohungs-ID. Die Cloud IDS-Integration in Event Threat Detection umfasst keine Cloud IDS-Schwachstellenerkennung. Ergebnisse werden standardmäßig als Gering eingestuft. Weitere Informationen zu Cloud IDS-Erkennungen finden Sie unter Cloud IDS-Logging-Informationen. |
| Privilege Escalation: Externes Mitglied zu privilegierter Gruppe hinzugefügt | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Ein externes Mitglied wurde einer privilegierten Google-Gruppe hinzugefügt (einer Gruppe, die vertrauliche Rollen oder Berechtigungen gewährt). Ein Ergebnis wird nur generiert, wenn die Gruppe nicht bereits andere externe Mitglieder derselben Organisation wie das neu hinzugefügte Mitglied enthält. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
| Rechteausweitung: Privilegierte Gruppe für Öffentlichkeit geöffnet | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Admin-Audit Berechtigungen: DATA_READ
|
Eine privilegierte Google-Gruppe (eine Gruppe mit vertraulichen Rollen oder Berechtigungen) wurde so geändert, dass sie öffentlich zugänglich ist. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
| Rechteausweitung: Sensible Rolle der Hybridgruppe gewährt | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Einer Google-Gruppe mit externen Mitgliedern wurden vertrauliche Rollen zugewiesen. Weitere Informationen finden Sie unter Unsichere Änderungen an Google-Gruppen. Die Ergebnisse werden abhängig von der Vertraulichkeit der Rollen, die der Gruppenänderung zugeordnet sind, als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
| Defense Evasion: Break-Glass-Arbeitslastbereitstellung erstellt (Vorschau) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Arbeitslasten wurden mit dem Break-Glass-Flag bereitgestellt, um Einstellungen für die Binärautorisierung zu überschreiben. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Umgehung von Abwehrmaßnahmen: Break-Glass-Workload-Deployment wurde aktualisiert (Vorschau) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Arbeitslasten wurden mithilfe des Break-Glass-Flags aktualisiert, um Einstellungen für die Binärautorisierung zu überschreiben. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Umgehung von Abwehrmaßnahmen: Filterung der IP-Adressen von GCS-Buckets geändert | GCS_BUCKET_IP_FILTERING_MODIFIED |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Ein Nutzer oder Dienstkonto hat die IP-Filterkonfiguration für einen Cloud Storage-Bucket geändert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Defense Evasion: VPC Service Control modifizieren | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud-Audit-Logs Audit-Logs von VPC Service Controls |
Ein vorhandener VPC Service Controls-Perimeter wurde geändert, was zu einer Reduzierung des Schutzes durch diesen Perimeter führen würde. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Umgehung von Abwehrmaßnahmen: HTTP-Richtlinienblockierung des Projekts deaktiviert | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Ein Nutzer oder Dienstkonto hat erfolgreich eine Aktion ausgelöst, um storage.secureHttpTransport für ein Projekt zu deaktivieren. Das gilt auch, wenn die Aktion auf Organisations- oder Ordnerebene ausgeführt wird, da Richtlinien, die auf dieser Ebene angewendet werden, standardmäßig von untergeordneten Projekten übernommen werden. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erkennung: Abrufen der Prüfung eines vertraulichen Kubernetes-Objekts | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud-Audit-Logs: GKE-Datenzugriffslogs |
Ein potenziell böswilliger Akteur hat mithilfe des Befehls
Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erkennung: Dienstkonto-Prüfung | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud-Audit-Logs: IAM-Datenzugriffs-Audit-Logs Berechtigungen: DATA_READ
|
Die Anmeldedaten eines IAM-Dienstkontos wurden verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind. Vertrauliche Rollen Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
| E-Mail: Zugriff vom Anonymisierungs-Proxy | ANOMALOUS_ACCESS |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Google Cloud -Dienständerungen stammen von einer IP-Adresse, die dem Tor-Netzwerk zugeordnet ist. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Exfiltration: BigQuery-Daten-Exfiltration | DATA_EXFILTRATION_BIG_QUERY |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt folgende Szenarien:
|
| Exfiltration: BigQuery-Datenextraktion | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Erkennt folgende Szenarien:
Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Exfiltration: BigQuery-Daten in Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Eine BigQuery-Ressource, die der geschützten Organisation gehört, wurde durch Extraktionsvorgänge in einem Google Drive-Ordner gespeichert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Exfiltration: Move to Public BigQuery resource | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen: DATA_READ
|
Eine BigQuery-Ressource wurde in einer öffentlichen Ressource gespeichert, die Ihrer Organisation gehört. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Exfiltration: Cloud SQL-Daten-Exfiltration |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud-Audit-Logs:
MySQL-Datenzugriffslogs PostgreSQL-Datenzugriffslogs SQL Server-Datenzugriffslogs |
Erkennt folgende Szenarien:
Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud-Audit-Logs:
MySQL-Administratoraktivitätslogs PostgreSQL-Administratoraktivitätslogs SQL Server-Administratoraktivitätslogs |
Die Sicherung einer Cloud SQL-Instanz wurde auf einer Instanz außerhalb der Organisation wiederhergestellt. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Exfiltration: Cloud SQL Überprivilegierte Berechtigung | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud-Audit-Logs:
PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. |
Einem Cloud SQL for PostgreSQL-Nutzer oder einer Cloud SQL-Rolle wurden alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Anfänglicher Zugriff: Datenbank-Superuser schreibt in Nutzertabellen | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud-Audit-Logs:
Cloud SQL for PostgreSQL-Datenzugriffslogs Cloud SQL for MySQL-Datenzugriffslogs Hinweis: Sie müssen die pgAudit-Erweiterung für PostgreSQL oder das Datenbank-Auditing für MySQL aktivieren, um diese Regel zu verwenden. |
Ein Cloud SQL-Superuser (postgres für PostgreSQL-Server oder root für MySQL-Nutzer) hat in Nicht-Systemtabellen geschrieben. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: Überprivilegierte Berechtigung für AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud-Audit-Logs:
AlloyDB for PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. |
Einem AlloyDB for PostgreSQL-Nutzer oder einer AlloyDB for PostgreSQL-Rolle wurden alle Berechtigungen für eine Datenbank oder für alle Tabellen, Prozeduren oder Funktionen in einem Schema gewährt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Rechteausweitung: AlloyDB-Datenbank-Superuser schreibt in Nutzertabellen | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud-Audit-Logs:
AlloyDB for PostgreSQL-Datenzugriffslogs Hinweis: Sie müssen die Erweiterung pgAudit aktivieren, um diese Regel zu verwenden. |
Ein AlloyDB for PostgreSQL-Superuser (postgres) hat in Nicht-Systemtabellen geschrieben. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Anfänglicher Zugriff: Aktion über inaktives Dienstkonto | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud-Audit-Logs: Administratoraktivitätslogs | Ein inaktives vom Nutzer verwaltetes Dienstkonto hat eine Aktion ausgelöst. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Berechtigungseskalierung: Inaktives Dienstkonto mit vertraulicher Rolle | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs |
Ein inaktives vom Nutzer verwaltetes Dienstkonto hat eine oder mehrere vertrauliche IAM-Rollen erhalten. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Vertrauliche Rollen Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Ergebnisse werden standardmäßig als Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen. |
| Berechtigungseskalierung: Rolle „Impersonation“ für inaktives Dienstkonto gewährt | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit-Logs: IAM Admin Activity-Audit-Logs | Einem Hauptkonto wurden Berechtigungen zum Übernehmen der Identität eines inaktiven nutzerverwalteten Dienstkontos gewährt. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud-Audit-Logs: Administratoraktivitätslogs | Ein Schlüssel wurde für ein inaktives vom Nutzer verwaltetes Dienstkonto erstellt. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Erstzugriff: Gehackter Dienstkontoschlüssel verwendet | LEAKED_SA_KEY_USED |
Cloud-Audit-Logs:
Administratoraktivitätslogs Datenzugriffslogs |
Ein durchgesickerter Dienstkontoschlüssel wurde zur Authentifizierung der Aktion verwendet. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im öffentlichen Internet veröffentlicht wurde. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen | EXCESSIVE_FAILED_ATTEMPT |
Cloud-Audit-Logs: Administratoraktivitätslogs | Ein Hauptkonto hat wiederholt Berechtigung verweigert-Fehler ausgelöst, indem es versucht hat, Änderungen über mehrere Methoden und Dienste hinweg vorzunehmen. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Persistenz: Starke Authentifizierung deaktiviert |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Admin-Audit |
Die Bestätigung in zwei Schritten wurde für die Organisation deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Persistenz: 2‑Faktor-Authentifizierung deaktiviert |
2SV_DISABLE
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Ein Nutzer hat die Option "Bestätigung in zwei Schritten" deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erstzugriff: Konto deaktiviert – Gehackt |
ACCOUNT_DISABLED_HIJACKED
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Das Konto eines Nutzers wurde aufgrund verdächtiger Aktivitäten gesperrt. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Erstzugriff: Deaktiviert – Passwortleck |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Das Konto eines Nutzers wurde deaktiviert, weil ein Passwortleck erkannt wurde. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erstzugriff: Von staatlichen Stellen unterstützter Angriff |
GOV_ATTACK_WARNING
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Angreifer, die von staatlichen Stellen unterstützt werden, haben möglicherweise versucht, ein Nutzerkonto oder einen Computer zu manipulieren. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Anfangszugriff: Log4j-Kompromittierungsversuch | Nicht verfügbar |
Cloud Load Balancing-Logs: Cloud-HTTP-Load-Balancer Hinweis: Sie müssen das Logging für externe Application Load Balancer aktivieren, um diese Regel zu verwenden. |
Es wurden JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern erkannt. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen. Diese Ergebnisse haben einen niedrigen Schweregrad, da sie nur auf eine Erkennung oder einen Ausnutzungsversuch hinweisen, nicht auf eine Sicherheitslücke oder eine Beeinträchtigung. Diese Regel ist immer aktiviert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erstzugriff: Verdächtige Anmeldung blockiert |
SUSPICIOUS_LOGIN
|
Google Workspace-Logs: Audit-Log zu Anmeldeaktivitäten Berechtigungen: DATA_READ
|
Es wurde eine verdächtige Anmeldung im Konto eines Nutzers erkannt und blockiert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Log4j-Malware: Ungültige Domain | LOG4J_BAD_DOMAIN |
Cloud DNS-Logs | Log4j-Exploit-Traffic wurde anhand einer Verbindung mit oder einer Suche nach einer bekannten Domain erkannt, die bei Log4j-Angriffen verwendet wird. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Log4j-Malware: Ungültige IP-Adresse | LOG4J_BAD_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Log4j-Exploit-Traffic wurde anhand einer Verbindung zu einer bekannten IP-Adresse erkannt, die bei Log4j-Angriffen verwendet wird. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Malware: Schädliche Domain | MALWARE_BAD_DOMAIN |
Cloud DNS-Logs | Malware wurde anhand einer Verbindung zu einer bekannten schädlichen Domain oder einer Suche in dieser Domain erkannt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Malware: Schädliche IP-Adresse | MALWARE_BAD_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Malware wurde anhand einer Verbindung zu einer bekannten schädlichen IP-Adresse erkannt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Malware: Ungültige Domain für Kryptomining | CRYPTOMINING_POOL_DOMAIN |
Cloud DNS-Logs | Kryptomining wurde anhand einer Verbindung mit oder einer Suche nach einer bekannten Mining-Domain erkannt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Malware: Schädliche Kryptomining-IP-Adresse | CRYPTOMINING_POOL_IP |
VPC-Flusslogs Firewallregel-Logs Cloud NAT-Logs |
Kryptomining wurde anhand einer Verbindung zu einer bekannten Mining-IP-Adresse erkannt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt | GCE_ADMIN_ADD_SSH_KEY |
Cloud-Audit-Logs: Compute Engine Admin Activity-Audit-Logs |
Der SSH-Schlüsselwert der Compute Engine-Instanzmetadaten wurde auf einer vorhandenen Instanz (älter als 1 Woche) geändert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Persistenz: GCE-Administrator hat Startskript hinzugefügt | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud-Audit-Logs: Compute Engine Admin Activity-Audit-Logs |
Der Wert des Startskripts der Compute Engine-Instanzmetadaten wurde auf einer vorhandenen Instanz (älter als 1 Woche) geändert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Persistenz: Ungewöhnliche IAM-Gewährung | IAM_ANOMALOUS_GRANT |
Cloud Audit-Logs:IAM Admin Activity-Audit-Logs
|
Diese Problembeschreibung enthält untergeordnete Regeln, die genauere Informationen zu jeder Instanz dieses Problems liefern. In der folgenden Liste sind alle möglichen untergeordneten Regeln aufgeführt:
|
| Persistenz: Nicht verwaltetem Konto wurde sensible Rolle gewährt (Vorschau) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Einem nicht verwalteten Konto wurde eine sensible Rolle zugewiesen. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Persistenz: Neue API-Methode |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud-Audit-Logs: Administratoraktivitätslogs |
IAM-Dienstkonten haben anomalen Zugriff auf Google Cloud Dienste verwendet. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Persistenz: Neue Region | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Auf IAM-Nutzer und -Dienstkonten wurde Google Cloud von ungewöhnlichen Standorten aus zugegriffen, basierend auf dem Standort der anfragenden IP-Adressen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar und wird standardmäßig als Niedrig eingestuft. |
| Persistenz: Neuer User-Agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Auf IAM-Dienstkonten wurde Google Cloud über anomale oder verdächtige User-Agents zugegriffen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Persistenz: Umschalter für SSO-Aktivierung |
TOGGLE_SSO_ENABLED
|
Google Workspace: Admin-Audit |
Die Einstellung "SSO (Einmalanmeldung) aktivieren" für das Administratorkonto wurde deaktiviert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Persistenz: SSO-Einstellungen geändert |
CHANGE_SSO_SETTINGS
|
Google Workspace: Admin-Audit |
Die SSO-Einstellungen für das Administratorkonto wurden geändert. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Für eine Administratoraktivität wurde ein potenziell anomales Dienstkonto mit Identitätsübernahme verwendet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Für eine administrative Aktivität wurde eine ungewöhnliche delegierte Anfrage mit mehreren Schritten gefunden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Datenzugriff | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud-Audit-Logs: Datenzugriffslogs |
Für eine Datenzugriffsaktivität wurde eine anomale mehrstufige delegierte Anfrage gefunden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Ein potenziell anomaler Anrufer oder Identitätsdieb in einer Delegierungskette wurde für eine Administratoraktivität verwendet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Datenzugriff | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud-Audit-Logs: Datenzugriffslogs |
Für eine Datenzugriffsaktivität wurde ein potenziell anomaler Anrufer oder Identitätsdieb in einer Delegierungskette verwendet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein ClusterRole-, RoleBinding- oder ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (RBAC) der vertraulichen Rolle
cluster-admin zu ändern, indem er eine PUT- oder PATCH-Anfrage stellte. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Akteur hat eine
Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) für das Kubernetes-Masterzertifikat erstellt, die ihm die Zugriffsrechte der Rolle
cluster-admin gewährt. Ergebnisse werden standardmäßig als Hoch eingestuft.
|
| Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur versucht, ein neues RoleBinding- oder ClusterRoleBinding-Objekt für die Rolle
cluster-admin zu erstellen. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud-Audit-Logs: GKE-Datenzugriffslogs |
Ein potenziell böswilliger Akteur hat mit dem Befehl kubectl die
Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet. Ergebnisse werden standardmäßig als Hoch eingestuft.
|
| Rechteausweitung: Start eines privilegierten Kubernetes-Containers | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.
Bei einem privilegierten Container ist das Feld |
| Persistenz: Dienstkontoschlüssel erstellt | SERVICE_ACCOUNT_KEY_CREATION |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Ein Dienstkontoschlüssel wurde erstellt. Dienstkontoschlüssel sind langlebige Anmeldedaten, die das Risiko eines unbefugten Zugriffs auf Google Cloud-Ressourcen erhöhen. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Rechteausweitung: Globales Shutdown-Skript hinzugefügt | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Einem Projekt wurde ein globales Shutdown-Script hinzugefügt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Persistenz: Globales Startscript hinzugefügt | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Einem Projekt wurde ein globales Startscript hinzugefügt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Defense Evasion: Rolle „Service Account Token Creator“ auf Organisationsebene hinzugefügt | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ wurde auf Organisationsebene zugewiesen. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Defense Evasion: Rolle „Service Account Token Creator“ auf Projektebene hinzugefügt | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die IAM-Rolle „Ersteller von Dienstkonto-Tokens“ wurde auf Projektebene zugewiesen. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Seitliche Bewegung: Ausführung von Betriebssystempatch über Dienstkonto | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud-Audit-Logs. IAM Admin Activity-Audit-Logs |
Ein Dienstkonto hat die Compute Engine-Patchfunktion verwendet, um das Betriebssystem einer aktuell ausgeführten Compute Engine-Instanz zu aktualisieren. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Lateral Movement: Geändertes Bootlaufwerk an Instanz angehängt (Vorschau) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud-Audit-Logs: Compute Engine-Audit-Logs |
Ein Bootlaufwerk wurde von einer Compute Engine-Instanz getrennt und an eine andere angehängt. Dies könnte ein böswilliger Versuch sein, das System mit einem modifizierten Bootlaufwerk zu kompromittieren. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Zugriff auf Anmeldedaten: Secrets, auf die im Kubernetes-Namespace zugegriffen wurde | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud-Audit-Logs: GKE-Datenzugriffslogs |
Ein Dienstkonto im aktuellen Kubernetes-Namespace hat auf Secrets oder Dienstkonto-Tokens zugegriffen. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Ressourcenentwicklung: Angriffsaktivität in Sicherheitsdistribution | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Eine Google Cloud Ressource wurde erfolgreich über bekannte Penetrationstests oder offensive Sicherheitsdistributionen manipuliert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Berechtigungseskalierung: Neues Dienstkonto ist „Owner“ oder „Editor“ | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Ein neues Dienstkonto mit den Rollen „Bearbeiter“ oder „Inhaber“ für ein Projekt wurde erstellt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erkennung: Tool zur Informationserfassung verwendet | INFORMATION_GATHERING_TOOL_USED |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die Verwendung von ScoutSuite wurde erkannt. ScoutSuite ist ein Tool für Cloud-Sicherheitsprüfungen, das bekanntermaßen von Bedrohungsakteuren verwendet wird. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die Berechtigung iam.serviceAccounts.implicitDelegation wurde missbraucht, um Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Ein Dienstkonto hat mit der Methode
serviceAccounts.signJwt ein Zugriffstoken für ein anderes Dienstkonto generiert. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die IAM-Berechtigung Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Rechteausweitung: Verdächtige Tokengenerierung | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die IAM-Berechtigung Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Rechteausweitung: Verdächtige projektübergreifende Berechtigungsnutzung | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die IAM-Berechtigung Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Command and Control: DNS-Tunneling | DNS_TUNNELING_IODINE_HANDSHAKE |
Cloud DNS-Logs | Der Handshake des DNS-Tunneling-Tools Iodine wurde erkannt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Umgehung von Abwehrmaßnahmen: Versuch der VPC-Routen-Masquerade | VPC_ROUTE_MASQUERADE |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
VPC-Routen, die als Google Cloud Standardrouten maskiert wurden, wurden manuell erstellt, um ausgehenden Traffic zu externen IP-Adressen zu ermöglichen. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Auswirkung: Abrechnung deaktiviert | BILLING_DISABLED_SINGLE_PROJECT |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die Abrechnung wurde für ein Projekt deaktiviert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Abrechnung deaktiviert | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Die Abrechnung wurde für mehrere Projekte in einer Organisation innerhalb eines kurzen Zeitraums deaktiviert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Block mit hoher Priorität der VPC-Firewall | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Eine VPC-Firewallregel, die den gesamten ausgehenden Traffic blockiert, wurde mit Priorität 0 hinzugefügt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkungen: Massenlöschung von VPC-FirewallregelnVorübergehend nicht verfügbar | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
VPC-Firewallregeln wurden von Konten, die keine Dienstkonten sind, massenweise gelöscht. Diese Regel ist vorübergehend nicht verfügbar. Verwenden Sie Cloud-Audit-Logs, um Änderungen an Ihren Firewallregeln zu überwachen. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Service API deaktiviert | SERVICE_API_DISABLED |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Eine Google Cloud Service-API wurde in einer Produktionsumgebung deaktiviert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Auswirkung: Autoscaling verwalteter Instanzgruppen auf Maximum festgelegt | MIG_AUTOSCALING_SET_TO_MAX |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Eine verwaltete Instanzgruppe wurde für maximales Autoscaling konfiguriert. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erkennung: Nicht autorisierter API-Aufruf des Dienstkontos | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud-Audit-Logs: IAM Admin Activity-Audit-Logs |
Ein Dienstkonto hat einen nicht autorisierten projektübergreifenden API-Aufruf ausgeführt. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Defense Evasion: Anonymous Sessions Granted Cluster Admin Access | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Ein ClusterRoleBinding-Objekt der rollenbasierten Zugriffssteuerung (Role-based Access Control, RBAC) wurde erstellt, wodurch das root-cluster-admin-binding-Verhalten für anonyme Nutzer hinzugefügt wurde. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Persistenz: Neue geografische Region für KI-Dienst | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Auf IAM-Nutzer- und ‑Dienstkonten wurde von ungewöhnlichen Standorten aus auf Google Cloud AI-Dienste zugegriffen, basierend auf dem Standort der anfragenden IP-Adressen. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar und wird standardmäßig als Niedrig eingestuft. |
| Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung bei KI-Administratoraktivität | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Es wurde eine anomale mehrstufige delegierte Anfrage für eine Administratoraktivität eines KI-Dienstes gefunden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung bei KI-Datenzugriff | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud-Audit-Logs: Datenzugriffslogs |
Für eine Datenzugriffsaktivität eines KI-Dienstes wurde eine anomale mehrstufige delegierte Anfrage gefunden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Für eine administrative Aktivität eines KI-Dienstes wurde ein potenziell anomaler Aufrufer oder Identitätsübernehmer in einer Delegierungskette verwendet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud-Audit-Logs: Datenzugriffslogs |
Für eine Datenzugriffsaktivität eines KI-Dienstes wurde ein potenziell anomaler Anrufer oder Identitätsübernehmer in einer Delegierungskette verwendet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Für eine administrative Aktivität eines KI-Dienstes wurde ein potenziell anomales Dienstkonto mit Identitätsübernahme verwendet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Persistenz: Neue KI-API-Methode |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud-Audit-Logs: Administratoraktivitätslogs |
IAM-Dienstkonten haben anomalen Zugriff auf Google Cloud KI-Dienste verwendet. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Anfänglicher Zugriff: Keine Dienstkontoaktivität im KI-Dienst | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud-Audit-Logs: Administratoraktivitätslogs | Ein inaktives nutzerverwaltetes Dienstkonto hat eine Aktion in KI-Diensten ausgelöst. In diesem Zusammenhang gilt ein Dienstkonto als inaktiv, wenn es seit mehr als 180 Tagen nicht verwendet wurde. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorschau) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud-Audit-Logs: GKE Admin Activity-Logs. |
Eine Ressource wurde von einem praktisch anonymen Internetnutzer erstellt. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorschau) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Eine Ressource wurde von einem praktisch anonymen Internetnutzer manipuliert. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine RBAC-Bindung erstellt, die auf einen der folgenden Nutzer oder Gruppen verweist:
Diese Nutzer und Gruppen sind im Grunde anonym und sollten beim Erstellen von Rollenbindungen oder Clusterrollenbindungen für RBAC-Rollen vermieden werden. Prüfen Sie die Bindung, um sicherzustellen, dass sie erforderlich ist. Wenn die Bindung nicht erforderlich ist, entfernen Sie sie. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorschau) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat die Befehle exec oder attach verwendet, um eine Shell zu erhalten oder einen Befehl in einem Container auszuführen, der im Namespace kube-system ausgeführt wird.
Diese Methoden werden manchmal für legitime Debugging-Zwecke verwendet. Der Namespace kube-system ist jedoch für Systemobjekte vorgesehen, die von Kubernetes erstellt werden. Daher sollten Sie unerwartete Befehlsausführungen oder Shell-Erstellungen überprüfen. Ergebnisse werden standardmäßig als Mittel eingestuft.
|
| Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorschau) | GKE_SENSITIVE_HOSTPATH |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Arbeitslast erstellt, die eine hostPath-Volumebereitstellung für einen sensiblen Pfad im Dateisystem des Hostknotens enthält. Der Zugriff auf diese Pfade im Dateisystem des Hosts kann verwendet werden, um auf privilegierte oder vertrauliche Informationen auf dem Knoten zuzugreifen und um aus Containern auszubrechen. Lassen Sie nach Möglichkeit keine hostPath-Volumes in Ihrem Cluster zu. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorschau) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Arbeitslast mit der Option shareProcessNamespace auf true bereitgestellt, sodass alle Container denselben Linux-Prozess-Namespace verwenden können.
Dadurch könnte ein nicht vertrauenswürdiger oder kompromittierter Container Berechtigungen eskalieren, indem er auf Umgebungsvariablen, Arbeitsspeicher und andere vertrauliche Daten von Prozessen zugreift und diese steuert, die in anderen Containern ausgeführt werden. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: ClusterRole mit privilegierten Verben (Vorschau) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine RBAC-ClusterRole erstellt, die die Verben bind, escalate oder impersonate enthält. Ein Subjekt, das an eine Rolle mit diesen Verben gebunden ist, kann andere Nutzer mit höheren Berechtigungen imitieren, an zusätzliche Roles oder ClusterRoles mit zusätzlichen Berechtigungen gebunden werden oder die Berechtigungen seiner eigenen ClusterRole ändern. Dies kann dazu führen, dass diese Subjekte Clusteradministratorberechtigungen erhalten. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Rechteausweitung: ClusterRoleBinding für privilegierte Rolle | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine RBAC-ClusterRoleBinding erstellt, die auf die Standard-system:controller:clusterrole-aggregation-controller
ClusterRole verweist. Diese Standard-ClusterRole hat das Verb escalate, mit dem Subjekte die Berechtigungen ihrer eigenen Rollen ändern können, was zu einer Rechteausweitung führt. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Defense Evasion: Manually Deleted Certificate Signing Request (CSR) | GKE_MANUALLY_DELETED_CSR |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) wurde manuell gelöscht. CSRs werden automatisch von einem Garbage Collection-Controller entfernt. Böswillige Akteure können sie jedoch manuell löschen, um einer Erkennung zu entgehen. Wenn die gelöschte CSR für ein genehmigtes und ausgestelltes Zertifikat war, hat der potenziell böswillige Akteur jetzt eine zusätzliche Authentifizierungsmethode für den Zugriff auf den Cluster. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nachdem, welche Subjekte enthalten sind, können aber sehr privilegiert sein. Kubernetes unterstützt keinen Zertifikatsperrung. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden | GKE_APPROVE_CSR_FORBIDDEN |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat versucht, eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell zu genehmigen, aber die Aktion ist fehlgeschlagen. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode für Angreifer, um dauerhaften Zugriff auf einen kompromittierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nachdem, welche Themen es umfasst, können aber sehr privilegiert sein. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorschau) | GKE_CSR_APPROVED |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) manuell genehmigt. Das Erstellen eines Zertifikats für die Clusterauthentifizierung ist eine gängige Methode für Angreifer, um dauerhaften Zugriff auf einen kompromittierten Cluster zu erhalten. Die mit dem Zertifikat verknüpften Berechtigungen variieren je nachdem, welche Themen es umfasst, können aber sehr privilegiert sein. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt | GKE_REVERSE_SHELL_POD |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die häufig mit einer Reverse Shell in Verbindung gebracht werden. Angreifer verwenden Reverse Shells, um ihren anfänglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und beliebige Befehle auszuführen. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Umgehung von Abwehrmaßnahmen: Mögliches Kubernetes-Pod-Masquerading | GKE_POD_MASQUERADING |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die den Standardarbeitslasten ähnelt, die GKE für den regulären Clusterbetrieb erstellt. Diese Technik wird als Masquerading bezeichnet. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorschau) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die ähnelt der von gängigen Tools, die für Container-Escapes oder andere Angriffe auf den Cluster verwendet werden. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Persistenz: Dienstkonto in sensiblem Namespace erstellt | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat ein Dienstkonto in einem sensiblen Namespace erstellt. Die Namespaces kube-system und kube-public sind für GKE-Clustervorgänge von entscheidender Bedeutung. Unautorisierte Dienstkonten können die Stabilität und Sicherheit von Clustern beeinträchtigen. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Pod mit einer Namenskonvention bereitgestellt, die der von gängigen Kryptowährungs-Coin-Minern ähnelt. Dies kann ein Versuch eines Angreifers sein, der sich bereits Zugriff auf den Cluster verschafft hat, die Ressourcen des Clusters für das Mining von Kryptowährungen zu nutzen. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Ausführung: Arbeitslast in sensiblem Namespace ausgelöst | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat eine Arbeitslast (z. B. einen Pod oder ein Deployment) in den Namespaces kube-system oder kube-public bereitgestellt. Diese Namespaces sind für den Betrieb von GKE-Cluster von entscheidender Bedeutung. Unautorisierte Arbeitslasten können die Stabilität oder Sicherheit des Clusters beeinträchtigen. Ergebnisse werden standardmäßig als Gering eingestuft.
|
| Ausführung: Äußerst leistungsfähigen Container in GKE starten (Vorschau) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen Container mit einer oder mehreren der folgenden Funktionen in einem Cluster mit einem erhöhten Sicherheitskontext erstellt:
|
| Persistenz: GKE-Webhook-Konfiguration erkannt | GKE_WEBHOOK_CONFIG_CREATED |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
In Ihrem GKE-Cluster wurde eine Webhook-Konfiguration erkannt. Webhooks können Kubernetes API-Anfragen abfangen und ändern. Dadurch können Angreifer möglicherweise in Ihrem Cluster bleiben oder Ressourcen manipulieren. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Umgehung von Abwehrmaßnahmen: Statischer Pod erstellt | GKE_STATIC_POD_CREATED |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen statischen Pod in Ihrem GKE-Cluster erstellt. Statische Pods werden direkt auf dem Knoten ausgeführt und umgehen den Kubernetes API-Server. Daher sind sie schwieriger zu überwachen und zu steuern. Angreifer können statische Pods verwenden, um die Erkennung zu umgehen oder sich dauerhaft Zugang zu verschaffen. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erster Zugriff: Erfolgreicher API-Aufruf über eine TOR-Proxy-IP-Adresse | GKE_TOR_PROXY_IP_REQUEST |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Es wurde ein erfolgreicher API-Aufruf an Ihren GKE-Cluster von einer IP-Adresse aus durchgeführt, die mit dem Tor-Netzwerk verknüpft ist. Tor bietet Anonymität, die Angreifer oft nutzen, um ihre Identität zu verbergen. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Anfänglicher Zugriff: GKE-NodePort-Dienst erstellt | GKE_NODEPORT_SERVICE_CREATED |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat einen NodePort-Dienst erstellt. NodePort-Dienste machen Pods direkt über die IP-Adresse und den statischen Port eines Knotens verfügbar, sodass die Pods von außerhalb des Clusters aus erreichbar sind. Dies kann ein erhebliches Sicherheitsrisiko darstellen, da ein Angreifer Sicherheitslücken im bereitgestellten Dienst ausnutzen könnte, um Zugriff auf den Cluster oder sensible Daten zu erhalten. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Auswirkung: GKE-kube-dns-Änderung erkannt (Vorschau) | GKE_KUBE_DNS_MODIFICATION |
Cloud-Audit-Logs: GKE Admin Activity-Logs |
Jemand hat die kube-dns-Konfiguration in Ihrem GKE-Cluster geändert. kube-dns in GKE ist eine kritische Komponente des Netzwerks Ihres Clusters. Eine falsche Konfiguration kann zu einem Sicherheitsrisiko führen. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Auswirkungen: Cryptomining-Befehle | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud-Audit-Logs: IAM System Event-Audit-Logs |
Während der Ausführung wurden einem Cloud Run-Job bestimmte Cryptomining-Befehle angehängt. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Ausführung: Docker-Image für Cryptomining | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud-Audit-Logs: IAM System Event-Audit-Logs |
Bestimmte bekannte fehlerhafte Docker-Images wurden an einen neuen oder vorhandenen Cloud Run-Dienst oder -Job angehängt. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Rechteausweitung: Standarddienstkonto für Compute Engine SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud-Audit-Logs: Administratoraktivitätslogs |
Das Compute Engine-Standarddienstkonto wurde verwendet, um die IAM-Richtlinie für einen Cloud Run-Dienst festzulegen. Dies ist eine mögliche Aktion nach einem Exploit, wenn ein Compute Engine-Token von einem serverlosen Dienst kompromittiert wurde. Ergebnisse werden standardmäßig als Gering eingestuft. |
| Erstzugriff: CloudDB: Erfolgreiche Anmeldung über IP-Adresse des Anonymisierungs-Proxys | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Cloud-Audit-Logs:
AlloyDB for PostgreSQL-Datenzugriffslogs Cloud SQL for PostgreSQL-Datenzugriffslogs Cloud SQL for MySQL-Datenzugriffslogs Hinweis: Sie müssen die IP-Protokollierung in PostgreSQL aktivieren, um diese Regel für AlloyDB und Postgres zu verwenden. |
In Ihrer Datenbankinstanz wurde eine erfolgreiche Anmeldung über eine bekannte IP-Adresse eines Anonymisierungs-Proxys erkannt. Dies könnte darauf hindeuten, dass ein Angreifer Zugriff auf Ihre Instanz erlangt hat. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Zugriff auf Anmeldedaten: CloudDB: Fehlgeschlagene Anmeldung über IP-Adresse des Anonymisierungs-Proxys | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Cloud-Audit-Logs:
AlloyDB for PostgreSQL-Datenzugriffslogs Cloud SQL for PostgreSQL-Datenzugriffslogs Cloud SQL for MySQL-Datenzugriffslogs Hinweis: Sie müssen die IP-Protokollierung in PostgreSQL aktivieren, um diese Regel für AlloyDB und Postgres zu verwenden. |
In Ihrer Datenbankinstanz wurde eine fehlgeschlagene Anmeldung über eine bekannte IP-Adresse des Anonymisierungs-Proxys erkannt. Dies könnte darauf hindeuten, dass ein Angreifer versucht, unbefugten Zugriff auf Ihre Instanz zu erhalten. Ergebnisse werden standardmäßig als Mittel eingestuft. |
Benutzerdefinierte Module für Event Threat Detection
Zusätzlich zu den integrierten Erkennungsregeln bietet Event Threat Detection Modulvorlagen, mit denen Sie benutzerdefinierte Erkennungsregeln erstellen können. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Module für Event Threat Detection.
Wenn Sie Erkennungsregeln erstellen möchten, für die keine benutzerdefinierten Modulvorlagen verfügbar sind, können Sie Ihre Logdaten nach BigQuery exportieren und dann einmalige oder wiederkehrende SQL-Abfragen ausführen, die Ihre Bedrohungsmodelle erfassen.
Unsichere Änderungen an Google-Gruppen
In diesem Abschnitt wird erläutert, wie Event Threat Detection Google Workspace-Logs, Cloud-Audit-Logs und IAM-Richtlinien verwendet, um unsichere Änderungen an Google-Gruppen zu erkennen. Das Erkennen von Google Groups-Änderungen wird nur unterstützt, wenn Sie Security Command Center auf Organisationsebene aktivieren.
Google Cloud -Kunden können Google Groups verwenden, um Rollen und Berechtigungen für Mitglieder in ihren Organisationen zu verwalten oder Zugriffsrichtlinien auf Sammlungen von Nutzern anzuwenden. Administratoren können Google Groups Rollen und Berechtigungen zuweisen und Mitglieder dann bestimmten Gruppen hinzufügen, statt Rollen direkt an Mitglieder zu erteilen. Gruppenmitglieder übernehmen alle Rollen und Berechtigungen einer Gruppe, wodurch sie auf bestimmte Ressourcen und Dienste zugreifen können.
Obwohl Google-Gruppen eine bequeme Möglichkeit sind, die Zugriffssteuerung in großem Umfang zu verwalten, kann das ein Risiko darstellen, wenn externe Nutzer von außerhalb Ihrer Organisation oder Domain zu privilegierten Gruppen hinzugefügt werden: Gruppen, denen vertrauliche Rollen oder Berechtigungen gewährt wurden. Vertrauliche Rollen steuern den Zugriff auf Sicherheits- und Netzwerkeinstellungen, Logs und personenidentifizierbare Informationen und werden für externe Gruppenmitglieder nicht empfohlen.
In großen Organisationen wissen Administratoren möglicherweise nicht, wann externe Mitglieder privilegierten Gruppen hinzugefügt werden. In Cloud-Audit-Logs werden Rollenzuweisungen für Gruppen aufgezeichnet. Diese Logereignisse enthalten jedoch keine Informationen zu Gruppenmitgliedern, was die potenziellen Auswirkungen einiger Gruppenänderungen verschleiern kann.
Wenn Sie Ihre Google Workspace-Logs für Google Cloudfreigeben, überwacht Event Threat Detection Ihre Logging-Streams auf neue Mitglieder, die den Google-Gruppen Ihrer Organisation hinzugefügt werden. Da sich die Logs auf Organisationsebene befinden, kann Event Threat Detection Google Workspace-Logs nur scannen, wenn Sie Security Command Center auf Organisationsebene aktivieren. Event Threat Detection kann diese Logs nicht scannen, wenn Sie Security Command Center auf Projektebene aktivieren.
Event Threat Detection identifiziert externe Gruppenmitglieder und prüft mithilfe von Cloud-Audit-Logs die IAM-Rollen jeder betroffenen Gruppe, um zu prüfen, ob den Gruppen vertrauliche Rollen zugewiesen sind. Anhand dieser Informationen können die folgenden unsicheren Änderungen an privilegierten Google-Gruppen erkannt werden:
- Externe Gruppenmitglieder zu privilegierten Gruppen hinzugefügt
- Vertrauliche Rollen oder Berechtigungen, die Gruppen mit externen Gruppenmitgliedern gewährt wurden
- Privilegierte Gruppen, die geändert werden, damit jeder der allgemeinen Öffentlichkeit der Domain beitreten kann
Event Threat Detection schreibt Ergebnisse ins Security Command Center. Die Ergebnisse enthalten die E-Mail-Adressen von neu hinzugefügten externen Mitgliedern, internen Gruppenmitgliedern, die Ereignisse initiieren, Gruppennamen und die mit Gruppen verbundenen sensiblen Rollen. Sie können diese Informationen verwenden, um externe Mitglieder aus Gruppen zu entfernen oder sensible Rollen, die Gruppen zugewiesen wurden, zu widerrufen.
Weitere Informationen zu Ergebnissen der Event Threat Detection finden Sie unter Event Threat Detection-Regeln.
Vertrauliche IAM-Rollen und -Berechtigungen
In diesem Abschnitt wird erläutert, wie Event Threat Detection sensible IAM-Rollen definiert. Erkennungen wie „IAM Anomalous Grant“ und „Unsafe Google Group changes“ generieren Ergebnisse nur, wenn Änderungen Rollen mit hoher oder mittlerer Vertraulichkeit beinhalten. Die Vertraulichkeit von Rollen wirkt sich auf die Bewertung der Ergebnisse aus.
- Rollen mit hoher Vertraulichkeit steuern wichtige Dienste in Organisationen, einschließlich Abrechnung, Firewalleinstellungen und Logging. Ergebnisse, die diesen Rollen entsprechen, werden als Hoch eingestuft.
- Rollen mit mittlerer Vertraulichkeit verfügen über Bearbeitungsberechtigungen, die es den Hauptkonten ermöglichen, Änderungen an Google Cloud -Ressourcen vorzunehmen, sowie über Anzeige- und Ausführungsberechtigungen für Datenspeicherdienste, die häufig sensible Daten enthalten. Der den Ergebnissen zugewiesene Schweregrad hängt von der Ressource ab:
- Wenn Rollen mit mittlerer Vertraulichkeit auf Organisationsebene gewährt werden, werden die Ergebnisse als Hoch eingestuft.
- Wenn Rollen mit durchschnittlicher Vertraulichkeit auf niedrigerer Ebene in Ihrer Ressourcenhierarchie zugewiesen werden (unter anderem Ordner, Projekte und Buckets), erhalten Ergebnisse den Schweregrad Mittel.
Das Zuweisen dieser sensiblen Rollen gilt als gefährlich, wenn der Empfänger ein externes Mitglied oder eine ungewöhnliche Identität ist, z. B. ein Prinzipal, der seit Langem inaktiv ist.
Das Zuweisen sensibler Rollen an externe Mitglieder birgt eine potenzielle Gefahr, da sie für Konto-Hacks und Daten-Exfiltrationen missbraucht werden können.
Zu den Kategorien, in denen diese sensiblen Rollen verwendet werden, gehören:
- Persistenz: Ungewöhnliche IAM-Gewährung
- Unterregel:
external_service_account_added_to_policy - Unterregel:
external_member_added_to_policy
- Unterregel:
- Rechteausweitung: Sensible Rolle der Hybridgruppe gewährt
- Berechtigungseskalierung: Inaktives Dienstkonto mit vertraulicher Rolle
Zu den Kategorien, für die eine Teilmenge der sensiblen Rollen verwendet wird, gehören:
- Persistenz: Ungewöhnliche IAM-Gewährung
- Unterregel:
service_account_granted_sensitive_role_to_member
- Unterregel:
Die service_account_granted_sensitive_role_to_member-Unterregel ist im Allgemeinen auf externe und interne Mitglieder ausgerichtet und verwendet daher nur eine Teilmenge vertraulicher Rollen, wie in Event Threat Detection-Regeln beschrieben.
| Kategorie | Rolle | Beschreibung |
|---|---|---|
| Einfache Rollen: umfassen Tausende von Berechtigungen für alle Google Cloud -Dienste. | roles/owner |
Einfache Rollen |
roles/editor |
||
| Sicherheitsrollen: steuern den Zugriff auf Sicherheitseinstellungen | roles/cloudkms.* |
Alle Cloud Key Management Service-Rollen |
roles/cloudsecurityscanner.* |
Alle Web Security Scanner-Rollen | |
roles/dlp.* |
Alle Sensitive Data Protection-Rollen | |
roles/iam.* |
Alle IAM-Rollen | |
roles/secretmanager.* |
Alle Secret Manager-Rollen | |
roles/securitycenter.* |
Alle Security Command Center-Rollen | |
| Logging-Rollen: steuern den Zugriff auf die Logs einer Organisation | roles/errorreporting.* |
Alle Error Reporting-Rollen |
roles/logging.* |
Alle Cloud Logging-Rollen | |
roles/stackdriver.* |
Alle Cloud Monitoring-Rollen | |
| Rollen mit personenbezogenen Daten: Steuern den Zugriff auf Ressourcen, die personenidentifizierbare Informationen enthalten, einschließlich Bank- und Kontaktinformationen | roles/billing.* |
Alle Cloud Billing-Rollen |
roles/healthcare.* |
Alle Cloud Healthcare API-Rollen | |
roles/essentialcontacts.* |
Alle Rollen für wichtige Kontakte | |
| Netzwerkrollen: steuern den Zugriff auf die Netzwerkeinstellungen einer Organisation | roles/dns.* |
Alle Cloud DNS-Rollen |
roles/domains.* |
Alle Cloud Domains-Rollen | |
roles/networkconnectivity.* |
Alle Network Connectivity Center-Rollen | |
roles/networkmanagement.* |
Alle Network Connectivity Center-Rollen | |
roles/privateca.* |
Alle Certificate Authority Service-Rollen | |
| Dienstrollen: steuern den Zugriff auf Dienstressourcen in Google Cloud | roles/cloudasset.* |
Alle Cloud Asset Inventory-Rollen |
roles/servicedirectory.* |
Alle Service Directory-Rollen | |
roles/servicemanagement.* |
Alle Service Management-Rollen | |
roles/servicenetworking.* |
Alle Service Networking-Rollen | |
roles/serviceusage.* |
Alle Service Usage-Rollen | |
| Compute Engine-Rollen: steuern den Zugriff auf virtuelle Compute Engine-Maschinen, die lang andauernde Jobs ausführen und mit Firewallregeln verknüpft sind. |
|
Alle Compute Engine-Rollen: Administrator und Bearbeiter |
| Kategorie | Rolle | Beschreibung |
|---|---|---|
| Rollen bearbeiten: IAM-Rollen mit Berechtigungen zum Ändern von Google Cloud Ressourcen |
Beispiele:
|
Rollennamen enden normalerweise mit Titeln wie Administrator, Inhaber, Bearbeiter oder Autor. Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen. |
| Datenspeicherrollen: IAM-Rollen mit Berechtigungen zum Aufrufen und Ausführen von Datenspeicherdiensten |
Beispiele:
|
Maximieren Sie den Knoten in der letzten Zeile der Tabelle, um Alle Rollen mit mittlerer Vertraulichkeit zu sehen. |
|
Alle Rollen mit mittlerer Vertraulichkeit
Managed Service for Microsoft Active Directory
Organisationsrichtliniendienst
Vertex AI Workbench: Nutzerverwaltete Notebooks
|
||
Logtypen und Aktivierungsvoraussetzungen
In diesem Abschnitt werden die Logs aufgeführt, die Event Threat Detection verwendet, sowie die Bedrohungen, nach denen Event Threat Detection in den einzelnen Logs sucht, und was Sie gegebenenfalls tun müssen, um die einzelnen Logs zu aktivieren.
Sie müssen einen Log für Event Threat Detection nur aktivieren, wenn alle folgenden Bedingungen erfüllt sind:
- Sie verwenden das Produkt oder den Dienst, der in das Log schreibt.
- Sie müssen das Produkt oder die Dienstleistung vor den Bedrohungen schützen, die von der Event Threat Detection im Log erkannt werden.
- Das Log ist ein Audit-Log zum Datenzugriff oder ein anderes Log, das standardmäßig deaktiviert ist.
Bestimmte Bedrohungen können in mehreren Logs erkannt werden. Wenn Event Threat Detection eine Bedrohung in einem Log erkennen kann, das bereits aktiviert ist, müssen Sie kein anderes Log aktivieren, um dieselbe Bedrohung zu erkennen.
Wenn ein Log in diesem Abschnitt nicht aufgeführt ist, wird es von Event Threat Detection nicht gescannt, auch wenn die Funktion aktiviert ist. Weitere Informationen finden Sie unter Potenziell redundante Log-Scans.
Wie in der folgenden Tabelle beschrieben, sind einige Logtypen nur auf Organisationsebene verfügbar. Wenn Sie Security Command Center auf Projektebene aktivieren, werden diese Logs nicht von Event Threat Detection gescannt und es werden keine Ergebnisse generiert.
Grundlegende Logquellen
Event Threat Detection verwendet grundlegende Datenquellen, um potenziell schädliche Aktivitäten in Ihrem Netzwerk zu erkennen.
Wenn Sie Event Threat Detection ohne VPC-Flusslogs aktivieren, beginnt Event Threat Detection sofort mit der Analyse eines unabhängigen, duplizierten und internen Streams von VPC-Flusslogs. Wenn Sie ein vorhandenes Event Threat Detection-Ergebnis genauer untersuchen möchten, müssen Sie VPC-Flusslogs aktivieren und manuell zum Log-Explorer und Flow Analyzer navigieren. Wenn Sie VPC-Flusslogs zu einem späteren Zeitpunkt aktivieren, enthalten nur zukünftige Ergebnisse die relevanten Links für weitere Untersuchungen.
Wenn Sie Event Threat Detection mit VPC-Flusslogs aktivieren, beginnt Event Threat Detection sofort mit der Analyse der VPC-Flusslogs in Ihrer Bereitstellung und stellt Links zum Log-Explorer und zum Flow Analyzer bereit, damit Sie weitere Untersuchungen durchführen können.
Protokolle für die Netzwerkerkennung von Malware
Event Threat Detection kann Malware im Netzwerk erkennen, indem eines der folgenden Logs gescannt wird:
- Cloud DNS-Logging
- Cloud NAT-Logging
- Logging von Firewallregeln
- VPC-Flusslogs
Sie müssen nicht mehr als eine der folgenden Optionen aktivieren: Cloud NAT-Logging, Logging von Firewallregeln oder VPC-Flusslogs.
Wenn Sie Cloud DNS-Logging bereits verwenden, kann Event Threat Detection Malware mithilfe der Domainauflösung erkennen. Für die meisten Nutzer reichen die Cloud DNS-Logs für die Netzwerkerkennung von Malware aus.
Wenn Sie über die Domainauflösung hinaus eine weitere Ebene der Sichtbarkeit benötigen, können Sie VPC-Flusslogs aktivieren. Für VPC-Flusslogs können jedoch Kosten anfallen. Zur Verwaltung dieser Kosten empfehlen wir, das Aggregationsintervall auf 15 Minuten zu erhöhen und die Stichprobenrate auf 5% bis 10 % zu reduzieren. Dies ist jedoch ein Kompromiss zwischen Recall (höhere Stichprobenrate) und Kostenmanagement (niedrigere Stichprobenrate). Weitere Informationen finden Sie unter Stichprobenerhebung und Verarbeitung von Logs.
Wenn Sie bereits das Logging von Firewallregeln oder Cloud NAT-Logging verwenden, sind diese Logs anstelle von VPC-Flusslogs nützlich.
Unterstützte Protokolldaten und erkannte Bedrohungen
In diesem Abschnitt werden die Cloud Logging- und Google Workspace-Logs aufgeführt, die Sie aktivieren oder anderweitig konfigurieren können, um die Anzahl der Bedrohungen zu erhöhen, die von Event Threat Detection erkannt werden können.
Bestimmte Bedrohungen, z. B. durch die anomale Identitätsübernahme oder Delegation eines Dienstkontos, sind in den meisten Audit-Logs zu finden. Bei diesen Arten von Bedrohungen legen Sie anhand der von Ihnen verwendeten Produkte und Dienste fest, welche Logs Sie aktivieren müssen.
In der folgenden Tabelle sind bestimmte Protokolle aufgeführt, die Sie aktivieren können, sowie die Arten von Bedrohungen, die erkannt werden können.
| Log type | Threats detected | Configuration required |
|---|---|---|
| Cloud DNS logging |
Log4j Malware: Bad Domain Malware: bad domain Malware: Cryptomining Bad Domain |
Turn on Cloud DNS logging |
| Cloud NAT logging |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Turn on Cloud NAT logging
See also Logs for network detection of malware. |
| Firewall Rules Logging |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Turn on Firewall Rules Logging
See also Logs for network detection of malware. |
| Google Kubernetes Engine (GKE) Data Access audit logs |
Discovery: Can get sensitive Kubernetes object check Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Activate Logging Data Access audit logs for GKE |
| Google Workspace Admin Audit logs |
Persistence: SSO Enablement Toggle Persistence: SSO Settings Changed Persistence: Strong Authentication Disabled Persistence: Two Step Verification Disabled Privilege Escalation: Privileged Group Opened To Public |
Share Google Workspace Admin Audit logs with Cloud Logging This log type can't be scanned in project-level activations. |
| Google Workspace Login Audit logs |
Credential Access: External Member Added To Privileged Group Initial Access: Account Disabled Hijacked Initial Access: Disabled Password Leak Initial Access: Government Based Attack Initial Access: Suspicious Login Blocked Persistence: Two Step Verification Disabled |
Share Google Workspace Login Audit logs with Cloud Logging This log type can't be scanned in project-level activations. |
| External Application Load Balancer backend service logs | Initial Access: Log4j Compromise Attempt | Turn on external Application Load Balancer logging |
| Cloud SQL MySQL Data Access audit logs |
Exfiltration: Cloud SQL Data Exfiltration Initial Access: CloudDB Successful login from Anonymizing Proxy IP Credential Access: CloudDB Failed login from Anonymizing Proxy IP |
Activate Logging Data Access audit logs for Cloud SQL for MySQL |
| Cloud SQL PostgreSQL Data Access audit logs |
Exfiltration: Cloud SQL Data Exfiltration Exfiltration: Cloud SQL Over-Privileged Grant Initial Access: CloudDB Successful login from Anonymizing Proxy IP Credential Access: CloudDB Failed login from Anonymizing Proxy IP |
|
| AlloyDB for PostgreSQL Data Access audit logs |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables Privilege Escalation: AlloyDB Over-Privileged Grant Initial Access: CloudDB Successful login from Anonymizing Proxy IP Credential Access: CloudDB Failed login from Anonymizing Proxy IP |
|
| IAM Data Access audit logs | Discovery: Service Account Self-Investigation | Activate Logging Data Access audit logs for Resource Manager |
| SQL Server Data Access audit logs | Exfiltration: Cloud SQL Data Exfiltration | Activate Logging Data Access audit logs for Cloud SQL for SQL Server |
| Generic Data Access audit logs |
Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Activate Logging Data Access audit logs. |
| authlogs/authlog on virtual machines | Brute force SSH | Install the Ops Agent or the legacy Logging agent on your VM hosts |
| VPC Flow Logs |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Turn on VPC Flow Logs
See also Logs for network detection of malware. |
Logs, die immer aktiviert sind
In der folgenden Tabelle sind die Cloud Logging-Logs aufgeführt, die Sie nicht aktivieren oder konfigurieren müssen. Diese Logs sind immer aktiviert und Event Threat Detection scannt sie automatisch.
| Logtyp | Erkannte Bedrohungen | Konfiguration erforderlich |
|---|---|---|
| Datenzugriffs-Logs für BigQueryAuditMetadata |
Exfiltration: BigQuery-Daten-Exfiltration Exfiltration: BigQuery-Datenextraktion Exfiltration: BigQuery-Daten in Google Drive Exfiltration: Move to Public BigQuery resource (Vorschau) |
Keine |
| Google Kubernetes Engine (GKE) Admin Activity-Audit-Logs |
Zugriff auf Anmeldedaten: Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) konnte nicht genehmigt werden Zugriff auf Anmeldedaten: Manuell genehmigte Kubernetes-Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) (Vorschau) Defense Evasion: Anonymous Sessions Granted Cluster Admin Access Defense Evasion: Manually Deleted Certificate Signing Request (CSR) Umgehung von Abwehrmaßnahmen: Mögliches Kubernetes-Pod-Masquerading Umgehung von Abwehrmaßnahmen: Statischer Pod erstellt Ausführung: Äußerst leistungsfähiger GKE-Container wird gestartet (Vorschau) Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt Ausführung: Verdächtiges Ausführen oder Anhängen an einen System-Pod (Vorschau) Ausführung: Arbeitslast in sensiblem Namespace ausgelöst Auswirkung: GKE-kube-dns-Änderung erkannt (Vorschau) Auswirkung: Verdächtige Kubernetes-Containernamen – Mining von Kryptowährungen Anfänglicher Zugriff: Anonyme GKE-Ressource, die über das Internet erstellt wurde (Vorschau) Anfänglicher Zugriff: GKE-NodePort-Dienst erstellt Anfänglicher Zugriff: GKE-Ressource, die anonym über das Internet geändert wurde (Vorschau) Erster Zugriff: Erfolgreicher API-Aufruf über eine TOR-Proxy-IP-Adresse Persistenz: GKE-Webhook-Konfiguration erkannt Persistenz: Dienstkonto in sensiblem Namespace erstellt Rechteausweitung: Änderungen an vertraulichen Kubernetes-RBAC-Objekten Rechteausweitung: ClusterRole mit privilegierten Verben (Vorschau) Rechteausweitung: ClusterRoleBinding für privilegierte Rolle Rechteausweitung: Erstellen einer Kubernetes-CSR für Masterzertifikat Rechteausweitung: Erstellen vertraulicher Kubernetes-Bindungen Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access Rechteausweitung: Start eines privilegierten Kubernetes-Containers Rechteausweitung: Verdächtige Kubernetes-Containernamen – Ausnutzung und Escape (Vorschau) Rechteausweitung: Arbeitslast mit sensibler Hostpfadbereitstellung erstellt (Vorschau) Rechteausweitung: Arbeitslast mit aktiviertem „shareProcessNamespace“ (Vorschau) |
Keine |
| IAM Admin Activity-Audit-Logs |
Persistenz: Ungewöhnliche IAM-Gewährung (Vorschau) Persistenz: Sensible Rolle für nicht verwaltetes Konto gewährt Rechteausweitung: Standarddienstkonto für Compute Engine SetIAMPolicy Berechtigungseskalierung: Inaktives Dienstkonto mit vertraulicher Rolle Berechtigungseskalierung: Rolle „Impersonation“ für inaktives Dienstkonto gewährt Rechteausweitung: Sensible Rolle der Hybridgruppe gewährt |
Keine |
| MySQL-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Keine |
| PostgreSQL-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Keine |
| SQL Server-Administratoraktivitätslogs | Exfiltration: Wiederherstellung von Cloud SQL-Sicherung in externer Organisation | Keine |
| Allgemeine Audit-Logs zur Administratoraktivität |
Umgehung von Abwehrmaßnahmen: Filterung der IP-Adressen von GCS-Buckets geändert Umgehung von Abwehrmaßnahmen: HTTP-Richtlinienblockierung des Projekts deaktiviert Anfänglicher Zugriff: Aktion über inaktives Dienstkonto Anfänglicher Zugriff: Keine Dienstkontoaktivität im KI-Dienst Anfänglicher Zugriff: Inaktiver Dienstkontoschlüssel erstellt Erstzugriff: Abgelehnte Aktionen aufgrund übermäßiger Berechtigungen Erstzugriff: Gehackter Dienstkontoschlüssel verwendet Lateral Movement: Geändertes Bootlaufwerk an Instanz angehängt (Vorschau) Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt Persistenz: GCE-Administrator hat Startskript hinzugefügt Persistenz: Neue KI-API-Methode Persistenz: Neue API-Methode Persistenz: Neue Region Persistenz: Neue geografische Region für KI-Dienst Persistenz: Neuer User-Agent Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos für Administratoraktivitäten Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für Administratoraktivitäten Berechtigungseskalierung: Anomale mehrstufige Dienstkontodelegierung für KI-Administratoraktivitäten Berechtigungseskalierung: Anomale Dienstkonto-Identitätsübernahme für Administratoraktivitäten Berechtigungseskalierung: Anomale Identitätsübernahme des Dienstkontos bei KI-Administratoraktivität |
Keine |
| Audit-Logs von VPC Service Controls | Defense Evasion: VPC Service Control modifizieren (Vorschau) | Keine |
| Audit-Logs zur Administratoraktivität für Sicherung und Notfallwiederherstellung |
Auswirkung: Alle Images in Google Cloud Backup and DR laufen ab Auswirkungen: Gelöschte Google Cloud Backup and DR-Sicherung Auswirkung: Google Cloud-Sicherungs- und Notfallwiederherstellungshost wurde gelöscht Auswirkung: Verknüpfung des Google Cloud Backup & DR-Plans gelöscht Auswirkungen: Gelöschter Google Cloud Backup and DR-Vault Auswirkungen: Google Cloud Backup and DR delete policy Auswirkungen: Google Cloud Backup and DR, Profil löschen Auswirkungen: Google Cloud Backup and DR delete template Auswirkungen: Google Cloud Backup and DR expire image Auswirkung: Ablauf von Sicherungen in Google Cloud Backup & DR verkürzen Auswirkung: Häufigkeit von Sicherungen mit Google Cloud Backup and DR verringern Auswirkung: Google Cloud Backup & DR, Appliance entfernen Auswirkungen: Google Cloud Backup & DR: Plan entfernen Systemwiederherstellung verhindern: Google Cloud Backup and DR löscht Speicherpool |
Keine |
| Audit-Logs zu IAM-Systemereignissen |
Ausführung: Docker-Image für Cryptomining Auswirkungen: Cryptomining-Befehle |
Keine |
Nächste Schritte
- Weitere Informationen zur Verwendung von Event Threat Detection
- Bedrohungen untersuchen und Reaktionspläne entwickeln