סקירה כללית של Event Threat Detection

מה זה Event Threat Detection?

‫Event Threat Detection הוא שירות מובנה במהדורת Security Command Center Premium, שמנטר באופן רציף את הארגון או הפרויקטים שלכם ומזהה איומים במערכות שלכם כמעט בזמן אמת. התכונה Event Threat Detection מתעדכנת באופן קבוע עם גלאים חדשים כדי לזהות איומים מתפתחים בהיקף של הענן.

איך פועלת התכונה Event Threat Detection

הכלי Event Threat Detection עוקב אחרי הזרם של Cloud Logging בארגון או בפרויקטים שלכם. אם מפעילים את רמת Premium של Security Command Center ברמת הארגון, Event Threat Detection צורך יומנים של הפרויקטים שלכם כשהם נוצרים, ו-Event Threat Detection יכול לעקוב אחרי יומנים של Google Workspace. ‫Cloud Logging מכיל רשומות ביומן של קריאות ל-API ופעולות אחרות שיוצרות, קוראות או משנות את ההגדרות או את המטא-נתונים של המשאבים. ב-Google Workspace, היומנים עוקבים אחרי הכניסות של משתמשים לדומיין ומספקים רשומה של פעולות שבוצעו במסוף Google Workspace Admin.

רשומות ביומן מכילות מידע על סטטוס ואירועים, שמשמש את Event Threat Detection לזיהוי מהיר של איומים. התכונה Event Threat Detection מפעילה לוגיקה של זיהוי ומודיעין איומי סייבר קנייני, כולל התאמה של אינדיקטורים של מלכודות, יצירת פרופילים עם חלונות, יצירת פרופילים מתקדמים, למידת מכונה וזיהוי חריגות, כדי לזהות איומים כמעט בזמן אמת.

כש-Event Threat Detection מזהה איום, הוא כותב ממצא ב-Security Command Center. אם מפעילים את המסלול Security Command Center Premium ברמת הארגון, ‏ Security Command Center יכול לכתוב ממצאים לפרויקט Cloud Logging. מ-Cloud Logging ומרישום ביומן של Google Workspace, אפשר לייצא ממצאים למערכות אחרות באמצעות Pub/Sub ולעבד אותם באמצעות פונקציות Cloud Run.

אם מפעילים את המסלול Security Command Center Premium ברמת הארגון, אפשר גם להשתמש ב-Google Security Operations כדי לחקור חלק מהממצאים. ‫Google SecOps הוא Google Cloud שירות שמאפשר לחקור איומים ולעבור בין ישויות קשורות בציר זמן מאוחד. הוראות לשליחת ממצאים ל-Google SecOps מפורטות במאמר בדיקת ממצאים ב-Google SecOps.

היכולת שלכם לצפות בממצאים וביומנים ולערוך אותם נקבעת לפי התפקידים שקיבלתם בניהול הזהויות והרשאות הגישה (IAM). מידע נוסף על תפקידי IAM ב-Security Command Center זמין במאמר בקרת גישה.

כללים של Event Threat Detection

הכללים מגדירים את סוגי האיומים ש-Event Threat Detection מזהה ואת סוגי היומנים שצריך להפעיל כדי שהגלאים יפעלו. יומני הביקורת של פעילות אדמין תמיד נכתבים, ואי אפשר להגדיר או להשבית אותם.

התכונה Event Threat Detection כוללת את כללי ברירת המחדל הבאים:

השם המוצג שם ה-API סוגים של מקורות יומנים תיאור
סריקה פעילה: Log4j חשוף ל-RCE לא זמין יומנים של Cloud DNS סורקי נקודות חולשה של Log4j יזמו וזיהו שאילתות DNS לדומיינים לא מוצפנים. נקודת התורפה הזו עלולה להוביל להרצת קוד מרחוק (RCE). כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
השפעה: מארח שנמחק ב-Google Cloud Backup and DR BACKUP_HOSTS_DELETE_HOST יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין בשירות Backup and DR 		מארח נמחק ממסוף הניהול של Backup and DR. יכול להיות שאפליקציות שמשויכות למארח שנמחק לא יהיו מוגנות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: תמונת Google Cloud Backup and DR תפוג BACKUP_EXPIRE_IMAGE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		משתמש ביקש למחוק תמונת גיבוי ממסוף הניהול של Backup and DR. מחיקה של תמונת גיבוי לא מונעת גיבויים עתידיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
השפעה: הסרת תוכנית Backup and DR ב-Google Cloud BACKUP_REMOVE_PLAN יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		תוכנית גיבוי עם כמה מדיניות לאפליקציה נמחקה מ-Backup and DR. מחיקה של תוכנית גיבוי יכולה למנוע גיבויים עתידיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
השפעה: כל התמונות ב-Google Cloud Backup and DR יפוגו BACKUP_EXPIRE_IMAGES_ALL יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		משתמש ביקש למחוק את כל תמונות הגיבוי של אפליקציה מוגנת ממסוף הניהול של Backup and DR. מחיקה של תמונות מהגיבוי לא מונעת גיבויים עתידיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
השפעה: מחיקת תבנית של Google Cloud Backup and DR BACKUP_TEMPLATES_DELETE_TEMPLATE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		תבנית גיבוי שהוגדרה מראש, שמשמשת להגדרת גיבויים לכמה אפליקציות, נמחקה ממסוף הניהול של Backup and DR. יכול להיות שבעתיד לא תהיה אפשרות להגדיר גיבויים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
השפעה: מדיניות המחיקה של Google Cloud Backup and DR BACKUP_TEMPLATES_DELETE_POLICY יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		מדיניות של Backup and DR, שמגדירה איך מתבצע גיבוי ואיפה הוא מאוחסן, נמחקה ממסוף הניהול של Backup and DR. יכול להיות שגיבויים עתידיים שמתבצעים בהתאם למדיניות ייכשלו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: מחיקת פרופיל ב-Google Cloud Backup and DR BACKUP_PROFILES_DELETE_PROFILE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		פרופיל Backup and DR, שמגדיר באילו מאגרי אחסון צריך להשתמש כדי לאחסן גיבויים, נמחק ממסוף הניהול של Backup and DR. יכול להיות שגיבויים עתידיים שישתמשו בפרופיל ייכשלו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: הסרת מכשיר Google Cloud Backup and DR BACKUP_APPLIANCES_REMOVE_APPLIANCE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		מכונת גיבוי נמחקה ממסוף הניהול של Backup and DR. יכול להיות שאפליקציות שמשויכות למכשיר הגיבוי שנמחק לא יהיו מוגנות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
השפעה: מאגר האחסון יימחק ב-Google Cloud Backup and DR BACKUP_STORAGE_POOLS_DELETE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		מאגר אחסון, שמקשר קטגוריה של Cloud Storage ל-Backup and DR, הוסר ממסוף הניהול של Backup and DR. גיבויים עתידיים ליעד האחסון הזה ייכשלו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: קיצור תוקף הגיבוי ב-Google Cloud Backup and DR BACKUP_REDUCE_BACKUP_EXPIRATION יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		תאריך התפוגה של גיבוי שמוגן על ידי Backup and DR קוצר דרך מסוף הניהול של Backup and DR. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: Google Cloud Backup and DR הפחיתו את תדירות הגיבוי BACKUP_REDUCE_BACKUP_FREQUENCY יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		לוח הזמנים של הגיבוי ב-Backup and DR שונה כדי להפחית את תדירות הגיבוי דרך מסוף הניהול של Backup and DR. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
ההשפעה: כספת ה-Backup and DR של Google Cloud נמחקה BACKUP_DELETE_VAULT יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		כספת גיבוי נמחקה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
ההשפעה: גיבוי שנמחק ב-Google Cloud Backup and DR BACKUP_DELETE_VAULT_BACKUP יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		גיבוי שמאוחסן בכספת גיבויים נמחק באופן ידני. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
השפעה: שיוך תוכנית Backup and DR ב-Google Cloud נמחק BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Backup and DR 		תוכנית גיבוי מ-Backup and DR הוסרה מעומס עבודה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
מתקפת Brute Force על SSH BRUTE_FORCE_SSH authlog שחקן השיג גישת SSH למארח באמצעות טכניקות של ניסוי וטעייה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
Cloud IDS: THREAT_IDENTIFIER CLOUD_IDS_THREAT_ACTIVITY יומנים של Cloud IDS

Cloud IDS זיהה אירועי איומים.

‫Cloud IDS מזהה מתקפות בשכבה 7 על ידי ניתוח של מנות משוכפלות, וכשמזוהה אירוע איום, הוא שולח ממצא מסוג איום ל-Security Command Center. ממצא שמות הקטגוריות מתחילים ב-Cloud IDS ואחריהם מזהה האיום של Cloud IDS.

השילוב של Cloud IDS עם Event Threat Detection לא כולל זיהוי פגיעויות ב-Cloud IDS. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

למידע נוסף על זיהויים ב-Cloud IDS

העלאת רמת הרשאה: משתמש חיצוני נוסף לקבוצה עם הרשאות מיוחדות EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP יומנים של Google Workspace:
ביקורת על התחברות
הרשאות:
DATA_READ

משתמש חיצוני נוסף לקבוצת Google עם הרשאות מיוחדות (קבוצה שקיבלה תפקידים או הרשאות רגישים). התוצאה נוצרת רק אם הקבוצה לא כוללת כבר חברים חיצוניים אחרים מאותו ארגון של החבר החדש שנוסף. מידע נוסף זמין במאמר בנושא שינויים לא בטוחים בקבוצות Google.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. הממצאים מסווגים כחמורים (High) או כבינוניים (Medium), בהתאם לרגישות של התפקידים שמשויכים לשינוי בקבוצה. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

הסלמת הרשאות: קבוצה עם הרשאות מיוחדות נפתחה לציבור PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Admin Audit
הרשאות:
DATA_READ

קבוצת Google עם הרשאות מיוחדות (קבוצה שקיבלה תפקידים או הרשאות רגישים) שונתה כך שהגישה אליה פתוחה לציבור הרחב. מידע נוסף זמין במאמר בנושא שינויים לא בטוחים בקבוצות Google.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. הממצאים מסווגים כחמורים (High) או כבינוניים (Medium), בהתאם לרגישות של התפקידים שמשויכים לשינוי בקבוצה. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

הסלמת הרשאות: תפקיד רגיש הוקצה לקבוצה היברידית SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM

תפקידים עם הרשאות רגישות הוענקו לקבוצת Google עם חברים חיצוניים. מידע נוסף זמין במאמר בנושא שינויים לא בטוחים בקבוצות Google.

הממצאים מסווגים לפי חומרת הבעיה: גבוהה או בינונית, בהתאם לרגישות של התפקידים שמשויכים לשינוי בקבוצה. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

התחמקות מהגנה: פריסת עומס עבודה של Breakglass נוצרה (תצוגה מקדימה) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE יומני ביקורת של Cloud:
יומני Admin Activity 		עומסי העבודה נפרסו באמצעות הדגל break-glass כדי לעקוף את אמצעי הבקרה של Binary Authorization. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: עדכון של פריסת עומס עבודה של Breakglass (תצוגה מקדימה) BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE יומני ביקורת של Cloud:
יומני Admin Activity 		עומסי העבודה עודכנו באמצעות הדגל break-glass כדי לעקוף את אמצעי הבקרה של Binary Authorization. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גילוי: ראיות לסריקת יציאות מ-Agent Engine (תצוגה מקדימה) AGENT_ENGINE_PORT_SCANNING_EVIDENCE Agent Engine Logs:
Agent Engine Logs 		סוכן AI שנפרס ב-Vertex AI Agent Engine הציג התנהגות של סריקת יציאות אופקית או אנכית. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גילוי: קריאה ל-API של חשבון שירות לא מורשה ב-Agent Engine (תצוגה מקדימה) AGENT_ENGINE_UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין 		חשבון שירות ביצע קריאה לא מורשית ל-API בפרויקט חיצוני באמצעות סוכן AI שנפרס ב-Vertex AI Agent Engine. התנהגות כזו יכולה להצביע על כך שמשתמש לא מורשה מנסה להשיג מידע על משאבים, להפעיל או להשבית שירותים או לבצע פעולות לא מורשות אחרות באמצעות Vertex AI Agent Engine. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: שינוי של סינון כתובות IP בדלי GCS GCS_BUCKET_IP_FILTERING_MODIFIED יומני ביקורת של Cloud:
יומני Admin Activity 		משתמש או חשבון שירות שינו את ההגדרה של סינון כתובות IP בקטגוריה של Cloud Storage. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: שינוי של VPC Service Control DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL יומני ביקורת של Cloud יומני ביקורת של VPC Service Controls

בוצע שינוי בהיקף קיים של VPC Service Controls, שיגרום לצמצום ההגנה שההיקף הזה מספק.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: חסימת מדיניות HTTP של הפרויקט הושבתה PROJECT_HTTP_POLICY_BLOCK_DISABLED יומני ביקורת של Cloud:
יומני Admin Activity 		משתמש או חשבון שירות הפעילו בהצלחה פעולה להשבתת storage.secureHttpTransport בפרויקט. זה נכון גם כשמבצעים את הפעולה ברמת הארגון או ברמת התיקייה, כי מדיניות שמוחלת ברמה הזו עוברת בירושה לפרויקטים צאצאים כברירת מחדל. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גילוי: חקירה עצמית של חשבון שירות של Agent Engine (תצוגה מקדימה) AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY יומני ביקורת של Cloud:
יומני ביקורת של גישה לנתונים ב-IAM
הרשאות:
DATA_READ

זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine שימשה לחקירת התפקידים וההרשאות שמשויכים לאותו חשבון שירות.

תפקידים רגישים

הממצאים מסווגים לפי רמת החומרה שלהם: גבוהה או בינונית, בהתאם לרגישות של התפקידים שהוענקו. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

Discovery: Can get sensitive Kubernetes object check GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT יומני ביקורת של Cloud:
יומני גישה לנתונים ב-GKE

גורם זדוני פוטנציאלי ניסה לקבוע אילו אובייקטים רגישים ב-GKE הוא יכול לשלוח להם שאילתות, באמצעות הפקודה kubectl auth can-i get. באופן ספציפי, הכלל מזהה אם השחקן בדק גישת API באובייקטים הבאים:

כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

גילוי: חקירה עצמית של חשבון שירות SERVICE_ACCOUNT_SELF_INVESTIGATION יומני ביקורת של Cloud:
יומני ביקורת של גישה לנתונים ב-IAM
הרשאות:
DATA_READ

נעשה שימוש בפרטי כניסה של חשבון שירות ב-IAM כדי לבדוק את התפקידים וההרשאות שמשויכים לאותו חשבון שירות.

תפקידים רגישים

הממצאים מסווגים לפי רמת החומרה שלהם: גבוהה או בינונית, בהתאם לרגישות של התפקידים שהוענקו. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

גישה לפרטי כניסה: גישה חריגה של Agent Engine לשירות מטא-נתונים (תצוגה מקדימה) AGENT_ENGINE_ANOMALOUS_ACCESS_TO_METADATA_SERVICE Agent Engine Logs:
Agent Engine Logs 		סוכן AI שנפרס ב-Vertex AI Agent Engine אחזר אסימון של חשבון שירות משרת מטא-נתונים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות: גישה משרת proxy לאנונימיזציה ANOMALOUS_ACCESS יומני ביקורת של Cloud:
יומני Admin Activity 		שינויים בשירות Google Cloud בוצעו מכתובת IP שמשויכת לרשת Tor. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
זליגת נתונים: זליגת נתונים מ-BigQuery DATA_EXFILTRATION_BIG_QUERY Cloud Audit Logs: BigQueryAuditMetadata יומני גישה לנתונים
הרשאות:
DATA_READ

המערכת מזהה את התרחישים הבאים:

  • משאבים שבבעלות הארגון המוגן נשמרו מחוץ לארגון, כולל פעולות העתקה או העברה.

    התרחיש הזה מסומן על ידי כלל משנה של exfil_to_external_table וברמת חומרה גבוהה.

  • נעשו ניסיונות לגשת למשאבי BigQuery שמוגנים על ידי VPC Service Controls.

    התרחיש הזה מסומן על ידי כלל משנה של vpc_perimeter_violation עם חומרה נמוכה.

העברה לא מורשית: חילוץ נתונים מ-BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Cloud Audit Logs: יומני גישה לנתונים של BigQueryAuditMetadata
הרשאות:
DATA_READ

המערכת מזהה את התרחישים הבאים:

  • משאב BigQuery שבבעלות הארגון נשמר, באמצעות פעולות חילוץ, בקטגוריה של Cloud Storage מחוץ לארגון.
  • משאב BigQuery בבעלות הארגון המוגן נשמר, באמצעות פעולות חילוץ, בקטגוריה של Cloud Storage שנגישה לציבור ובבעלות הארגון.

אם הפעלתם את Security Command Center Premium ברמת הפרויקט, הממצא הזה זמין רק אם מסלול Standard-legacy מופעל בארגון האב. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העברת נתונים לא מורשית: העברת נתונים לא מורשית מ-BigQuery שבוצעה על ידי Agent Engine (גרסת Preview) AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE 		Cloud Audit Logs: BigQueryAuditMetadata יומני גישה לנתונים הרשאות:
DATA_READ

זיהוי של התרחישים הבאים של גניבת נתונים מ-BigQuery שהופעלה על ידי סוכן שנפרס ב-Vertex AI Agent Engine:

  • משאבים שבבעלות הארגון המוגן נשמרו מחוץ לארגון, כולל פעולות העתקה או העברה.

    התרחיש הזה תואם לסוג הממצא AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE ורמת החומרה שלו היא גבוהה.

  • נעשו ניסיונות לגשת למשאבי BigQuery שמוגנים על ידי VPC Service Controls.

    התרחיש הזה תואם לסוג הממצא AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION ורמת החומרה שלו היא נמוכה.

העברה לא מורשית: העברה לא מורשית של CloudSQL שהופעלה על ידי Agent Engine (תצוגה מקדימה) AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS 		יומני ביקורת של Cloud: יומני גישה לנתונים של MySQL
יומני גישה לנתונים של PostgreSQL
יומני גישה לנתונים של SQL Server

זיהוי התרחישים הבאים של העברת נתונים מ-Cloud SQL ללא אישור, שמתבצעת על ידי סוכן שפריסתו בוצעה ב-Vertex AI Agent Engine:

  • נתונים של מופע פעיל יוצאו לקטגוריה של Cloud Storage מחוץ לארגון.
  • נתונים של מופע פעיל יוצאו לקטגוריה של Cloud Storage שבבעלות הארגון ונגישה באופן ציבורי.

אם הפעלתם את Security Command Center Premium ברמת הפרויקט, הממצא הזה זמין רק אם מסלול Standard-legacy מופעל בארגון האב. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

העברת נתונים לא מורשית: חילוץ נתונים מ-BigQuery שהופעל על ידי Agent Engine (גרסת Preview) AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE Cloud Audit Logs: BigQueryAuditMetadata יומני גישה לנתונים הרשאות:
DATA_READ

מזהה את התרחישים הבאים של חילוץ נתונים מ-BigQuery שהופעל על ידי סוכן שפרסתם ב-Vertex AI Agent Engine:

  • משאב BigQuery בבעלות הארגון המוגן נשמר באמצעות פעולות חילוץ בקטגוריה של Cloud Storage מחוץ לארגון.
  • משאב BigQuery בבעלות הארגון המוגן נשמר, באמצעות פעולות חילוץ, בקטגוריה של Cloud Storage שנגישה לציבור ובבעלות הארגון.

אם הפעלתם את Security Command Center Premium ברמת הפרויקט, הממצא הזה זמין רק אם מסלול Standard-legacy מופעל בארגון האב. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העברה לא מורשית: נתונים מ-BigQuery ל-Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Cloud Audit Logs: BigQueryAuditMetadata יומני גישה לנתונים
הרשאות:
DATA_READ 		משאב BigQuery שבבעלות הארגון המוגן נשמר בתיקייה ב-Google Drive באמצעות פעולות חילוץ. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העברה לא מורשית: מעבר למשאב ציבורי ב-BigQuery DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE Cloud Audit Logs: BigQueryAuditMetadata יומני גישה לנתונים
הרשאות:
DATA_READ

משאב BigQuery נשמר במשאב ציבורי שנמצא בבעלות הארגון. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
זליגת נתונים: זליגת נתונים מ-Cloud SQL CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS 		יומני ביקורת של Cloud: יומני גישה לנתונים של MySQL
יומני גישה לנתונים של PostgreSQL
יומני גישה לנתונים של SQL Server

המערכת מזהה את התרחישים הבאים:

  • נתונים של מופע פעיל יוצאו לקטגוריה של Cloud Storage מחוץ לארגון.
  • נתונים של מופע פעיל יוצאו לקטגוריה של Cloud Storage שבבעלות הארגון ונגישה באופן ציבורי.

אם הפעלתם את Security Command Center Premium ברמת הפרויקט, הממצא הזה זמין רק אם מסלול Standard-legacy מופעל בארגון האב. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

העברה לא מורשית: שחזור גיבוי של Cloud SQL לארגון חיצוני CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE יומני ביקורת של Cloud: יומני פעילות של אדמין ב-MySQL
יומני פעילות של אדמין ב-PostgreSQL
יומני פעילות של אדמין ב-SQL Server

הגיבוי של מופע Cloud SQL שוחזר למופע מחוץ לארגון. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

העברה לא מורשית: הענקת הרשאות יתר ב-Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: יומני גישה לנתונים ב-PostgreSQL
הערה: כדי להשתמש בכלל הזה, צריך להפעיל את התוסף pgAudit. 		למשתמש או לתפקיד ב-Cloud SQL ל-PostgreSQL הוענקו כל ההרשאות למסד נתונים, או לכל הטבלאות, הפרוצדורות או הפונקציות בסכימה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: משתמש סופר-אדמין במסד נתונים כותב לטבלאות משתמשים CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: יומני גישה לנתונים ב-Cloud SQL ל-PostgreSQL
יומני גישה לנתונים ב-Cloud SQL ל-MySQL
הערה: כדי להשתמש בכלל הזה, צריך להפעיל את התוסף pgAudit ל-PostgreSQL או ביקורת מסד נתונים ל-MySQL. 		משתמש-על ב-Cloud SQL (postgres בשרתי PostgreSQL או root במשתמשי MySQL) כתב לטבלאות שאינן מערכתיות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות: מתן הרשאות יתר ב-AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Cloud Audit Logs: יומני גישה לנתונים ב-AlloyDB ל-PostgreSQL
הערה: כדי להשתמש בכלל הזה, צריך להפעיל את התוסף pgAudit. 		למשתמש או לתפקיד ב-AlloyDB ל-PostgreSQL הוענקו כל ההרשאות למסד נתונים, או לכל הטבלאות, הפרוצדורות או הפונקציות בסכימה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת הרשאות: משתמש על במסד נתונים של AlloyDB כותב לטבלאות משתמשים ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Cloud Audit Logs: יומני גישה לנתונים ב-AlloyDB ל-PostgreSQL
הערה: כדי להשתמש בכלל הזה, צריך להפעיל את התוסף pgAudit. 		משתמש על (postgres) ב-AlloyDB ל-PostgreSQL כתב לטבלאות שאינן מערכתיות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: פעולות שנדחו בגלל הרשאה מוגזמת של זהות במנוע סוכנים (גרסת טרום-השקה (Preview)) AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT יומני ביקורת של Cloud: יומני Admin Activity זהות שמשויכת לסוכן AI שנפרס ב-Vertex AI Agent Engine הפעילה שוב ושוב שגיאות מסוג permission denied (ההרשאה נדחתה) בניסיון לבצע שינויים בכמה שיטות ושירותים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
גישה ראשונית: פעולה בחשבון שירות לא פעיל DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION יומני ביקורת של Cloud: יומני Admin Activity חשבון שירות שמנוהל על ידי משתמש לא פעיל הפעיל פעולה. בהקשר הזה, חשבון שירות נחשב רדום אם הוא לא היה פעיל במשך יותר מ-180 יום. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
העלאת רמת הרשאה: חשבון שירות רדום קיבל תפקיד רגיש DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE יומני ביקורת של Cloud: יומני ביקורת של פעילות אדמין ב-IAM

ל חשבון שירות שמנוהל על ידי משתמש במצב לא פעיל הוקצו תפקידים רגישים ב-IAM. בהקשר הזה, חשבון שירות נחשב רדום אם הוא לא היה פעיל במשך יותר מ-180 יום.

תפקידים רגישים

הממצאים מסווגים לפי רמת החומרה שלהם: גבוהה או בינונית, בהתאם לרגישות של התפקידים שהוענקו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

העלאת רמת ההרשאה: תפקיד התחזות הוענק לחשבון שירות לא פעיל DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED יומני ביקורת של Cloud: יומני ביקורת של פעילות אדמין ב-IAM לחשבון משתמש הוענקו הרשאות להתחזות לחשבון שירות לא פעיל שמנוהל על ידי המשתמש. בהקשר הזה, חשבון שירות נחשב רדום אם הוא לא היה פעיל במשך יותר מ-180 יום. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
גישה ראשונית: נוצר מפתח לחשבון שירות לא פעיל DORMANT_SERVICE_ACCOUNT_KEY_CREATED יומני ביקורת של Cloud: יומני Admin Activity נוצר מפתח עבור חשבון שירות לא פעיל שמנוהל על ידי משתמש. בהקשר הזה, חשבון שירות נחשב רדום אם הוא לא היה פעיל במשך יותר מ-180 ימים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
גישה ראשונית: נעשה שימוש במפתח של חשבון שירות שדלף LEAKED_SA_KEY_USED יומני ביקורת של Cloud: יומני פעילות של אדמין
יומני גישה לנתונים 		נעשה שימוש במפתח של חשבון שירות שדלף כדי לאמת את הפעולה. במקרה הזה, מפתח של חשבון שירות שנחשף הוא מפתח שפורסם באינטרנט הציבורי. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
גישה ראשונית: פעולות שנדחו בגלל הרשאות מוגזמות EXCESSIVE_FAILED_ATTEMPT יומני ביקורת של Cloud: יומני Admin Activity גורם ראשי הפעיל שוב ושוב שגיאות מסוג permission denied בניסיון לבצע שינויים בכמה שיטות ושירותים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
התמדה: אימות חזק מושבת ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Admin Audit

האימות הדו-שלבי הושבת בארגון.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
התמדה: האימות הדו-שלבי מושבת 2SV_DISABLE יומנים של Google Workspace:
ביקורת על התחברות
הרשאות:
DATA_READ

משתמש השבית את האימות הדו-שלבי.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: חשבון מושבת שנפרץ ACCOUNT_DISABLED_HIJACKED יומנים של Google Workspace:
ביקורת על התחברות
הרשאות:
DATA_READ

החשבון של משתמש הושעה בגלל פעילות חשודה.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
גישה ראשונית: השבתת זיהוי של דליפת סיסמה ACCOUNT_DISABLED_PASSWORD_LEAK יומנים של Google Workspace:
ביקורת על התחברות
הרשאות:
DATA_READ

החשבון של משתמש הושבת כי זוהה דליפת סיסמה.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: מתקפה מטעם גורם ממשלתי GOV_ATTACK_WARNING יומנים של Google Workspace:
ביקורת על התחברות
הרשאות:
DATA_READ

יכול להיות שתוקפים בגיבוי גורם ממשלתי ניסו לפרוץ לחשבון משתמש או למחשב.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
גישה ראשונית: ניסיון פריצה באמצעות Log4j לא זמין יומנים של Cloud Load Balancing:
מאזן עומסים של HTTP ב-Cloud
הערה: כדי להשתמש בכלל הזה, צריך להפעיל את הרישום ביומן של מאזן עומסים חיצוני של אפליקציות (ALB).

זוהו חיפושים של Java Naming and Directory Interface‏ (JNDI) בכותרות או בפרמטרים של כתובות URL. חיפושים כאלה עשויים להצביע על ניסיונות ניצול של Log4Shell. החומרה של הממצאים האלה נמוכה, כי הם מצביעים רק על ניסיון זיהוי או ניסיון ניצול, ולא על פגיעות או על פשרה.

הכלל הזה תמיד מופעל. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: נחסמה התחברות חשודה SUSPICIOUS_LOGIN יומנים של Google Workspace:
ביקורת על התחברות
הרשאות:
DATA_READ

זוהתה התחברות חשודה לחשבון של משתמש והיא נחסמה.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תוכנה זדונית Log4j: דומיין לא תקין LOG4J_BAD_DOMAIN יומנים של Cloud DNS תעבורת נתונים של ניצול לרעה של Log4j זוהתה על סמך חיבור לדומיין מוכר שמשמש להתקפות Log4j או על סמך חיפוש של דומיין כזה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תוכנות זדוניות מסוג Log4j: כתובת IP בעייתית LOG4J_BAD_IP יומנים לתיעוד מידע על תעבורת ה-IP של ענן וירטואלי פרטי (VPC)
יומנים של כללי חומת אש
יומנים של Cloud NAT		 זוהתה תעבורת נתונים של ניצול לרעה של Log4j על סמך חיבור לכתובת IP מוכרת שמשמשת במתקפות Log4j. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תוכנה זדונית: דומיין לא תקין MALWARE_BAD_DOMAIN יומנים של Cloud DNS זוהתה תוכנה זדונית על סמך חיבור לדומיין בעייתי מוכר או חיפוש שלו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תוכנה זדונית: כתובת IP לא תקינה MALWARE_BAD_IP יומנים לתיעוד מידע על תעבורת ה-IP של ענן וירטואלי פרטי (VPC)
יומנים של כללי חומת אש
יומנים של Cloud NAT 		זוהתה תוכנה זדונית על סמך חיבור לכתובת IP ידועה שמשמשת למטרות זדוניות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תוכנה זדונית: דומיין רע לכריית מטבעות וירטואליים CRYPTOMINING_POOL_DOMAIN יומנים של Cloud DNS התגלתה כריית מטבע וירטואלי על סמך חיבור לדומיין כרייה ידוע או חיפוש שלו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תוכנה זדונית: כתובת IP של כריית מטבעות וירטואליים CRYPTOMINING_POOL_IP יומנים לתיעוד מידע על תעבורת ה-IP של ענן וירטואלי פרטי (VPC)
יומנים של כללי חומת אש
יומנים של Cloud NAT 		כריית מטבע וירטואלי זוהתה על סמך חיבור לכתובת IP ידועה של כרייה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התמדה: אדמין ב-GCE הוסיף מפתח SSH GCE_ADMIN_ADD_SSH_KEY יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Compute Engine 		הערך של מפתח ה-SSH במטא-נתונים של מכונת Compute Engine שונה במכונה קיימת (בת יותר משבוע). כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התמדה: אדמין ב-GCE הוסיף סקריפט הפעלה GCE_ADMIN_ADD_STARTUP_SCRIPT יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Compute Engine 		הערך של סקריפט לטעינה בזמן ההפעלה של מטא-נתונים של מכונת Compute Engine שונה במכונה קיימת (בת יותר משבוע). כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התמדה: מתן הרשאות חריגות ב-IAM IAM_ANOMALOUS_GRANT יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM

הממצא הזה כולל כללי משנה שמספקים מידע ספציפי יותר על כל מופע של הממצא הזה.

הרשימה הבאה מציגה את כל כללי המשנה האפשריים:

  • external_service_account_added_to_policy, external_member_added_to_policy: הרשאות ניתנו למשתמשי IAM ולחשבונות שירות שלא שייכים לארגון שלכם, או אם Security Command Center מופעל ברמת הפרויקט בלבד, לפרויקט שלכם.

    הערה: אם Security Command Center מופעל ברמת הארגון בכל רמה, הגלאי הזה משתמש במדיניות IAM קיימת של הארגון כהקשר. אם הפעלתם את Security Command Center רק ברמת הפרויקט, הגלאי משתמש רק במדיניות IAM של הפרויקט כהקשר.

    אם מתרחשת הענקת הרשאת IAM רגישה לחבר חיצוני, ויש פחות משלוש מדיניות IAM קיימות שדומות לה, הגלאי הזה יוצר ממצא.

    תפקידים רגישים

    הממצאים מסווגים כחמורים (High) או כבינוניים (Medium), בהתאם לרגישות של התפקידים שהוקצו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.

  • external_member_invited_to_policy: חבר חיצוני הוזמן כבעלים של הפרויקט דרך InsertProjectOwnershipInvite API.
  • custom_role_given_sensitive_permissions: ההרשאה setIAMPolicy נוספה לתפקיד בהתאמה אישית.
  • service_account_granted_sensitive_role_to_member: תפקידים עם הרשאות מיוחדות הוקצו לחברים דרך חשבון שירות. הכלל המשני הזה מופעל על ידי קבוצת משנה של תפקידים רגישים שכוללת רק תפקידים בסיסיים ב-IAM ותפקידים מסוימים של אחסון נתונים. מידע נוסף זמין במאמר תפקידים והרשאות רגישים ב-IAM.
  • policy_modified_by_default_compute_service_account: נעשה שימוש בחשבון שירות שמוגדר כברירת מחדל ב-Compute Engine כדי לשנות את הגדרות ה-IAM של הפרויקט.
התמדה: חשבון לא מנוהל קיבל תפקיד עם הרשאות רגישות (תצוגה מקדימה) UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		תפקיד עם הרשאות רגישות הוקצה לחשבון לא מנוהל. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
שמירת נתונים: שיטה חדשה של API
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD יומני ביקורת של Cloud:
יומני Admin Activity 		חשבונות שירות ב-IAM השתמשו בגישה חריגה לשירותים Google Cloud . כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התמדה: מיקום גיאוגרפי חדש IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION יומני ביקורת של Cloud:
יומני Admin Activity

משתמשים בחשבונות שירות ב-IAM שניגשו ממיקומים חריגים, על סמך המיקום הגיאוגרפי של כתובות ה-IP שמהן נשלחו הבקשות. Google Cloud

הממצא הזה לא זמין להפעלות ברמת הפרויקט, והוא מסווג כחומרה נמוכה כברירת מחדל.

התמדה: סוכן משתמש חדש IAM_ANOMALOUS_BEHAVIOR_USER_AGENT יומני ביקורת של Cloud:
יומני Admin Activity

גישה לחשבונות שירות ב-IAM Google Cloud מסוכני משתמש חריגים או חשודים.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התמדה: שינוי המצב של 'הפעלה של SSO' TOGGLE_SSO_ENABLED Google Workspace:
Admin Audit

ההגדרה 'הפעלת כניסה יחידה (SSO)' בחשבון האדמין הושבתה.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
התמדה: הגדרות ה-SSO השתנו CHANGE_SSO_SETTINGS Google Workspace:
Admin Audit

ההגדרות של ה-SSO בחשבון האדמין השתנו.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
העלאת רמת הרשאה: התחזות חריגה לחשבון שירות לצורך פעילות אדמין ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY יומני ביקורת של Cloud:
יומני Admin Activity 		בוצעה פעילות אדמיניסטרטיבית באמצעות חשבון שירות שבוצעה אליו התחזות, שיכול להיות שהוא חריג. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת ההרשאה: העברה חריגה של הרשאות לחשבון שירות רב-שלבי לפעילות אדמין ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY יומני ביקורת של Cloud:
יומני Admin Activity 		זוהתה בקשה חריגה עם כמה שלבים שהוקצתה לפעילות אדמין. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת ההרשאות: העברה חריגה של הרשאות לחשבון שירות עם כמה שלבים לגישה לנתונים ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS יומני ביקורת של Cloud:
יומני גישה לנתונים 		זוהתה בקשה חריגה עם כמה שלבים שהוקצתה לפעילות של גישה לנתונים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת הרשאה: התחזות חריגה לחשבון שירות לצורך פעילות אדמין ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY יומני ביקורת של Cloud:
יומני Admin Activity 		בוצעה פעילות אדמיניסטרטיבית באמצעות מתקשר או מתחזה שעלולים להיות אנומליים בשרשרת ההרשאות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
הסלמת הרשאות: התחזות חריגה לחשבון שירות לצורך גישה לנתונים ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS יומני ביקורת של Cloud:
יומני גישה לנתונים 		נעשה שימוש במתקשר או מתחזה שיש לו פוטנציאל להיות אנומלי בשרשרת העברת הרשאות, כדי לגשת לנתונים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
הסלמת הרשאות: שינויים באובייקטים רגישים של Kubernetes RBAC GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		כדי להשיג הרשאות גבוהות יותר, גורם זדוני פוטנציאלי ניסה לשנות אובייקט של בקרת גישה מבוססת-תפקידים (RBAC) מסוג ClusterRole, RoleBinding או ClusterRoleBinding של התפקיד הרגיש cluster-admin באמצעות בקשת PUT או PATCH. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות: יצירת בקשת חתימה על אישור (CSR) של Kubernetes לאישור הראשי GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		גורם זדוני פוטנציאלי יצר בקשת חתימה על אישור (CSR) של Kubernetes master, שמעניקה לו גישה cluster-admin. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
הסלמת הרשאות: יצירה של קשרי Kubernetes רגישים GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		כדי להרחיב את ההרשאות, גורם זדוני פוטנציאלי ניסה ליצור אובייקט חדש מסוג RoleBinding או ClusterRoleBinding עבור התפקיד cluster-admin. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות: קבלת בקשת חתימה על אישור (CSR) של Kubernetes עם פרטי כניסה פגומים של bootstrap GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS יומני ביקורת של Cloud:
יומני גישה לנתונים ב-GKE 		גורם זדוני פוטנציאלי שלח שאילתה לגבי בקשת חתימה על אישור (CSR) באמצעות הפקודה kubectl, תוך שימוש בפרטי כניסה של אתחול שנפרצו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
הסלמת הרשאות: הפעלה של קונטיינר Kubernetes עם הרשאות GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE

גורם זדוני פוטנציאלי יצר Pod שמכיל קונטיינרים עם הרשאות או קונטיינרים עם יכולות להסלמת הרשאות.

במאגר תגים עם הרשאות מיוחדות, השדה privileged מוגדר לערך true. אם למאגר יש יכולות הסלמת הרשאות, הערך של השדה allowPrivilegeEscalation הוא true. מידע נוסף זמין במאמר SecurityContext v1 core בתיעוד של Kubernetes. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

התמדה: נוצר מפתח לחשבון השירות SERVICE_ACCOUNT_KEY_CREATION יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		נוצר מפתח לחשבון השירות. מפתחות של חשבונות שירות הם פרטי כניסה לטווח ארוך שמגבירים את הסיכון לגישה לא מורשית למשאבים של Google Cloud. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות: נוסף סקריפט להשבתה גלובלית GLOBAL_SHUTDOWN_SCRIPT_ADDED יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		נוסף לפרויקט סקריפט גלובלי לכיבוי. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התמדה: נוסף סקריפט הפעלה גלובלי GLOBAL_STARTUP_SCRIPT_ADDED יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		נוסף לפרויקט סקריפט לטעינה בזמן ההפעלה גלובלי. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: נוסף התפקיד 'יצירת אסימונים בחשבון שירות' ברמת הארגון ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		התפקיד Service Account Token Creator ב-IAM הוקצה ברמת הארגון. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: נוסף התפקיד 'יצירת אסימונים בחשבון שירות' ברמת הפרויקט PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		התפקיד Service Account Token Creator ב-IAM הוקצה ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
תנועה רוחבית: הפעלת תיקון של מערכת ההפעלה מחשבון שירות לא זמין באופן זמני OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT יומני ביקורת של Cloud.
יומני ביקורת של VM Manager 		חשבון שירות השתמש בתכונת הטלאי של Compute Engine כדי לעדכן את מערכת ההפעלה של כל מכונה של Compute Engine שפועלת כרגע. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי הפעילות ב-VM Manager, משתמשים ביומני הביקורת של VM Manager.

תנועה לרוחב: דיסק אתחול שונה שצורף למופע (תצוגה מקדימה) MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE יומני ביקורת של Cloud:
יומני ביקורת של Compute Engine 		דיסק אתחול נותק ממכונה אחת של Compute Engine וחובּר למכונה אחרת. יכול להיות שמדובר בניסיון זדוני לפגוע במערכת באמצעות דיסק אתחול שעבר שינוי. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה לפרטי כניסה: גישה לסודות במרחב שמות של Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE יומני ביקורת של Cloud:
יומני גישה לנתונים ב-GKE 		חשבון שירות במרחב השמות הנוכחי של Kubernetes ניגש לסודות או לטוקנים של חשבון שירות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
פיתוח משאבים: פעילות ב-Offensive Security Distro OFFENSIVE_SECURITY_DISTRO_ACTIVITY יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		Google Cloud בוצע שינוי במשאב באמצעות בדיקת חדירה ידועה או הפצות אבטחה התקפית. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת רמת הרשאות: יצירת טוקנים חשודים ב-Agent Engine (תצוגה מקדימה) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT יומני ביקורת של Cloud:
יומני ביקורת של גישה לנתונים ב-IAM

חשבון שירות שמשויך לסוכן AI שנפרס ב-Vertex AI Agent Engine השתמש בשיטה serviceAccounts.signJwt כדי ליצור אסימון גישה לחשבון שירות אחר.

כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת רמת הרשאות: יצירת טוקנים חשודים ב-Agent Engine (תצוגה מקדימה) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION יומני ביקורת של Cloud:
יומני ביקורת של גישה לנתונים ב-IAM
 ההרשאה iam.serviceAccounts.implicitDelegation נוצלה לרעה כדי ליצור טוקנים של גישה מחשבון שירות עם יותר הרשאות דרך Vertex AI Agent Engine. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת רמת הרשאות: יצירת טוקנים חשודים ב-Agent Engine (תצוגה מקדימה) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID יומני ביקורת של Cloud:
יומני ביקורת של גישה לנתונים ב-IAM

ההרשאה iam.serviceAccounts.getOpenIdToken IAM שימשה בפרויקטים שונים באמצעות Vertex AI Agent Engine.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת רמת הרשאות: יצירת טוקנים חשודים ב-Agent Engine (תצוגה מקדימה) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN יומני ביקורת של Cloud:
יומני ביקורת של גישה לנתונים ב-IAM

ההרשאה iam.serviceAccounts.getAccessToken IAM שימשה בפרויקטים שונים באמצעות סוכן AI שנפרס ב-Vertex AI Agent Engine.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות (privilege escalation): חשבון שירות חדש הוא בעלים או עורך זמנית לא זמין SERVICE_ACCOUNT_EDITOR_OWNER יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		נוצר חשבון שירות חדש עם תפקידי עריכה או בעלות בפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי שינויים ב-IAM, אפשר להשתמש ביומני הביקורת Admin Activity של IAM.

גילוי: כלי לאיסוף מידע שנעשה בו שימוש INFORMATION_GATHERING_TOOL_USED יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		זוהה שימוש ב-ScoutSuite. ‫ScoutSuite הוא כלי לביקורת אבטחת ענן, שידוע שגורמים זדוניים משתמשים בו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת הרשאות: יצירת טוקן חשודה זמנית לא זמין SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION יומני ביקורת של Cloud:
יומני ביקורת של IAM 		ההרשאה iam.serviceAccounts.implicitDelegation נוצלה לרעה כדי ליצור אסימוני גישה מחשבון שירות עם יותר הרשאות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי פעילות ב-IAM, משתמשים ביומני הביקורת של IAM.

העלאת הרשאות: יצירת טוקן חשודה זמנית לא זמין SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT יומני ביקורת של Cloud:
יומני ביקורת של IAM 		חשבון שירות השתמש בשיטה serviceAccounts.signJwt כדי ליצור אסימון גישה לחשבון שירות אחר. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי פעילות ב-IAM, משתמשים ביומני הביקורת של IAM.

העלאת הרשאות: יצירת טוקן חשודה זמנית לא זמין SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID יומני ביקורת של Cloud:
יומני ביקורת של IAM

ההרשאה iam.serviceAccounts.getOpenIdToken IAM הייתה בשימוש בפרויקטים שונים.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי פעילות ב-IAM, משתמשים ביומני הביקורת של IAM.

העלאת הרשאות: יצירת טוקן חשודה זמנית לא זמין SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN יומני ביקורת של Cloud:
יומני ביקורת של IAM

ההרשאה iam.serviceAccounts.getAccessToken IAM הייתה בשימוש בפרויקטים שונים.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי פעילות ב-IAM, משתמשים ביומני הביקורת של IAM.

הסלמת הרשאות: שימוש חשוד בהרשאות בין פרויקטים SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM

ההרשאה datafusion.instances.create IAM הייתה בשימוש בפרויקטים שונים.

הממצא הזה לא זמין להפעלות ברמת הפרויקט. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
שליטה וניהול: מנהור DNS לא זמין באופן זמני DNS_TUNNELING_IODINE_HANDSHAKE יומנים של Cloud DNS זוהה לחיצת היד של כלי המנהור של DNS,‏ Iodine. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי פעילות DNS, אפשר להשתמש ביומנים של Cloud DNS.

התחמקות מהגנה: ניסיון להסוות נתיב VPC VPC_ROUTE_MASQUERADE יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		נתיבי VPC שמוסווים כנתיבי ברירת מחדל נוצרו באופן ידני, כדי לאפשר תעבורת נתונים יוצאת לכתובות IP חיצוניות. Google Cloud כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
ההשפעה: החיוב מושבת זמינות זמנית BILLING_DISABLED_SINGLE_PROJECT יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין בחיוב ב-Cloud 		החיוב בפרויקט הושבת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי שינויים בחיוב, אפשר להשתמש ביומני הביקורת של פעילות האדמין בחיוב ב-Cloud.

ההשפעה: החיוב מושבת זמינות זמנית BILLING_DISABLED_MULTIPLE_PROJECTS יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין בחיוב ב-Cloud 		החיוב הושבת בכמה פרויקטים בארגון בפרק זמן קצר. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי שינויים בחיוב, אפשר להשתמש ביומני הביקורת של פעילות האדמין בחיוב ב-Cloud.

השפעה: חסימה בעדיפות גבוהה של חומת אש ב-VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		נוסף כלל חומת אש ב-VPC שחוסם את כל תעבורת היציאה בעדיפות 0. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: מחיקה המונית של כללי חומת אש ב-VPCלא זמין באופן זמני VPC_FIREWALL_MASS_RULE_DELETION יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM

כללי חומת אש של VPC נמחקו בכמות גדולה על ידי חשבונות שאינם חשבונות שירות.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי עדכונים בכללים של חומת האש, משתמשים ביומני הביקורת של Cloud. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

השפעה: ה-API של השירות מושבת SERVICE_API_DISABLED יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-IAM 		‫A Google Cloud service API הושבת בסביבת ייצור. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: התאמה אוטומטית לעומס של קבוצת מופעי מכונה מנוהלים הוגדרה למקסימום Temporarily unavailable MIG_AUTOSCALING_SET_TO_MAX יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין ב-Compute Engine 		קבוצת מופעי מכונה מנוהלים הוגדרה להתאמה אוטומטית לעומס מקסימלית. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי שינויים בנכסי Compute Engine, משתמשים ביומני הביקורת של פעילות האדמין ב-Compute Engine.

חיפוש: קריאה לא מורשית ל-Service Account API זמנית לא זמין UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL יומני ביקורת של Cloud:
יומני ביקורת של פעילות אדמין 		חשבון שירות ביצע קריאה לא מורשית ל-API בין פרויקטים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי השימוש בחשבונות שירות, אפשר להשתמש ביומני הביקורת Admin Activity.

התחמקות מהגנה: סשנים אנונימיים קיבלו גישת אדמין לאשכול ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		נוצר אובייקט של בקרת גישה מבוססת-תפקידים (RBAC) ClusterRoleBinding, והתנהגות root-cluster-admin-binding נוספה למשתמשים אנונימיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
עמידות: מיקום גיאוגרפי חדש לשירות AI AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION יומני ביקורת של Cloud:
יומני Admin Activity

משתמשים ב-IAM וחשבונות שירות ניגשו לשירותי AI ממיקומים חריגים, על סמך המיקום הגיאוגרפי של כתובות ה-IP שמהן נשלחו הבקשות. Google Cloud

הממצא הזה לא זמין להפעלות ברמת הפרויקט, והוא מסווג כחומרה נמוכה כברירת מחדל.
העלאת רמת הרשאה: העברה חריגה של הרשאות לחשבון שירות במספר שלבים לפעילות אדמין של AI AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY יומני ביקורת של Cloud:
יומני Admin Activity 		זוהתה בקשה חריגה עם כמה שלבים שהועברה באמצעות הרשאת גישה לפעילות אדמיניסטרטיבית של שירות AI. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת ההרשאות: העברה חריגה של הרשאות לחשבון שירות עם כמה שלבים לגישה לנתוני AI AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS יומני ביקורת של Cloud:
יומני גישה לנתונים 		זוהתה בקשה חריגה מורשית עם כמה שלבים לפעילות גישה לנתונים של שירות AI. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת הרשאה: התחזות חריגה לחשבון שירות בפעילות אדמין של AI AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY יומני ביקורת של Cloud:
יומני Admin Activity 		מתקשר או מתחזה חריג בפוטנציה בשרשרת העברת הרשאות שימש לפעילות ניהול של שירות AI. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
הסלמת הרשאות: התחזות חריגה לחשבון שירות לצורך גישה לנתוני AI AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS יומני ביקורת של Cloud:
יומני גישה לנתונים 		מתקשר או מתחזה שעלולים להיות אנומליים בשרשרת העברת הרשאות שימשו לפעילות גישה לנתונים של שירות AI. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת הרשאה: התחזות חריגה לחשבון שירות לצורך פעילות אדמין של AI AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY יומני ביקורת של Cloud:
יומני Admin Activity 		נעשה שימוש בחשבון שירות שבוצעה אליו התחזות לצורך פעילות ניהול בשירות AI. יכול להיות שהפעילות הזו חריגה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
שמירת נתונים: שיטה חדשה של AI API
 AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD יומני ביקורת של Cloud:
יומני Admin Activity 		חשבונות שירות ב-IAM השתמשו בגישה חריגה לשירותי AI‏ Google Cloud . כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: פעילות בחשבון שירות רדום בשירות AI AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION יומני ביקורת של Cloud: יומני Admin Activity חשבון שירות שמנוהל על ידי משתמש לא פעיל הפעיל פעולה בשירותי AI. בהקשר הזה, חשבון שירות נחשב רדום אם הוא לא היה פעיל במשך יותר מ-180 יום. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
גישה ראשונית: משאב GKE אנונימי שנוצר מהאינטרנט (גרסת Preview) GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET יומני ביקורת של Cloud:
יומני פעילות אדמין של GKE. 		משאב נוצר על ידי משתמש אינטרנט אנונימי. כברירת מחדל, הממצאים מסווגים כבעלי חומרה ברמה גבוהה.
גישה ראשונית: משאב GKE שונה באופן אנונימי מהאינטרנט (תצוגה מקדימה) GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		בוצעו מניפולציות במשאב על ידי משתמש אינטרנט אנונימי. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
העלאת הרשאות: משתמשים אנונימיים מקבלים גישה לאשכול GKE GKE_ANONYMOUS_USERS_GRANTED_ACCESS יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE

מישהו יצר קשר RBAC שמפנה לאחד מהמשתמשים או הקבוצות הבאים:

  • system:anonymous
  • system:unauthenticated
  • system:authenticated

המשתמשים והקבוצות האלה הם למעשה אנונימיים, ולכן מומלץ להימנע מהם כשיוצרים קישורים לתפקידים או קישורים לתפקידים ברמת האשכול לכל תפקידי ה-RBAC. בודקים את הקישור כדי לוודא שהוא נחוץ. אם הקישור לא נחוץ, מסירים אותו. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.

ביצוע: הפעלה חשודה או צירוף לפוד של מערכת (תצוגה מקדימה) GKE_SUSPICIOUS_EXEC_ATTACH יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו השתמש בפקודות exec או attach כדי לקבל מעטפת או להריץ פקודה בקונטיינר שפועל במרחב השמות kube-system. לפעמים משתמשים בשיטות האלה למטרות לגיטימיות של ניפוי באגים. עם זאת, מרחב השמות kube-system מיועד לאובייקטים של המערכת שנוצרו על ידי Kubernetes, ולכן צריך לבדוק הפעלה לא צפויה של פקודות או יצירה של מעטפת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
העלאת רמת ההרשאות: עומס עבודה שנוצר עם נקודת הרכבה רגישה של נתיב מארח (תצוגה מקדימה) GKE_SENSITIVE_HOSTPATH יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר עומס עבודה שמכיל נקודת טעינה (mount) של נפח hostPath לנתיב רגיש במערכת הקבצים של צומת המארח. אפשר להשתמש בגישה לנתיבים האלה במערכת הקבצים של המארח כדי לגשת למידע רגיש או למידע שדורש הרשאות מיוחדות בצומת, וכדי לבצע בריחה מהקונטיינר. אם אפשר, אל תאפשרו נפחים של hostPath באשכול שלכם. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
העלאת רמת הרשאה: עומס עבודה עם האפשרות shareProcessNamespace מופעלת (תצוגה מקדימה) GKE_SHAREPROCESSNAMESPACE_POD יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו פרס עומס עבודה עם האפשרות shareProcessNamespace שהוגדרה ל-true, מה שמאפשר לכל הקונטיינרים לשתף את אותו מרחב שמות של תהליך Linux. זה עלול לאפשר לקונטיינר לא מהימן או לקונטיינר שנפרץ להשיג הרשאות גבוהות יותר על ידי גישה למשתני סביבה, לזיכרון ולמידע אישי רגיש אחר מתהליכים שפועלים בקונטיינרים אחרים, ושליטה בהם. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות: ClusterRole עם פעלים שניתנות להם הרשאות (תצוגה מקדימה) GKE_CLUSTERROLE_PRIVILEGED_VERBS יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר RBAC ClusterRole שמכיל את הפעלים bind, escalate או impersonate. סובייקט שמשויך לתפקיד עם הפעלים האלה יכול להתחזות למשתמשים אחרים עם הרשאות גבוהות יותר, להתחבר ל-Roles או ל-ClusterRoles נוספים שמכילים הרשאות נוספות, או לשנות את ההרשאות שלו ב-ClusterRole. זה עלול להוביל לכך שהנושאים האלה יקבלו הרשאות אדמין ברמת האשכול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
הסלמת הרשאות: ClusterRoleBinding לתפקיד עם הרשאות GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר ClusterRoleBinding של RBAC שמפנה אל ברירת המחדל system:controller:clusterrole-aggregation-controller ClusterRole. ClusterRole הזה מוגדר כברירת מחדל עם הפועל escalate, שמאפשר למשתמשים לשנות את ההרשאות של התפקידים שלהם, וכך לשנות את רמת ההרשאה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: מחיקה ידנית של בקשת חתימה על אישור (CSR) GKE_MANUALLY_DELETED_CSR יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו מחק ידנית בקשה לחתימת אישור (CSR). בקשות CSR מוסרות באופן אוטומטי על ידי בקר איסוף האשפה, אבל גורמים זדוניים עשויים למחוק אותן באופן ידני כדי להימנע מזיהוי. אם ה-CSR שנמחק היה עבור אישור שאושר והונפק, לגורם הזדוני הפוטנציאלי יש עכשיו שיטת אימות נוספת לגישה לאשכול. ההרשאות שמשויכות לאישור משתנות בהתאם לנושא שכלול בו, אבל יכולות להיות הרשאות גבוהות מאוד. ‫Kubernetes לא תומך בביטול אישורים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR) GKE_APPROVE_CSR_FORBIDDEN יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו ניסה לאשר באופן ידני בקשה לחתימה על אישור (CSR), אבל הפעולה נכשלה. יצירת אישור לאימות אשכול היא שיטה נפוצה שבה תוקפים משתמשים כדי ליצור גישה מתמשכת לאשכול שנפרץ. ההרשאות שמשויכות לאישור משתנות בהתאם לנושא שכלול בו, אבל יכולות להיות הרשאות גבוהות מאוד. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה לפרטי כניסה: בקשה לחתימה על אישור Kubernetes שאושרה באופן ידני (CSR) (תצוגה מקדימה) GKE_CSR_APPROVED יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו אישר באופן ידני בקשה לחתימה על אישור (CSR). יצירת אישור לאימות של אשכול היא שיטה נפוצה שבה תוקפים משתמשים כדי ליצור גישה מתמשכת לאשכול שנפרץ. ההרשאות שמשויכות לאישור משתנות בהתאם לנושאים שכלולים בו, אבל הן יכולות להיות הרשאות גבוהות מאוד. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
ביצוע: נוצר Kubernetes Pod עם ארגומנטים פוטנציאליים של מעטפת הפוכה GKE_REVERSE_SHELL_POD יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר Pod שמכיל פקודות או ארגומנטים שמשויכים בדרך כלל לreverse shell. תוקפים משתמשים במעטפת הפוכה כדי להרחיב או לשמור על הגישה הראשונית שלהם לאשכול, וכדי להריץ פקודות שרירותיות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
התחמקות מהגנה: הסתרה פוטנציאלית של Pod ב-Kubernetes GKE_POD_MASQUERADING יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו פרס Pod עם מוסכמת שמות שדומה לעומסי העבודה שמוגדרים כברירת מחדל ש-GKE יוצרת עבור פעולה רגילה של אשכול. הטכניקה הזו נקראת התחזות. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
הסלמת הרשאות: שמות חשודים של קונטיינרים ב-Kubernetes – ניצול ופריצה (תצוגה מקדימה) GKE_SUSPICIOUS_EXPLOIT_POD יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו פרס Pod עם מוסכמת שמות שדומה לכלים נפוצים שמשמשים לביצוע בריחה מהקונטיינר או להפעלת מתקפות אחרות על האשכול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
התמדה: חשבון שירות שנוצר במרחב שמות רגיש GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר חשבון שירות במרחב שמות רגיש. מרחבי השמות kube-system ו-kube-public הם קריטיים לפעולות של אשכול GKE, וחשבונות שירות לא מורשים עלולים לפגוע ביציבות ובאבטחה של האשכול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
השפעה: שמות חשודים של קונטיינרים ב-Kubernetes – כריית מטבעות וירטואליים לא זמין באופן זמני GKE_SUSPICIOUS_CRYPTOMINING_POD יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו פרס Pod עם מוסכמה למתן שמות שדומה למוסכמה של כורי מטבעות קריפטוגרפיים נפוצים. יכול להיות שזה ניסיון של תוקף שהשיג גישה ראשונית לאשכול להשתמש במשאבים של האשכול לכריית מטבעות קריפטוגרפיים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.

הכלל הזה לא זמין כרגע. כדי לעקוב אחרי פעילות ב-Kubernetes, משתמשים ב יומני פעילות האדמין ב-GKE.

הרצה: עומס עבודה מופעל במרחב שמות רגיש GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו פרס עומס עבודה (לדוגמה, Pod או Deployment) במרחבי השמות kube-system או kube-public. מרחבי השמות האלה חיוניים לפעולות של אשכולות GKE, ועומסי עבודה לא מורשים עלולים לפגוע ביציבות או באבטחה של האשכול. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
ביצוע: הפעלת קונטיינר עם יכולות מוגזמות ב-GKE (תצוגה מקדימה) GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר מאגר עם אחת או יותר מהיכולות הבאות ב אשכול עם הקשר אבטחה מורחב:
  • CAP_SYS_MODULE
  • CAP_SYS_RAWIO
  • CAP_SYS_PTRACE
  • CAP_SYS_BOOT
  • CAP_DAC_READ_SEARCH
  • CAP_NET_ADMIN
  • CAP_BPF
אפשר להשתמש ביכולות האלה כדי לצאת מהקונטיינרים. חשוב להיזהר כשמקצים את היכולות האלה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
‫Persistence: GKE Webhook Configuration Detected GKE_WEBHOOK_CONFIG_CREATED יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		זוהתה הגדרת webhook באשכול GKE. הודעות Webhook יכולות ליירט בקשות ל-Kubernetes API ולשנות אותן, מה שעלול לאפשר לתוקפים להישאר באשכול או לשנות משאבים. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
התחמקות מהגנה: נוצר Pod סטטי GKE_STATIC_POD_CREATED יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר Pod סטטי באשכול GKE. פודים סטטיים פועלים ישירות בצומת ועוקפים את שרת ה-API של Kubernetes, ולכן קשה יותר לנטר ולשלוט בהם. תוקפים יכולים להשתמש ב-Pods סטטיים כדי להתחמק מזיהוי או לשמור על התמדה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: קריאה ל-API בוצעה בהצלחה מכתובת IP של שרת proxy של TOR GKE_TOR_PROXY_IP_REQUEST יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		בוצעה קריאה מוצלחת ל-API של אשכול GKE מכתובת IP שמשויכת לרשת Tor. ‫Tor מספק אנונימיות, שתוקפים מנצלים לעיתים קרובות כדי להסתיר את הזהות שלהם. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
גישה ראשונית: נוצר שירות NodePort של GKE GKE_NODEPORT_SERVICE_CREATED יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו יצר שירות NodePort. שירותי NodePort חושפים את ה-Pods ישירות בכתובת ה-IP של הצומת ובפורט סטטי, מה שהופך את ה-Pods לנגישים מחוץ לאשכול. הדבר עלול ליצור סיכון אבטחה משמעותי, כי הוא יכול לאפשר לתוקף לנצל נקודות חולשה בשירות החשוף כדי לקבל גישה לאשכול או למידע אישי רגיש. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
השפעה: זוהה שינוי ב-kube-dns ב-GKE (תצוגה מקדימה) GKE_KUBE_DNS_MODIFICATION יומני ביקורת של Cloud:
יומני פעילות אדמין ב-GKE 		מישהו שינה את ההגדרה של kube-dns באשכול GKE. ‫kube-dns ב-GKE הוא רכיב קריטי ברישות של האשכול, וטעות בהגדרות שלו עלולה להוביל לתקרית אבטחת מידע. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
השפעה: פקודות לכריית מטבע וירטואלי CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS יומני ביקורת של Cloud:
יומני ביקורת של אירועים במערכת IAM 		פקודות ספציפיות לכריית מטבע וירטואלי צורפו למשימת Cloud Run במהלך ההרצה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
ביצוע: קובץ אימג' של Docker לכריית מטבע וירטואלי CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES יומני ביקורת של Cloud:
יומני ביקורת של אירועים במערכת IAM 		תמונות ספציפיות של Docker שמוכרות כבעייתיות צורפו לשירות או למשימה חדשים או קיימים של Cloud Run. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
העלאת רמת הרשאה: חשבון השירות שמוגדר כברירת המחדל של Compute Engine ‏SetIAMPolicy CLOUD_RUN_SERVICES_SET_IAM_POLICY יומני ביקורת של Cloud:
יומני Admin Activity 		חשבון השירות שמוגדר כברירת מחדל ב-Compute Engine שימש להגדרת מדיניות IAM בשירות Cloud Run. זו פעולה פוטנציאלית אחרי ניצול לרעה, כשמזהים פגיעה באסימון של Compute Engine משירות ללא שרת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.
גישה ראשונית: כניסה מוצלחת ל-CloudDB מכתובת IP של שרת Proxy לאנונימיזציה CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP Cloud Audit Logs: יומני גישה לנתונים ב-AlloyDB ל-PostgreSQL
יומני גישה לנתונים ב-Cloud SQL ל-PostgreSQL
יומני גישה לנתונים ב-Cloud SQL ל-MySQL
הערה: כדי להשתמש בכלל הזה ב-AlloyDB וב-Postgres, צריך להפעיל את רישום כתובות ה-IP ב-PostgreSQL. 		זוהתה כניסה מוצלחת למופע של מסד הנתונים שלך מכתובת IP מוכרת שעוברת אנונימיזציה. יכול להיות שזה מעיד על כך שתוקף השיג גישה ראשונית למופע שלכם. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
גישה לפרטי כניסה: כניסה ל-CloudDB נכשלה מכתובת IP של שרת Proxy לאנונימיזציה CLOUD_DB_LOGIN_FAILED_ANON_IP Cloud Audit Logs: יומני גישה לנתונים ב-AlloyDB ל-PostgreSQL
יומני גישה לנתונים ב-Cloud SQL ל-PostgreSQL
יומני גישה לנתונים ב-Cloud SQL ל-MySQL
הערה: כדי להשתמש בכלל הזה ב-AlloyDB וב-Postgres, צריך להפעיל את רישום כתובות ה-IP ב-PostgreSQL. 		זוהתה התחברות שנכשלה במופע מסד הנתונים שלך מכתובת IP מוכרת שמבצעת אנונימיזציה. יכול להיות שזה מעיד על כך שתוקף מנסה לקבל גישה לא מורשית למופע שלכם. כברירת מחדל, הממצאים מסווגים כבעלי חומרה בינונית.
מידע על כללים שהוצאו משימוש וכללים שהופסקה התמיכה בהם זמין במאמר הוצאה משימוש.

מודולים מותאמים אישית ל-Event Threat Detection

בנוסף לכללי זיהוי מובנים, Event Threat Detection מספק תבניות של מודולים שבהן אפשר להשתמש כדי ליצור כללי זיהוי מותאמים אישית. מידע נוסף זמין במאמר סקירה כללית של מודולים מותאמים אישית ל-Event Threat Detection.

כדי ליצור כללי זיהוי שלא זמינים עבורם תבניות של מודולים מותאמים אישית, אפשר לייצא את נתוני היומן ל-BigQuery, ואז להריץ שאילתות SQL ייחודיות או חוזרות שמתעדות את מודלי האיומים שלכם.

שינויים לא בטוחים בקבוצת Google

בקטע הזה מוסבר איך הכלי Event Threat Detection משתמש ביומנים של Google Workspace, ביומני הביקורת של Cloud ובמדיניות IAM כדי לזהות שינויים לא בטוחים בקבוצות Google. אפשר לזהות שינויים בקבוצות Google רק אם מפעילים את Security Command Center ברמת הארגון.

Google Cloud לקוחות יכולים להשתמש בקבוצות Google כדי לנהל תפקידים והרשאות של חברים בארגונים שלהם, או להחיל מדיניות גישה על קבוצות של משתמשים. במקום להקצות תפקידים ישירות לחברים, האדמינים יכולים להקצות תפקידים והרשאות לקבוצות Google, ואז להוסיף חברים לקבוצות ספציפיות. חברי קבוצה יורשים את כל התפקידים וההרשאות של הקבוצה, מה שמאפשר להם לגשת למשאבים ולשירותים ספציפיים.

קבוצות Google הן דרך נוחה לנהל בקרת גישה בהיקף גדול, אבל הן עלולות להוות סיכון אם משתמשים חיצוניים מחוץ לארגון או לדומיין שלכם יתווספו לקבוצות עם הרשאות מיוחדות – קבוצות שקיבלו תפקידים או הרשאות רגישים. תפקידים רגישים שולטים בגישה להגדרות אבטחה ורשת, ליומנים ולפרטים אישיים מזהים (PII), ולא מומלצים לחברים בקבוצות חיצוניות.

בארגונים גדולים, יכול להיות שאדמינים לא יודעים כשמשתמשים מחוץ לארגון מתווספים לקבוצות עם הרשאות מיוחדות. יומני ביקורת ב-Cloud מתעדים הענקות של תפקידים לקבוצות, אבל אירועי היומן האלה לא מכילים מידע על חברי הקבוצה, ולכן יכול להיות שחלק מהשינויים בקבוצות לא יופיעו ביומן.

אם תשתפו את היומנים שלכם ב-Google Workspace עם Google Cloud, הכלי Event Threat Detection ינטר את זרמי הרישום שלכם כדי לזהות חברים חדשים שנוספו לקבוצות Google של הארגון. היומנים הם ברמת הארגון, ולכן Event Threat Detection יכול לסרוק יומנים של Google Workspace רק אם מפעילים את Security Command Center ברמת הארגון. כשמפעילים את Security Command Center ברמת הפרויקט, אי אפשר לסרוק את היומנים האלה באמצעות Event Threat Detection.

הכלי Event Threat Detection מזהה חברים חיצוניים בקבוצות, ובעזרת יומני הביקורת של Cloud הוא בודק את תפקידי ה-IAM של כל קבוצה מושפעת כדי לראות אם לקבוצות הוקצו תפקידים רגישים. המידע הזה משמש לזיהוי השינויים הלא בטוחים הבאים בקבוצות Google עם הרשאות מיוחדות:

  • הוספה של חברי קבוצות חיצוניים לקבוצות עם הרשאות מיוחדות
  • תפקידים או הרשאות רגישים שניתנו לקבוצות עם חברים חיצוניים
  • קבוצות עם הרשאות מיוחדות שהשתנו כך שכל אחד מהקהל הרחב יכול להצטרף אליהן

‫Event Threat Detection כותב ממצאים ל-Security Command Center. הממצאים כוללים את כתובות האימייל של משתמשים חיצוניים חדשים שנוספו לקבוצה, את כתובות האימייל של חברים בקבוצה מתוך הארגון שיזמו אירועים, את שמות הקבוצות ואת התפקידים הרגישים שמשויכים לקבוצות. אתם יכולים להשתמש במידע הזה כדי להסיר חברים מחוץ לארגון מקבוצות או לבטל תפקידים רגישים שניתנו לקבוצות.

מידע נוסף על הממצאים של Event Threat Detection זמין במאמר בנושא כללים של Event Threat Detection.

תפקידים והרשאות רגישים ב-IAM

בקטע הזה מוסבר איך Event Threat Detection מגדיר תפקידי IAM רגישים. ממצאים כמו IAM Anomalous Grant ו-Unsafe Google Group changes נוצרים רק אם השינויים כוללים תפקידים ברמת רגישות גבוהה או בינונית. המידה שבה התפקידים רגישים משפיעה על דירוג החומרה שמוקצה לממצאים.

  • תפקידים עם רגישות גבוהה שולטים בשירותים קריטיים בארגונים, כולל חיוב, הגדרות חומת אש ורישום ביומן. ממצאים שתואמים לתפקידים האלה מסווגים כבעלי חומרה גבוהה.
  • לתפקידים עם רגישות בינונית יש הרשאות עריכה שמאפשרות לחשבונות משתמשים לבצע שינויים ב Google Cloud משאבים, והרשאות צפייה והרצה בשירותי אחסון נתונים שמכילים לעיתים קרובות נתונים רגישים. רמת החומרה שמוקצית לממצאים תלויה במשאב:
    • אם תפקידים עם רגישות בינונית מוקצים ברמת הארגון, הממצאים מסווגים כחומרה גבוהה.
    • אם תפקידים ברמת רגישות בינונית מוקצים ברמות נמוכות יותר בהיררכיית המשאבים (תיקיות, פרויקטים, מאגרי מידע וכו'), הממצאים מסווגים כחומרה בינונית.

הקצאת התפקידים הרגישים האלה נחשבת למסוכנת אם מקבל ההרשאה הוא חבר חיצוני או זהות חריגה, כמו חשבון משתמש שלא היה פעיל במשך זמן רב.

הקצאת תפקידים רגישים לחברים חיצוניים יוצרת איום פוטנציאלי כי אפשר לנצל אותם לרעה כדי לפגוע בחשבון ולחלץ נתונים.

הקטגוריות שמשתמשות בתפקידים הרגישים האלה כוללות:

  • התמדה: IAM Anomalous Grant
    • תת-כלל: external_service_account_added_to_policy
    • תת-כלל: external_member_added_to_policy
  • הסלמת הרשאות: תפקיד רגיש הוקצה לקבוצה היברידית
  • העלאת רמת הרשאה: חשבון שירות רדום קיבל תפקיד רגיש

הקטגוריות שמשתמשות בקבוצת משנה של התפקידים הרגישים כוללות:

  • התמדה: IAM Anomalous Grant
    • תת-כלל: service_account_granted_sensitive_role_to_member

כלל המשנה service_account_granted_sensitive_role_to_member מכוון בדרך כלל לחברים חיצוניים ופנימיים, ולכן הוא משתמש רק בקבוצת משנה של תפקידים רגישים, כפי שמוסבר במאמר כללים של Event Threat Detection.

קטגוריה תפקיד תיאור
תפקידים בסיסיים: מכילים אלפי הרשאות בכל שירותי Google Cloud . roles/owner תפקידים בסיסיים
roles/editor
תפקידי אבטחה: שליטה בגישה להגדרות אבטחה roles/cloudkms.* הכל תפקידים ב-Cloud Key Management Service
roles/cloudsecurityscanner.* הכל תפקידים ב-Web Security Scanner
roles/dlp.* כל התפקידים ב-Sensitive Data Protection
roles/iam.* הכל תפקידי IAM
roles/secretmanager.* הכל תפקידים ב-Secret Manager
roles/securitycenter.* כל התפקידים ב-Security Command Center
תפקידי Logging: שליטה בגישה ליומנים של הארגון roles/errorreporting.* הכל תפקידי Error Reporting
roles/logging.* כל התפקידים ב-Cloud Logging
roles/stackdriver.* כל התפקידים ב-Cloud Monitoring
תפקידים שקשורים למידע אישי: שליטה בגישה למשאבים שמכילים פרטים אישיים מזהים, כולל פרטי בנק ופרטים ליצירת קשר roles/billing.* כל התפקידים בחיוב ב-Cloud
roles/healthcare.* הכול תפקידים ב-Cloud Healthcare API
roles/essentialcontacts.* הכול תפקידים ב-Essential Contacts
תפקידים ברשת: שליטה בגישה להגדרות הרשת של הארגון roles/dns.* כל התפקידים ב-Cloud DNS
roles/domains.* כל התפקידים ב-Cloud Domains
roles/networkconnectivity.* הכל תפקידים ב-Network Connectivity Center
roles/networkmanagement.* הכל תפקידים ב-NCC
roles/privateca.* הכול תפקידים ב-Certificate Authority Service
תפקידי שירות: שליטה בגישה למשאבי שירות ב- Google Cloud roles/cloudasset.* הכול תפקידים במאגר משאבי הענן
roles/servicedirectory.* הכל תפקידים ב-Service Directory
roles/servicemanagement.* הכל תפקידים לניהול שירותים
roles/servicenetworking.* הכול תפקידים ב-Service Networking
roles/serviceusage.* הכל תפקידים של שימוש בשירות
תפקידים ב-Compute Engine: שליטה בגישה למכונות וירטואליות ב-Compute Engine, שמריצות משימות ארוכות טווח ומשויכות לכללי חומת אש

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 כל התפקידים ב-Compute Engine: אדמין ועריכה
קטגוריה תפקיד תיאור
עריכת תפקידים: תפקידי IAM שכוללים הרשאות לביצוע שינויים ב Google Cloud משאבים

דוגמאות:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

שמות התפקידים בדרך כלל מסתיימים בתארים כמו אדמין, בעלים, עורך או כותב.

מרחיבים את הצומת בשורה האחרונה של הטבלה כדי לראות את כל התפקידים ברמת רגישות בינונית.

תפקידים במאגרי נתונים: תפקידי IAM שכוללים הרשאות לצפייה בשירותים של מאגרי נתונים ולהרצתם

דוגמאות:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 מרחיבים את הצומת בשורה האחרונה בטבלה כדי לראות את כל התפקידים ברמת רגישות בינונית.
כל התפקידים ברמת רגישות בינונית

אישור גישה

  • roles/accessapproval.approver
  • roles/accessapproval.configEditor

Access Context Manager

  • roles/accesscontextmanager.gcpAccessAdmin
  • roles/accesscontextmanager.policyAdmin
  • roles/accesscontextmanager.policyEditor

פעולות

  • roles/actions.Admin

AI Platform

  • roles/ml.admin
  • roles/ml.developer
  • roles/ml.jobOwner
  • roles/ml.modelOwner
  • roles/ml.modelUser

API Gateway

  • roles/apigateway.admin

App Engine

  • roles/appengine.appAdmin
  • roles/appengine.appCreator
  • roles/appengine.serviceAdmin

Artifact Analysis

  • roles/containeranalysis.admin
  • roles/containeranalysis.notes.attacher
  • roles/containeranalysis.notes.editor
  • roles/containeranalysis.occurrences.editor

AutoML

  • roles/automl.admin
  • roles/automl.editor

BigQuery

  • roles/bigquery.admin
  • roles/bigquery.dataEditor
  • roles/bigquery.dataOwner
  • roles/bigquery.dataViewer
  • roles/bigquery.resourceAdmin
  • roles/bigquery.resourceEditor
  • roles/bigquery.resourceViewer
  • roles/bigquery.user

Bigtable

  • roles/bigtable.admin
  • roles/bigtable.reader
  • roles/bigtable.user

Binary Authorization

  • roles/binaryauthorization.attestorsAdmin
  • roles/binaryauthorization.attestorsEditor
  • roles/binaryauthorization.policyAdmin
  • roles/binaryauthorization.policyEditor

Cloud Autoscaling

  • roles/autoscaling.metricsWriter
  • roles/autoscaling.sitesAdmin
  • roles/autoscaling.stateWriter

Cloud Build

  • roles/cloudbuild.builds.builder
  • roles/cloudbuild.builds.editor

Cloud Deployment Manager

  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor

Cloud Endpoints

  • roles/endpoints.portalAdminבטא

Cloud Monitoring

  • roles/monitoring.admin
  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.dashboardEditor
  • roles/monitoring.editor
  • roles/monitoring.metricWriter
  • roles/monitoring.notificationChannelEditor
  • roles/monitoring.servicesEditor
  • roles/monitoring.uptimeCheckConfigEditor

Cloud Run

  • roles/run.admin
  • roles/run.developer

פונקציות Cloud Run

  • roles/cloudfunctions.admin
  • roles/cloudfunctions.developer
  • roles/cloudfunctions.invoker

Cloud Runtime Configuration API

  • roles/runtimeconfig.admin

Cloud Scheduler

  • roles/cloudscheduler.admin

Cloud Source Repositories

  • roles/source.admin
  • roles/source.writer

Cloud SQL

  • roles/cloudsql.admin
  • roles/cloudsql.editor
  • roles/cloudsql.client
  • roles/cloudsql.instanceUser
  • roles/cloudsql.viewer

Cloud Storage

  • roles/storage.admin
  • roles/storage.hmacKeyAdmin
  • roles/storage.objectAdmin
  • roles/storage.objectCreator
  • roles/storage.objectViewer
  • roles/storage.legacyBucketOwner
  • roles/storage.legacyBucketWriter
  • roles/storage.legacyBucketReader
  • roles/storage.legacyObjectOwner
  • roles/storage.legacyObjectReader

Cloud Tasks

  • roles/cloudtasks.admin
  • roles/cloudtasks.enqueuer
  • roles/cloudtasks.queueAdmin
  • roles/cloudtasks.taskDeleter

Cloud TPU

  • tpu.admin

Cloud Trace

  • roles/cloudtrace.admin
  • roles/cloudtrace.agent

Compute Engine

  • roles/compute.imageUser
  • roles/compute.osLoginExternalUser
  • roles/osconfig.guestPolicyAdmin
  • roles/osconfig.guestPolicyEditor
  • roles/osconfig.osPolicyAssignmentAdmin
  • roles/osconfig.osPolicyAssignmentEditor
  • roles/osconfig.patchDeploymentAdmin

עיבוד נתוני השימוש של הלקוחות

  • roles/dataprocessing.admin

Data Catalog

  • roles/datacatalog.admin
  • roles/datacatalog.categoryAdmin
  • roles/datacatalog.entryGroupCreator
  • roles/datacatalog.entryGroupOwner
  • roles/datacatalog.entryOwner

Dataflow

  • roles/dataflow.admin
  • roles/dataflow.developer

Dataproc

  • roles/dataproc.admin
  • roles/dataproc.editor

Dataproc Metastore

  • roles/metastore.admin
  • roles/metastore.editor

Datastore

  • roles/datastore.importExportAdmin
  • roles/datastore.indexAdmin
  • roles/datastore.owner
  • roles/datastore.user

Eventarc

  • roles/eventarc.admin
  • roles/eventarc.developer
  • roles/eventarc.eventReceiver

Filestore

  • roles/file.editor

Firebase

  • roles/firebase.admin
  • roles/firebase.analyticsAdmin
  • roles/firebase.developAdmin
  • roles/firebase.growthAdmin
  • roles/firebase.qualityAdmin
  • roles/firebaseabt.admin
  • roles/firebaseappcheck.admin
  • roles/firebaseappdistro.admin
  • roles/firebaseauth.admin
  • roles/firebasecrash.symbolMappingsAdmin
  • roles/firebasecrashlytics.admin
  • roles/firebasedatabase.admin
  • roles/firebasedynamiclinks.admin
  • roles/firebasehosting.admin
  • roles/firebaseinappmessaging.admin
  • roles/firebaseml.admin
  • roles/firebasenotifications.admin
  • roles/firebaseperformance.admin
  • roles/firebasepredictions.admin
  • roles/firebaserules.admin
  • roles/firebasestorage.admin
  • roles/cloudconfig.admin
  • roles/cloudtestservice.testAdmin

Google Cloud VMware Engine

  • vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

  • roles/container.admin
  • roles/container.clusterAdmin
  • roles/container.developer

Google Kubernetes Engine Hub

  • roles/gkehub.admin
  • roles/gkehub.gatewayAdmin
  • roles/gkehub.connect

ניהול שירותים ב-Google Security Operations

  • roles/chroniclesm.admin

Google Workspace

  • roles/gsuiteaddons.developer

שרת proxy לאימות זהויות (IAP)

  • roles/iap.admin
  • roles/iap.settingsAdmin

Identity Platform

  • roles/identityplatform.admin

Identity Toolkit

  • roles/identitytoolkit.admin

שירות מנוהל ל-Microsoft Active Directory

  • roles/managedidentities.admin
  • roles/managedidentities.domainAdmin
  • roles/managedidentities.viewer

Memorystore for Redis

  • roles/redis.admin
  • roles/redis.editor

OAuthConfig

  • roles/oauthconfig.editor

On-Demand Scanning API

  • roles/ondemandscanning.admin

Ops Config Monitoring

  • roles/opsconfigmonitoring.resourceMetadata.writer

Organization Policy Service

  • roles/axt.admin
  • roles/orgpolicy.policyAdmin

Proximity Beacon

  • roles/proximitybeacon.attachmentEditor
  • roles/proximitybeacon.beaconEditor

Pub/Sub

  • roles/pubsub.admin
  • roles/pubsub.editor

Pub/Sub Lite

  • roles/pubsublite.admin
  • roles/pubsublite.editor
  • roles/pubsublite.publisher

reCAPTCHA

  • roles/recaptchaenterprise.admin
  • roles/recaptchaenterprise.agent

המלצות

  • roles/automlrecommendations.admin
  • roles/automlrecommendations.editor

שירות המלצות

  • roles/recommender.billingAccountCudAdmin
  • roles/recommender.cloudAssetInsightsAdmin
  • roles/recommender.cloudsqlAdmin
  • roles/recommender.computeAdmin
  • roles/recommender.firewallAdmin
  • roles/recommender.iamAdmin
  • roles/recommender.productSuggestionAdmin
  • roles/recommender.projectCudAdmin

Resource Manager

  • roles/resourcemanager.folderAdmin
  • roles/resourcemanager.folderCreator
  • roles/resourcemanager.folderEditor
  • roles/resourcemanager.folderIamAdmin
  • roles/resourcemanager.folderMover
  • roles/resourcemanager.lienModifier
  • roles/resourcemanager.organizationAdmin
  • roles/resourcemanager.projectCreator
  • roles/resourcemanager.projectDeleter
  • roles/resourcemanager.projectIamAdmin
  • roles/resourcemanager.projectMover
  • roles/resourcemanager.tagAdmin

Resource Settings

  • roles/resourcesettings.admin

Retail API

  • roles/retail.admin
  • roles/retail.editor

חיבור לרשת (VPC) מאפליקציית serverless

  • roles/vpcaccess.admin

ניהול של צרכני השירות

  • roles/serviceconsumermanagement.tenancyUnitsAdmin

Spanner

  • roles/spanner.admin
  • roles/spanner.backupAdmin
  • roles/spanner.backupWriter
  • roles/spanner.databaseAdmin
  • roles/spanner.restoreAdmin
  • roles/spanner.databaseReader
  • roles/spanner.databaseUser

Storage Transfer Service

  • roles/storagetransfer.admin
  • roles/storagetransfer.user

Vertex AI

  • roles/aiplatform.admin
  • roles/aiplatform.featurestoreAdmin
  • roles/aiplatform.migrator
  • roles/aiplatform.user

Notebooks בניהול משתמשים של Vertex AI Workbench

  • roles/notebooks.admin
  • roles/notebooks.legacyAdmin

תהליכי עבודה

  • roles/workflows.admin
  • roles/workflows.editor

סוגי יומנים ודרישות הפעלה

בקטע הזה מפורטים היומנים שבהם נעשה שימוש ב-Event Threat Detection, האיומים ש-Event Threat Detection מחפש בכל יומן ומה צריך לעשות כדי להפעיל כל יומן.

צריך להפעיל יומן עבור Event Threat Detection רק אם כל התנאים הבאים מתקיימים:

  • אתם משתמשים במוצר או בשירות שכותב ליומן.
  • אתם צריכים להגן על המוצר או השירות מפני האיומים שזוהו ביומן על ידי Event Threat Detection.
  • היומן הוא יומן ביקורת של גישה לנתונים או יומן אחר שמושבת כברירת מחדל.

אפשר לזהות איומים מסוימים בכמה יומנים. אם Event Threat Detection יכול לזהות איום ביומן שכבר מופעל, לא צריך להפעיל יומן אחר כדי לזהות את אותו איום.

אם יומן לא מופיע בקטע הזה, Event Threat Detection לא סורקת אותו, גם אם היא מופעלת. מידע נוסף זמין במאמר בנושא סריקות יומנים שעשויות להיות מיותרות.

כפי שמתואר בטבלה הבאה, חלק מסוגי היומנים זמינים רק ברמת הארגון. אם מפעילים את Security Command Center ברמת הפרויקט, Event Threat Detection לא סורק את היומנים האלה ולא מפיק ממצאים.

מקורות יומנים בסיסיים

Event Threat Detection משתמש ב-מקורות נתונים בסיסיים כדי לזהות פעילויות שעלולות להיות זדוניות ברשת.

  • אם מפעילים את Event Threat Detection בלי VPC Flow Logs,‏ Event Threat Detection מתחיל מיד לנתח סטרימינג עצמאי, כפול ופנימי של VPC Flow Logs. כדי לחקור עוד ממצא קיים של Event Threat Detection, צריך להפעיל את VPC Flow Logs ולעבור באופן ידני אל Logs Explorer ואל Flow Analyzer. אם תפעילו את VPC Flow Logs במועד מאוחר יותר, רק ממצאים עתידיים יכללו את הקישורים הרלוונטיים להמשך חקירה.

  • אם מפעילים את Event Threat Detection עם VPC Flow Logs, המערכת מתחילה מיד לנתח את יומני הזרימה של VPC בפריסה ומספקת קישורים לכלי Logs Explorer ולכלי Flow Analyzer כדי לעזור לכם להמשיך את הבדיקה.

יומנים לזיהוי תוכנות זדוניות ברשת

התכונה Event Threat Detection יכולה לספק זיהוי ברשת של תוכנות זדוניות באמצעות סריקה של אחד מהיומנים הבאים:

  • רישום ביומן של Cloud DNS
  • רישום ביומן של Cloud NAT
  • ניהול כללי חומת אש
  • VPC Flow Logs

אין צורך להפעיל יותר מאחד מהשירותים הבאים: רישום ביומן של Cloud NAT, ניהול כללי חומת אש או יומנים לתיעוד מידע על תעבורת ה-IP הנכנסת והיוצאת ב-VPC.

אם אתם כבר משתמשים ברישום ביומן של Cloud DNS, הכלי Event Threat Detection יכול לזהות תוכנות זדוניות באמצעות פתרון של דומיין. לרוב המשתמשים, היומנים של Cloud DNS מספיקים לזיהוי תוכנות זדוניות ברשת.

אם אתם צריכים רמת חשיפה נוספת מעבר לפתרון בעיות בדומיין, אתם יכולים להפעיל את יומני הזרימה של VPC, אבל שימו לב שהשימוש בהם עלול להיות כרוך בעלויות. כדי לנהל את העלויות האלה, מומלץ להגדיל את מרווח הצבירה ל-15 דקות ולהקטין את שיעור הדגימה ל-5% עד 10%. עם זאת, יש פה פשרה בין היכולת לזכור (דגימה גבוהה יותר) לבין ניהול העלויות (שיעור דגימה נמוך יותר). מידע נוסף זמין במאמר בנושא דגימה ועיבוד של יומנים.

אם אתם כבר משתמשים ביומנים של כללי חומת אש או ביומנים של Cloud NAT, היומנים האלה יכולים לשמש במקום יומני זרימה של VPC.

נתוני יומנים נתמכים ואיומים שזוהו

בקטע הזה מפורטים היומנים של Cloud Logging ו-Google Workspace שאפשר להפעיל או להגדיר כדי להגדיל את מספר האיומים שאפשר לזהות באמצעות Event Threat Detection.

אפשר למצוא ברוב יומני הביקורת איומים מסוימים, כמו איומים שנובעים מהתחזות חריגה לחשבון שירות או מהענקת הרשאות לחשבון שירות. כדי להתמודד עם סוגי האיומים האלה, צריך להחליט אילו יומנים להפעיל על סמך המוצרים והשירותים שבהם אתם משתמשים.

בטבלה הבאה מוצגים יומנים ספציפיים שאפשר להפעיל, וסוגי האיומים שאפשר לזהות.

Log type Threats detected Configuration required
AlloyDB for PostgreSQL Data Access audit logs

Credential Access: CloudDB Failed login from Anonymizing Proxy IP

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Privilege Escalation: AlloyDB Over-Privileged Grant
authlogs/authlog on virtual machines Brute force SSH Install the Ops Agent or the legacy Logging agent on your VM hosts
Cloud DNS logging

Log4j Malware: Bad Domain

Malware: bad domain

Malware: Cryptomining Bad Domain

 Turn on Cloud DNS logging

See also Logs for network detection of malware.
Cloud SQL MySQL Data Access audit logs

Credential Access: CloudDB Failed login from Anonymizing Proxy IP

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Agent Engine initiated Cloud SQL exfiltration (Preview)

Initial Access: CloudDB Successful login from Anonymizing Proxy IP

 Activate Logging Data Access audit logs for Cloud SQL for MySQL
Cloud NAT logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Turn on Cloud NAT logging

See also Logs for network detection of malware.
Cloud SQL PostgreSQL Data Access audit logs

Credential Access: CloudDB Failed login from Anonymizing Proxy IP

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Agent Engine initiated Cloud SQL exfiltration (Preview)

Exfiltration: Cloud SQL Over-Privileged Grant

Initial Access: CloudDB Successful login from Anonymizing Proxy IP
External Application Load Balancer backend service logs Initial Access: Log4j Compromise Attempt Turn on external Application Load Balancer logging
Firewall Rules Logging

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Turn on Firewall Rules Logging

See also Logs for network detection of malware.
Generic Data Access audit logs

Initial Access: Leaked Service Account Key Used

Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

 Activate Logging Data Access audit logs.
Google Kubernetes Engine (GKE) Data Access audit logs

Discovery: Can get sensitive Kubernetes object check

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

 Activate Logging Data Access audit logs for GKE
Google Workspace Admin Audit logs

Persistence: SSO Enablement Toggle

Persistence: SSO Settings Changed

Persistence: Strong Authentication Disabled

Persistence: Two Step Verification Disabled

Privilege Escalation: Privileged Group Opened To Public

Share Google Workspace Admin Audit logs with Cloud Logging

This log type can't be scanned in project-level activations.
Google Workspace Login Audit logs

Credential Access: External Member Added To Privileged Group

Initial Access: Account Disabled Hijacked

Initial Access: Disabled Password Leak

Initial Access: Government Based Attack

Initial Access: Suspicious Login Blocked

Persistence: Two Step Verification Disabled

Share Google Workspace Login Audit logs with Cloud Logging

This log type can't be scanned in project-level activations.
IAM Data Access audit logs

Discovery: Agent Engine Service Account Self-Investigation (Preview)

Discovery: Service Account Self-Investigation

Privilege Escalation: Agent Engine Suspicious Token Generation (Preview)

 Activate Logging Data Access audit logs for Resource Manager
SQL Server Data Access audit logs

Exfiltration: Cloud SQL Data Exfiltration

Exfiltration: Agent Engine initiated Cloud SQL exfiltration (Preview)

Activate Logging Data Access audit logs for Cloud SQL for SQL Server
VPC Flow Logs

Log4j Malware: Bad IP

Malware: bad IP

Malware: Cryptomining Bad IP

 Turn on VPC Flow Logs

See also Logs for network detection of malware.

יומנים שתמיד פועלים

בטבלה הבאה מפורטים היומנים של Cloud Logging שלא צריך להפעיל או להגדיר. היומנים האלה תמיד מופעלים, והם נסרקים אוטומטית על ידי Event Threat Detection.

סוג יומן הביקורת איומים שזוהו נדרשת הגדרה
יומנים של Agent Engine

גישה לפרטי כניסה: גישה חריגה של Agent Engine לשירות מטא-נתונים (תצוגה מקדימה)

גילוי: ראיות לסריקת יציאות מ-Agent Engine (תצוגה מקדימה)

 ללא
יומני ביקורת של פעילות אדמינים ב-Backup and DR

השפעה: כל התמונות ב-Google Cloud Backup and DR יפוגו

ההשפעה: גיבוי שנמחק ב-Google Cloud Backup and DR

השפעה: מארח שנמחק ב-Google Cloud Backup and DR

השפעה: שיוך תוכנית Backup and DR ב-Google Cloud נמחק

ההשפעה: כספת ה-Backup and DR של Google Cloud נמחקה

השפעה: מדיניות המחיקה של Google Cloud Backup and DR

השפעה: מחיקת פרופיל ב-Google Cloud Backup and DR

השפעה: מחיקת תבנית של Google Cloud Backup and DR

השפעה: תמונת Google Cloud Backup and DR תפוג

השפעה: שירות הגיבוי וההתאוששות מאסון ב-Google Cloud מקצר את תוקף הגיבוי

השפעה: שירות הגיבוי וה-DR של Google Cloud מפחית את תדירות הגיבוי

השפעה: הסרת מכשיר Google Cloud Backup and DR

השפעה: הסרת תוכנית Backup and DR ב-Google Cloud

מניעת שחזור המערכת: Google Cloud Backup and DR מוחק את מאגר האחסון

ללא
יומני גישה לנתונים של BigQueryAuditMetadata

העברת נתונים לא מורשית: העברת נתונים לא מורשית מ-BigQuery שבוצעה על ידי Agent Engine (גרסת Preview)

העברת נתונים לא מורשית: חילוץ נתונים מ-BigQuery שהופעל על ידי Agent Engine (גרסת Preview)

זליגת נתונים: זליגת נתונים מ-BigQuery

העברה לא מורשית: חילוץ נתונים מ-BigQuery

העברה לא מורשית: נתונים מ-BigQuery ל-Google Drive

העברה לא מורשית של נתונים: מעבר למשאב ציבורי של BigQuery‏ (גרסת Preview)

 ללא
יומני ביקורת כלליים של פעילות אדמין

התחמקות מהגנה: שינוי של סינון כתובות IP בדלי GCS

התחמקות מהגנה: חסימת מדיניות HTTP של הפרויקט הושבתה

גילוי: קריאה ל-API של חשבון שירות לא מורשה ב-Agent Engine (תצוגה מקדימה)

גישה ראשונית: פעולות שנדחו בגלל הרשאה מוגזמת של זהות במנוע סוכנים (גרסת טרום-השקה (Preview))

גישה ראשונית: פעולה בחשבון שירות לא פעיל

גישה ראשונית: פעילות בחשבון שירות רדום בשירות AI

גישה ראשונית: נוצר מפתח לחשבון שירות לא פעיל

גישה ראשונית: פעולות שנדחו בגלל הרשאות מוגזמות

גישה ראשונית: נעשה שימוש במפתח של חשבון שירות שדלף

תנועה לרוחב: דיסק אתחול שונה שצורף למופע (תצוגה מקדימה)

התמדה: אדמין ב-GCE הוסיף מפתח SSH

התמדה: אדמין ב-GCE הוסיף סקריפט הפעלה

התמדה: שיטת API חדשה של AI

התמדה: שיטת API חדשה

התמדה: מיקום גיאוגרפי חדש

עמידות: מיקום גיאוגרפי חדש לשירות AI

התמדה: סוכן משתמש חדש

העלאת רמת הרשאה: התחזות חריגה לחשבון שירות לצורך פעילות אדמין

העלאת רמת הרשאה: התחזות חריגה לחשבון שירות לצורך פעילות אדמין של AI

העלאת רמת הרשאה: העברה חריגה של הרשאות לחשבון שירות במספר שלבים, לצורך פעילות אדמין

העלאת רמת ההרשאה: העברה חריגה של הרשאות לחשבון שירות במספר שלבים לפעילות אדמין של AI

העלאת רמת הרשאה: התחזות חריגה לחשבון שירות עבור פעילות אדמין

העלאת רמת הרשאה: התחזות חריגה לחשבון שירות בפעילות אדמין של AI

ללא
יומני ביקורת של פעילות אדמין ב-Google Kubernetes Engine‏ (GKE)

Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR)

גישה לפרטי כניסה: חתימה על אישור Kubernetes שאושרה ידנית (CSR) (תצוגה מקדימה)

התחמקות מהגנה: סשנים אנונימיים קיבלו גישת אדמין לאשכול

התחמקות מהגנה: מחיקה ידנית של בקשת חתימה על אישור (CSR)

התחמקות מהגנה: הסתרה פוטנציאלית של Pod ב-Kubernetes

התחמקות מהגנה: נוצר Pod סטטי

ביצוע: השקת קונטיינר עם יכולות מוגזמות ב-GKE (תצוגה מקדימה)

ביצוע: נוצר Kubernetes Pod עם ארגומנטים של Reverse Shell פוטנציאלי

ביצוע: הפעלה חשודה או צירוף לפוד של מערכת (תצוגה מקדימה)

הרצה: עומס עבודה מופעל במרחב שמות רגיש

השפעה: זוהה שינוי ב-kube-dns ב-GKE (גרסת Preview)

השפעה: שמות חשודים של קונטיינרים ב-Kubernetes – כריית מטבעות וירטואליים

גישה ראשונית: משאב GKE אנונימי שנוצר מהאינטרנט (גרסת Preview)

גישה ראשונית: נוצר שירות NodePort של GKE

גישה ראשונית: משאב GKE שונה באופן אנונימי מהאינטרנט (תצוגה מקדימה)

גישה ראשונית: קריאה ל-API בוצעה בהצלחה מכתובת IP של שרת proxy של TOR

‫Persistence: GKE Webhook Configuration Detected

התמדה: חשבון שירות שנוצר במרחב שמות רגיש

הסלמת הרשאות: שינויים באובייקטים רגישים של Kubernetes RBAC

הסלמת הרשאות: ClusterRole עם פעלים שדורשים הרשאות מיוחדות (תצוגה מקדימה)

הסלמת הרשאות: ClusterRoleBinding לתפקיד עם הרשאות

הסלמת הרשאות: יצירת בקשת חתימה על אישור (CSR) של Kubernetes לאישור הראשי

הסלמת הרשאות: יצירה של קשרי Kubernetes רגישים

העלאת הרשאות: משתמשים אנונימיים מקבלים גישה לאשכול GKE

הסלמת הרשאות: הפעלה של קונטיינר Kubernetes עם הרשאות

הסלמת הרשאות: שמות חשודים של קונטיינרים ב-Kubernetes – ניצול ופריצה (גרסת טרום-השקה (Preview))

העלאת רמת הרשאות: עומס עבודה שנוצר עם נתיב מארח רגיש Mount (תצוגה מקדימה)

העלאת רמת הרשאות: עומס עבודה עם האפשרות shareProcessNamespace מופעלת (תצוגה מקדימה)

ללא
יומני ביקורת של פעילות אדמין ב-IAM

התמדה: הענקת הרשאות חריגה ב-IAM (תצוגה מקדימה)

התמדה: חשבון לא מנוהל קיבל תפקיד עם הרשאות רגישות

העלאת רמת הרשאה: חשבון השירות שמוגדר כברירת המחדל של Compute Engine SetIAMPolicy

העלאת רמת הרשאה: חשבון שירות רדום קיבל תפקיד רגיש

העלאת רמת ההרשאה: תפקיד התחזות הוענק לחשבון שירות לא פעיל

הסלמת הרשאות: תפקיד רגיש הוקצה לקבוצה היברידית

 ללא
יומני ביקורת של אירועים במערכת IAM

ביצוע: קובץ אימג' של Docker לכריית מטבע וירטואלי

השפעה: פקודות לכריית מטבע וירטואלי

 ללא
יומני Admin Activity ב-MySQL העברה לא מורשית: שחזור גיבוי של Cloud SQL לארגון חיצוני ללא
יומני Admin Activity ב-PostgreSQL העברה לא מורשית: שחזור גיבוי של Cloud SQL לארגון חיצוני ללא
יומני Admin Activity של SQL Server העברה לא מורשית: שחזור גיבוי של Cloud SQL לארגון חיצוני ללא
יומני ביקורת של VPC Service Controls התחמקות מהגנה: שינוי של VPC Service Control (תצוגה מקדימה) ללא

המאמרים הבאים