Event Threat Detection とは
Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスで、組織またはプロジェクトを継続的にモニタリングし、システム内の脅威を準リアルタイムで特定します。Event Threat Detection は、新たな脅威をクラウド規模で特定するために、新しい検出機能で定期的に更新されます。
Event Threat Detection の仕組み
Event Threat Detection は、組織またはプロジェクトの Cloud Logging ストリームをモニタリングします。組織レベルで Security Command Center のプレミアム ティアを有効にすると、Event Threat Detection はプロジェクトが作成されたときにそのログを使用します。また、Event Threat Detection は Google Workspace ログをモニタリングできます。Cloud Logging には、リソースの構成やメタデータの作成、読み取り、変更を行う API 呼び出しやその他のアクションのログエントリが含まれます。Google Workspace ログは、ドメインへのユーザーのログインを追跡し、Google Workspace 管理コンソールで行われた操作の記録を提供します。
ログエントリには、Event Threat Detection で脅威を迅速に検出するために使用するステータスとイベントの情報が含まれます。Event Threat Detection は、検出ロジックと独自の脅威インテリジェンス(トリップワイヤ インジケーター マッチング、ウィンドウ処理のプロファイリング、高度なプロファイリング、機械学習、異常検出など)を適用して、ほぼリアルタイムで脅威を特定します。
Event Threat Detection は脅威を検出すると、検出結果を Security Command Center に書き込みます。組織レベルで Security Command Center プレミアム ティアを有効にすると、Security Command Center は Cloud Logging プロジェクトに検出結果を書き込むことができます。Cloud Logging と Google Workspace のロギングから、Pub/Sub を使用して検出結果を他のシステムにエクスポートし、Cloud Run functions で処理できます。
組織レベルで Security Command Center のプレミアム ティアを有効にすると、さらに Google Security Operations を使用していくつかの検出結果を調査できます。Google SecOps は、脅威を調査し、統合されたタイムラインで関連するエンティティをピボット分析できる Google Cloud サービスです。検出結果を Google SecOps に送信する手順については、Google SecOps で検出結果を調査するをご覧ください。
検出結果とログを表示および編集できるかどうかは、付与されている Identity and Access Management(IAM)のロールによって決まります。Security Command Center IAM ロールの詳細については、アクセス制御をご覧ください。
Event Threat Detection のルール
ルールは、Event Threat Detection で検出する脅威の種類と、検出器が動作するために有効にする必要があるログの種類を定義します。管理アクティビティ監査ログは常に書き込まれます。構成または無効化することはできません。
Event Threat Detection には、以下のデフォルト ルールが含まれています。
| 表示名 | API 名 | ログソースのタイプ | 説明 |
|---|---|---|---|
| アクティブ スキャン: RCE に対して脆弱な Log4j | 使用不可 | Cloud DNS のログ | Log4j 脆弱性スキャナが、難読化されていないドメインの DNS クエリを開始して識別しました。この脆弱性により、リモートコード実行(RCE)が発生する可能性があります。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 影響: Google Cloud Backup and DR ホストの削除 | BACKUP_HOSTS_DELETE_HOST |
Cloud Audit Logs: Backup and DR サービスの管理アクティビティ監査ログ |
Backup and DR 管理コンソールからホストが削除されました。削除されたホストに関連付けられているアプリケーションは保護されていない可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Google Cloud Backup and DR でのイメージの失効 | BACKUP_EXPIRE_IMAGE |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
ユーザーが Backup and DR 管理コンソールからバックアップ イメージの削除をリクエストしました。バックアップ イメージを削除しても、将来のバックアップは防止されません。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 影響: Google Cloud Backup and DR でのプランの削除 | BACKUP_REMOVE_PLAN |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
アプリケーションの複数のポリシーを含むバックアップ プランが Backup and DR から削除されました。バックアップ プランを削除すると、将来のバックアップが妨げられる可能性があります。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 影響: Google Cloud Backup and DR でのすべてのイメージの失効 | BACKUP_EXPIRE_IMAGES_ALL |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
ユーザーが Backup and DR 管理コンソールから、保護されたアプリケーションのすべてのバックアップ イメージを削除するようリクエストしました。バックアップ イメージを削除しても、将来のバックアップは防止されません。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 影響: Google Cloud Backup and DR でのテンプレートの削除 | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
複数のアプリケーションのバックアップを設定するために使用される事前定義のバックアップ テンプレートが、Backup and DR 管理コンソールから削除されました。今後、バックアップを設定する機能に影響する可能性があります。 検出結果は、デフォルトで重大度「中」に分類されます。 |
| 影響: Google Cloud Backup and DR でのポリシーの削除 | BACKUP_TEMPLATES_DELETE_POLICY |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
バックアップの作成方法と保存場所を定義する Backup and DR ポリシーが、Backup and DR の管理コンソールから削除されました。このポリシーを使用する将来のバックアップは失敗する可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Google Cloud Backup and DR でのプロファイルの削除 | BACKUP_PROFILES_DELETE_PROFILE |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
バックアップの保存に使用するストレージ プールを定義する Backup and DR のプロファイルが、Backup and DR 管理コンソールから削除されました。このプロファイルを使用する将来のバックアップは失敗する可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Google Cloud Backup and DR でのアプライアンスの削除 | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Backup and DR 管理コンソールからバックアップ アプライアンスが削除されました。削除されたバックアップ アプライアンスに関連付けられているアプリケーションは保護されていない可能性があります。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 影響: Google Cloud Backup and DR でのストレージ プールの削除 | BACKUP_STORAGE_POOLS_DELETE |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Cloud Storage バケットを Backup and DR に関連付けたストレージ プールが、Backup and DR 管理コンソールから削除されました。このストレージ ターゲットへの今後のバックアップは失敗します。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Google Cloud Backup and DR でのバックアップ有効期限の短縮 | BACKUP_REDUCE_BACKUP_EXPIRATION |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Backup and DR で保護されているバックアップの有効期限が、Backup and DR 管理コンソールを通じて短縮されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Google Cloud Backup and DR でのバックアップ頻度の低減 | BACKUP_REDUCE_BACKUP_FREQUENCY |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Backup and DR のバックアップ スケジュールが Backup and DR 管理コンソールを通じて変更され、バックアップの頻度が低減しました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Google Cloud Backup and DR での Vault の削除 | BACKUP_DELETE_VAULT |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Backup Vault が削除されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 影響: Google Cloud Backup and DR のバックアップの削除 | BACKUP_DELETE_VAULT_BACKUP |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Backup Vault に保存されているバックアップが手動で削除されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 影響: Google Cloud Backup and DR プランの関連付けの削除 | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Cloud Audit Logs: Backup and DR の管理アクティビティ監査ログ |
Backup and DR のバックアップ プランがワークロードから削除されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| ブルート フォース SSH | BRUTE_FORCE_SSH |
authlog | 攻撃者がブルート フォース手法を使用してホストへの SSH アクセスに成功しました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Cloud IDS ログ |
Cloud IDS が脅威イベントを検出しました。 Cloud IDS は、ミラーリングされたパケットを分析してレイヤ 7 攻撃を検出します。脅威イベントが検出されると、脅威クラスの検出結果を Security Command Center に送信します。検出結果カテゴリ名は「Cloud IDS」で始まり、その後に Cloud IDS 脅威識別子が続きます。 Cloud IDS と Event Threat Detection の統合には、Cloud IDS の脆弱性検出は含まれません。検出結果は、デフォルトで重大度「低」に分類されます。 Cloud IDS の検出について詳しくは、Cloud IDS のロギング情報をご覧ください。 |
| 権限昇格: 特権グループに追加された外部メンバー | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Google Workspace のログ: ログイン監査 権限: DATA_READ |
外部のメンバーが高度な権限を持つ Google グループ(機密性の高いロールまたは権限が付与されたグループ)に追加されました。検出結果が生成されるのは、新しく追加されたメンバーと同じ組織に属する別の外部メンバーがグループにまだ含まれていない場合に限られます。詳しくは、安全ではない Google グループの変更をご覧ください。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。検出結果は、グループの変更に関連付けられたロールの機密性に応じて、「高」または「中」の重大度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 |
| 権限昇格: 一般公開された特権グループ | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: 管理監査 権限: DATA_READ |
高度な権限を持つ Google グループ(機密性の高いロールまたは権限が付与されたグループ)が一般公開に変更されました。詳しくは、安全ではない Google グループの変更をご覧ください。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。検出結果は、グループの変更に関連付けられたロールの機密性に応じて、「高」または「中」の重大度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 |
| 権限昇格: ハイブリッド グループに付与される機密性の高いロール | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
外部メンバーを含む Google グループに機密性の高いロールが付与されました。詳しくは、安全ではない Google グループの変更をご覧ください。 検出結果は、グループの変更に関連付けられたロールの機密性に応じて、「高」または「中」の重大度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 |
| 防御回避: ブレークグラス ワークロードのデプロイの作成(プレビュー) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Cloud Audit Logs: 管理アクティビティ ログ |
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることにより、ワークロードがデプロイされました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: ブレークグラス ワークロードのデプロイの更新(プレビュー) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Cloud Audit Logs: 管理アクティビティ ログ |
ブレークグラス フラグを使用して Binary Authorization コントロールをオーバーライドすることで、ワークロードが更新されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: GCS バケットの IP フィルタリングの変更 | GCS_BUCKET_IP_FILTERING_MODIFIED |
Cloud Audit Logs: 管理アクティビティ ログ |
ユーザーまたはサービス アカウントが Cloud Storage バケットの IP フィルタリング構成を変更しました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: VPC Service Control の変更 | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud Audit Logs VPC Service Controls の監査ログ |
既存の VPC Service Controls の境界が変更され、その境界で提供される保護機能が低下する可能性があります。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: プロジェクト HTTP ポリシー ブロックが無効 | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Cloud Audit Logs: 管理アクティビティ ログ |
ユーザー アカウントまたはサービス アカウントが、プロジェクトで storage.secureHttpTransport を無効にするアクションを正常にトリガーしました。このレベルで適用されたポリシーはデフォルトで子プロジェクトに継承されるため、組織レベルまたはフォルダレベルでアクションが実行された場合にも適用されます。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 検出: 機密性の高い Kubernetes オブジェクトのチェック | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs: GKE データアクセス ログ |
悪意を持っている可能性のある行為者が
検出結果は、デフォルトで重大度「低」に分類されます。 |
| 検出: サービス アカウントの自己調査 | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Cloud Audit Logs: IAM データアクセス監査ログ 権限: DATA_READ |
IAM サービス アカウントの認証情報が、同じサービス アカウントに関連付けられたロールと権限の調査に使用されました。 機密性の高いロール 検出結果は、付与されたロールの機密性に応じて、「高」または「中」の重大度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 |
| 回避: 匿名化プロキシからのアクセス | ANOMALOUS_ACCESS |
Cloud Audit Logs: 管理アクティビティ ログ |
Google Cloud サービスの変更が Tor ネットワークに関連付けられた IP アドレスから発生しました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| データ漏洩: BigQuery データの漏洩 | DATA_EXFILTRATION_BIG_QUERY |
Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限: DATA_READ |
次のシナリオを検出します。
|
| データ漏洩: BigQuery データの抽出 | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限: DATA_READ |
次のシナリオを検出します。
Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「低」に分類されます。 |
| データ漏洩: Google ドライブへの BigQuery データ | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限: DATA_READ |
保護された組織が所有する BigQuery リソースが、抽出オペレーションによって Google ドライブ フォルダに保存されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| データの引き出し: 一般公開の BigQuery リソースに移動 | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限: DATA_READ |
BigQuery リソースが、組織が所有する公開リソースに保存されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| データ漏洩: Cloud SQL データの漏洩 |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs: MySQL データアクセス ログ PostgreSQL データアクセス ログ SQL Server データアクセス ログ |
次のシナリオを検出します。
Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「高」に分類されます。 |
| データ漏洩: Cloud SQL から外部組織へのバックアップの復元 | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit Logs:
MySQL 管理アクティビティ ログ PostgreSQL 管理アクティビティ ログ SQL Server 管理アクティビティ ログ |
Cloud SQL インスタンスのバックアップが組織外のインスタンスに復元されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| データの引き出し: Cloud SQL の過剰な権限付与 | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs: PostgreSQL データアクセス ログ 注: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。 |
Cloud SQL for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: データベース スーパーユーザーによるユーザー テーブルへの書き込み | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs: Cloud SQL for PostgreSQL データアクセス ログ Cloud SQL for MySQL データアクセス ログ 注: このルールを使用するには、PostgreSQL の pgAudit 拡張機能、または MySQL のデータベース監査を有効にする必要があります。 |
Cloud SQL スーパーユーザー(PostgreSQL サーバーの場合は postgres、MySQL ユーザーの場合は root)がシステム以外のテーブルに書き込みました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: AlloyDB の過剰な権限付与 | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs: AlloyDB for PostgreSQL データアクセス ログ 注: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。 |
AlloyDB for PostgreSQL のユーザーまたはロールに、データベースに対するすべての権限、またはスキーマ内のすべてのテーブル、プロシージャ、関数に対するすべての権限が付与されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: ユーザー テーブルに書き込みを行う AlloyDB データベース スーパーユーザー | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs: AlloyDB for PostgreSQL データアクセス ログ 注: このルールを使用するには、pgAudit 拡張機能を有効にする必要があります。 |
AlloyDB for PostgreSQL スーパーユーザー(postgres)がシステム以外のテーブルに書き込みました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: 使われていないサービス アカウントに対するアクション | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs: 管理アクティビティ ログ | 休眠状態のユーザー管理サービス アカウントがアクションをトリガーしました。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 権限昇格: 使われていないサービス アカウントに対する機密性の高いロールの付与 | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
休眠状態のユーザー管理サービス アカウントに 1 つ以上の機密性の高い IAM のロールが付与されました。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。 機密性の高いロール 検出結果は、付与されたロールの機密性に応じて、「高」または「中」の重大度に分類されます。検出結果は、デフォルトで重大度「中」に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 |
| 権限昇格: 使われていないサービス アカウントに対する権限借用ロールの付与 | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ | 使われていないユーザー管理サービス アカウントの権限を借用するための権限がプリンシパルに付与されました。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 初期アクセス: 休眠状態のサービス アカウントに対するキーの作成 | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Cloud Audit Logs: 管理アクティビティ ログ | 休眠状態のユーザー管理サービス アカウントに対して鍵が作成されました。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 初期アクセス: 漏洩したサービス アカウント キーの使用 | LEAKED_SA_KEY_USED |
Cloud Audit Logs:
管理アクティビティ ログ データアクセス ログ |
漏洩したサービス アカウント キーを使用してアクションが認証されました。ここで、漏洩したサービス アカウント キーは公共のインターネットに投稿されたものです。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 初期アクセス: 過剰な権限の拒否アクション | EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs: 管理アクティビティ ログ | プリンシパルが複数のメソッドとサービス間で変更を試みたことで、権限拒否エラーが繰り返しトリガーされました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 永続性: 強力な認証の無効化 |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: 管理者の監査 |
組織で 2 段階認証プロセスが無効になりました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「中」に分類されます。 |
| 永続性: 2 段階認証プロセスの無効化 |
2SV_DISABLE
|
Google Workspace のログ: ログイン監査 権限: DATA_READ |
ユーザーが 2 段階認証プロセスを無効にしました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: アカウントの無効化(ハイジャック) |
ACCOUNT_DISABLED_HIJACKED
|
Google Workspace のログ: ログイン監査 権限: DATA_READ |
不審なアクティビティが検出されたため、ユーザーのアカウントが一時停止されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「中」に分類されます。 |
| 初期アクセス: 無効化(パスワードの漏洩) |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Google Workspace のログ: ログイン監査 権限: DATA_READ |
パスワード漏洩が検出されたため、ユーザーのアカウントが無効となりました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: 政府支援による攻撃 |
GOV_ATTACK_WARNING
|
Google Workspace のログ: ログイン監査 権限: DATA_READ |
政府の支援を受けた攻撃者がユーザー アカウントまたはパソコンの不正使用を試みた可能性があります。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「高」に分類されます。 |
| 初期アクセス: Log4j の悪用 | 使用不可 | Cloud Load Balancing のログ: Cloud HTTP ロードバランサ 注: このルールを使用するには外部アプリケーション ロードバランサのロギングを有効にする必要があります。 |
ヘッダーまたは URL パラメータ内の Java Naming and Directory Interface(JNDI)のルックアップが検出されました。このルックアップは、Log4Shell の悪用の試みを示している可能性があります。これらの検出結果は脆弱性や侵害ではなく、検出や悪用の試みを示すものであるため、重大度は「低」です。 このルールは常に有効になっています。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: 不審なログインのブロック |
SUSPICIOUS_LOGIN
|
Google Workspace のログ: ログイン監査 権限: DATA_READ |
ユーザーのアカウントへの不審なログインが検出され、ブロックされました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| Log4j マルウェア: 不正なドメイン | LOG4J_BAD_DOMAIN |
Cloud DNS のログ | Log4j 攻撃で使用される既知のドメインへの接続やルックアップに基づく、Log4j 脆弱性利用型不正プログラムのトラフィックが検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| Log4j マルウェア: 不正な IP | LOG4J_BAD_IP |
VPC フローログ ファイアウォール ルールのログ Cloud NAT ログ |
Log4j 攻撃で使用される既知の IP アドレスへの接続に基づいて、Log4j 脆弱性利用型不正プログラム トラフィックが検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| マルウェア: 不正ドメイン | MALWARE_BAD_DOMAIN |
Cloud DNS のログ | 既知の不正ドメインへの接続やルックアップに基づいてマルウェアが検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| マルウェア: 不正 IP | MALWARE_BAD_IP |
VPC フローログ ファイアウォール ルールのログ Cloud NAT ログ |
既知の不正な IP アドレスへの接続に基づいてマルウェアが検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| マルウェア: 不正ドメインの暗号化 | CRYPTOMINING_POOL_DOMAIN |
Cloud DNS のログ | 既知のマイニング ドメインへの接続またはルックアップに基づいて、クリプトマイニングが検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| マルウェア: 不正 IP の暗号化 | CRYPTOMINING_POOL_IP |
VPC フローログ ファイアウォール ルールのログ Cloud NAT ログ |
既知のマイニング IP アドレスへの接続に基づいてクリプトマイニングが検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: GCE 管理者による SSH 認証鍵の追加 | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit Logs: Compute Engine 管理アクティビティ監査ログ |
確立されたインスタンス(1 週間以上前)で、Compute Engine インスタンス メタデータ SSH 認証鍵の値が変更されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: GCE 管理者による起動スクリプトの追加 | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit Logs: Compute Engine 管理アクティビティ監査ログ |
確立されたインスタンス(1 週間以上前)で、Compute Engine インスタンス メタデータ起動スクリプトの値が変更されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: IAM 異常付与 | IAM_ANOMALOUS_GRANT |
Cloud Audit Logs : IAM 管理アクティビティ監査ログ |
この検出結果には、この検出結果の各インスタンスについてより具体的な情報を提供するサブルールが含まれています。 次のリストに、含まれる可能性のあるすべてのサブルールを示します。
|
| 永続性: 管理対象外のアカウントに対する機密性の高いロールの付与(プレビュー) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
管理対象外のアカウントに機密性の高いロールが付与されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 永続性: 新しい API メソッド |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: 管理アクティビティ ログ |
IAM サービス アカウントが Google Cloud サービスへの異常なアクセスに使用されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: 新しい地域 | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: 管理アクティビティ ログ |
IAM ユーザーとサービス アカウントが、リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なる場所から Google Cloud にアクセスしました。 この検出結果はプロジェクト レベルで有効にしている場合は利用できません。デフォルトでは重大度「低」に分類されます。 |
| 永続性: 新しいユーザー エージェント | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Cloud Audit Logs: 管理アクティビティ ログ |
IAM サービス アカウントが、通常と異なるユーザー エージェントまたは不審なユーザー エージェントから Google Cloud にアクセスしました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: SSO の有効化の切り替え |
TOGGLE_SSO_ENABLED
|
Google Workspace: 管理者の監査 |
管理者アカウントで SSO(シングル サインオン)の有効化の設定が無効になりました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「高」に分類されます。 |
| 永続性: 変更された SSO 設定 |
CHANGE_SSO_SETTINGS
|
Google Workspace: 管理者の監査 |
管理者アカウントの SSO の設定が変更されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「高」に分類されます。 |
| 権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用 | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理アクティビティ ログ |
管理アクティビティで異常な可能性のあるサービス アカウントの権限借用が使用されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理アクティビティ ログ |
管理アクティビティで異常なマルチステップの代理管理者権限のリクエストが見つかりました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: データアクセスに関する、異常なマルチステップ サービス アカウントの委任 | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: データアクセス ログ |
データアクセス アクティビティで異常なマルチステップの代理管理者権限のリクエストが見つかりました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用 | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理アクティビティ ログ |
委任チェーン内の異常な可能性のある呼び出し元または権限借用が管理アクティビティに使用されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: データアクセスに関する、サービス アカウントの異常な権限借用 | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: データアクセス ログ |
データアクセス アクティビティで、委任チェーン内の異常な可能性のある呼び出し元または権限借用が使用されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: Kubernetes RBAC 機密オブジェクトの変更 | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
権限の昇格を目的として、悪意を持っている可能性のある行為者が PUT または PATCH のリクエストを使用して、機密性の高い cluster-admin ロールの ClusterRole、RoleBinding、または ClusterRoleBinding ロールベース アクセス制御(RBAC)オブジェクトを変更しようとしました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: マスター証明書の Kubernetes CSR の作成 | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
悪意を持っている可能性のある行為者が Kubernetes マスター証明書署名リクエスト(CSR)を作成し、cluster-admin アクセス権が付与されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 権限昇格: 機密性の高い Kubernetes バインディングの作成 | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
権限を昇格させるため、悪意を持っている可能性のある行為者が cluster-admin ロールに新しい RoleBinding オブジェクトまたは ClusterRoleBinding オブジェクトを作成しようとしました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 漏洩したブートストラップ認証情報を使用した Kubernetes CSR の取得 | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs: GKE データアクセス ログ |
悪意を持っている可能性のある行為者が、漏洩したブートストラップ認証情報を使用して kubectl コマンドを実行し、証明書署名リクエスト(CSR)をクエリしました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 権限昇格: Kubernetes 特権コンテナのリリース | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
悪意を持っている可能性のある行為者が、特権コンテナまたは権限昇格機能を備えたコンテナを含む Pod を作成しました。
特権コンテナの |
| 永続性: サービス アカウント キーの作成 | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
サービス アカウント キーが作成されました。サービス アカウント キーは有効期間が長い認証情報であり、 Google Cloudリソースへの不正アクセスが発生するリスクが高まります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: グローバル シャットダウン スクリプトの追加 | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
グローバル シャットダウン スクリプトがプロジェクトに追加されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: グローバル起動スクリプトの追加 | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
グローバル起動スクリプトがプロジェクトに追加されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: 組織レベルのサービス アカウント トークン作成者のロールを追加 | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
サービス アカウント トークン作成者の IAM ロールが組織レベルで付与されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: プロジェクト レベルのサービス アカウント トークン作成者のロールを追加 | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
プロジェクト レベルでサービス アカウント トークン作成者の IAM ロールが付与されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| ラテラル ムーブメント: サービス アカウントからの OS パッチの実行 | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
サービス アカウントが、Compute Engine のパッチ機能を使用して、現在実行中の Compute Engine インスタンスのオペレーティング システムを更新しました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| ラテラル ムーブメント: 変更されたブートディスクのインスタンスへのアタッチ(プレビュー) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud Audit Logs: Compute Engine の監査ログ |
ブートディスクが 1 つの Compute Engine インスタンスから切断され、別のインスタンスに接続されるときを検出します。これは、変更されたブートディスクを使用したシステムの不正アクセスの悪意ある試みを示している可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 認証情報アクセス: Kubernetes Namespace でアクセスされた Secret | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs: GKE データアクセス ログ |
現在の Kubernetes Namespace のサービス アカウントがシークレットまたはサービス アカウント トークンにアクセスしました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| リソース開発: 不適切なセキュリティ ディストリビューション アクティビティ | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
既知のペネトレーション テストまたは攻撃的なセキュリティ ディストリビューションによって Google Cloud リソースの操作が成功しました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 新しいサービス アカウントはオーナーまたは編集者 | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
プロジェクトの編集者またはオーナーのロールを持つ新しいサービス アカウントが作成されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 調査: 情報収集ツールを使用 | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
ScoutSuite の使用が検出されました。ScoutSuite は、脅威アクターが使用していることが知られているクラウド セキュリティ監査ツールです。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 不審なトークンの生成 | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
iam.serviceAccounts.implicitDelegation 権限が不正使用され、より高い権限を持つサービス アカウントからアクセス トークンが生成されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 不審なトークンの生成 | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
サービス アカウントが serviceAccounts.signJwt メソッドを使用して別のサービス アカウントのアクセス トークンを生成しました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 不審なトークンの生成 | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 不審なトークンの生成 | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 不審なプロジェクト間の権限の使用 | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「低」に分類されます。 |
| コマンド&コントロール: DNS トンネリング | DNS_TUNNELING_IODINE_HANDSHAKE |
Cloud DNS のログ | DNS トンネリング ツール Iodine の handshake が検出されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: VPC ルート マスカレードの試行 | VPC_ROUTE_MASQUERADE |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
Google Cloud のデフォルト ルートとして偽装された VPC ルートが手動で作成され、外部 IP アドレスへの下り(外向き)トラフィックが許可されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 影響: 課金を無効化 | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
プロジェクトの課金が無効になりました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: 課金を無効化 | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
組織内の複数のプロジェクトに対して、短期間に課金が無効にされました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: VPC ファイアウォールの高優先度ブロック | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
すべての下り(外向き)トラフィックをブロックする VPC ファイアウォール ルールが優先度 0 で追加されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: VPC ファイアウォール ルールの一括削除一時的に利用不可 | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
サービス以外のアカウントによって VPC ファイアウォール ルールが大量に削除されました。 このルールは一時的に利用できません。ファイアウォール ルールの更新をモニタリングするには、Cloud Audit Logs を使用します。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: Service API が無効化 | SERVICE_API_DISABLED |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
本番環境で Google Cloud サービス API が無効になりました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: マネージド インスタンス グループの自動スケーリングを最大に設定 | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
マネージド インスタンス グループが、自動スケーリングが最大になるよう構成されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 検出: 未承認のサービス アカウント API 呼び出し | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs: IAM 管理アクティビティ監査ログ |
サービス アカウントが未承認のプロジェクト間 API 呼び出しを行いました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: 匿名セッションにクラスタ管理者権限が付与される | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
ロールベース アクセス制御(RBAC)ClusterRoleBinding オブジェクトが作成され、匿名ユーザーに root-cluster-admin-binding の動作が追加されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 永続性: AI サービスの新しい地域 | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Cloud Audit Logs: 管理アクティビティ ログ |
IAM ユーザーとサービス アカウントが、リクエスト元の IP アドレスの位置情報に基づいて、通常とは異なる場所から Google Cloud AI サービスにアクセスしました。 この検出結果はプロジェクト レベルで有効にしている場合は利用できません。デフォルトでは重大度「低」に分類されます。 |
| 権限昇格: AI 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理アクティビティ ログ |
AI サービスの管理アクティビティで、異常なマルチステップの委任リクエストが見つかりました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: AI データアクセスに関する、異常なマルチステップ サービス アカウントの委任 | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs: データアクセス ログ |
AI サービスのデータアクセス アクティビティで、異常なマルチステップの委任リクエストが見つかりました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: AI 管理アクティビティに関する、サービス アカウントの異常な権限借用 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理アクティビティ ログ |
委任チェーン内の異常な可能性のある呼び出し元または権限借用が、AI サービスの管理アクティビティに使用されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: AI データアクセスに関する、サービス アカウントの異常な権限借用 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs: データアクセス ログ |
委任チェーン内の異常な可能性のある呼び出し元または権限借用が、AI サービスのデータアクセス アクティビティに使用されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: AI 管理アクティビティに関する、サービス アカウントの異常な権限借用 | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Cloud Audit Logs: 管理アクティビティ ログ |
異常な可能性のあるサービス アカウントの権限借用が、AI サービスの管理アクティビティに使用されました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 永続性: 新しい AI API メソッド |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Cloud Audit Logs: 管理アクティビティ ログ |
IAM サービス アカウントが Google Cloud AI サービスへの異常なアクセスに使用されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: AI サービスに関する、使われていないサービス アカウントのアクティビティ | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Cloud Audit Logs: 管理アクティビティ ログ | 休眠状態のユーザー管理サービス アカウントが AI サービスでアクションをトリガーしました。この場合、180 日を超えて非アクティブなサービス アカウントは、休眠状態と見なされます。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 初期アクセス: インターネットから匿名で作成された GKE リソース(プレビュー) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
実質的に匿名のインターネット ユーザーによってリソースが作成されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 初期アクセス: インターネットから匿名で変更された GKE リソース(プレビュー) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
実質的に匿名のインターネット ユーザーによってリソースが操作されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 権限昇格: 実質的に匿名のユーザーに GKE クラスタへのアクセス権を付与 | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
次のユーザーまたはグループのいずれかを参照する RBAC バインディングが作成されました。
これらのユーザーとグループは実質的に匿名であるため、RBAC ロールへのロール バインディングまたはクラスタロール バインディングを作成する場合は避ける必要があります。バインディングが必要なことを確認します。バインディングが不要な場合は削除します。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 実行: 不審な実行またはシステム Pod へのアタッチ(プレビュー) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、exec コマンドまたは attach コマンドを使用して、シェルを取得したか、または、kube-system Namespace で実行されているコンテナに対してコマンドを実行しました。これらのメソッドは、正当なデバッグ目的で使用されることもあります。ただし、kube-system Namespace は Kubernetes によって作成されたシステム オブジェクトを対象としており、予期しないコマンド実行やシェルの作成は確認する必要があります。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: 機密性の高いホストパスのマウントを使用して作成されたワークロード(プレビュー) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、ホストノードのファイル システム上の機密性の高いパスに hostPath ボリューム マウントを含むワークロードを作成しました。ホスト ファイルシステム上のこれらのパスへのアクセスは、ノードの特権情報や機密情報へのアクセスや、コンテナ エスケープに使用される可能性があります。可能であれば、クラスタで hostPath ボリュームを許可しないでください。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: shareProcessNamespace が有効なワークロード(プレビュー) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、shareProcessNamespace オプションを true に設定してワークロードをデプロイし、すべてのコンテナが同じ Linux プロセス名前空間を共有できるようにしました。これにより、信頼できないコンテナや不正使用されたコンテナが、他のコンテナで実行中のプロセスから環境変数、メモリ、その他の機密データにアクセスして制御することで、権限を昇格させるおそれがあります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 特権動詞を含む ClusterRole(プレビュー) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、bind、escalate、impersonate のいずれかの動詞を含む RBAC ClusterRole を作成しました。これらの動詞を使用してロールにバインドされたサブジェクトは、より高い権限を持つ他のユーザーの権限を借用したり、追加の権限を含む追加の Roles または ClusterRoles にバインドしたり、自身の ClusterRole 権限を変更したりできます。これにより、これらのサブジェクトが cluster-admin 権限を取得する可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: 特権ロールへの ClusterRoleBinding | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、デフォルトの system:controller:clusterrole-aggregation-controller ClusterRole を参照する RBAC ClusterRoleBinding を作成しました。このデフォルトの ClusterRole には escalate 動詞があります。これにより、サブジェクトは自分のロールの権限を変更し、権限昇格を許可できます。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: 手動で削除された証明書署名リクエスト(CSR) | GKE_MANUALLY_DELETED_CSR |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、証明書署名リクエスト(CSR)を手動で削除しました。CSR はガベージ コレクション コントローラによって自動的に削除されますが、悪意のある行為者が検出を回避するために手動で削除する可能性があります。削除された CSR が承認および発行された証明書に対するものの場合、悪意を持つ可能性のある行為者は、クラスタにアクセスするための追加の認証方法を取得するようになります。証明書に関連付けられた権限は、含まれているサブジェクトによって異なりますが、非常に高い権限になる可能性があります。Kubernetes は証明書の取り消しをサポートしていません。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 認証情報アクセス: 失敗した Kubernetes 証明書署名リクエスト(CSR)の承認 | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、手動で証明書署名リクエスト(CSR)を承認しようとしたものの、この操作は失敗しました。クラスタ認証用の証明書を作成することは、攻撃者が侵害されたクラスタへの永続的なアクセスを作成する一般的な方法です。証明書に関連付けられている権限は、含まれているサブジェクトによって異なりますが、非常に高い権限が付与されている可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 認証情報アクセス: 手動で承認された Kubernetes 証明書署名リクエスト(CSR)(プレビュー) | GKE_CSR_APPROVED |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、証明書署名リクエスト(CSR)を手動で承認しました。クラスタ認証用の証明書を作成することは、攻撃者が侵害されたクラスタへの永続的なアクセスを作成する一般的な方法です。証明書に関連付けられた権限は、含まれているサブジェクトによって異なりますが、非常に高い権限になる可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 実行: リバースシェルを発生させる可能性がある引数を使用して作成された Kubernetes Pod | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、一般的にリバースシェルに関連付けられているコマンドまたは引数を含む Pod を作成しました。攻撃者はリバースシェルを使用して、クラスタへの初期アクセスを拡大または維持し、任意のコマンドを実行します。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 防御回避: Kubernetes Pod のマスカレードの可能性 | GKE_POD_MASQUERADING |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、通常のクラスタ オペレーションのために GKE が作成するデフォルトのワークロードと同様の命名規則で Pod をデプロイしました。この手法はマスカレードと呼ばれます。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: 不審な Kubernetes コンテナ名 - エクスプロイトとエスケープ(プレビュー) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、コンテナ エスケープまたはクラスタに対して他の攻撃を実行するために使用される一般的なツールと同様の命名規則で Pod をデプロイしました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 永続性: 機密性の高い名前空間で作成されたサービス アカウント | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
機密性の高い名前空間にサービス アカウントが作成されました。kube-system 名前空間と kube-public 名前空間は GKE クラスタ オペレーションに不可欠であり、未承認のサービス アカウントはクラスタの安定性とセキュリティを損なう可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 影響: 不審な Kubernetes コンテナ名 - 暗号通貨マイニング | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、一般的な暗号通貨マイナーと同様の命名規則で Pod をデプロイしました。クラスタへの初期アクセスを達成した攻撃者が、クラスタのリソースを暗号通貨マイニングに使用しようとしている可能性があります。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 実行: 機密性の高い名前空間でトリガーされたワークロード | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが kube-system または kube-public 名前空間にワークロード(Pod や Deployment など)をデプロイしました。これらの名前空間は GKE クラスタ オペレーションに不可欠であり、未承認のワークロードはクラスタの安定性やセキュリティを損なう可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 実行: GKE で過剰な機能を持つコンテナを起動する(プレビュー) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが、セキュリティ コンテキストが昇格したクラスタで、次の 1 つ以上の機能を備えたコンテナを作成しました。
|
| 永続性: 検出された GKE Webhook 構成 | GKE_WEBHOOK_CONFIG_CREATED |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
GKE クラスタで Webhook 構成が検出されました。Webhook は Kubernetes API リクエストをインターセプトして変更できるため、攻撃者がクラスタ内に留まる可能性や、リソースを操作する可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 防御回避: 静的 Pod の作成 | GKE_STATIC_POD_CREATED |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが GKE クラスタに静的 Pod を作成しました。静的 Pod はノードで直接実行され、Kubernetes API サーバーをバイパスするため、モニタリングと制御が難しくなります。攻撃者は、静的 Pod を使用して検出を回避したり、永続性を維持したりする可能性があります。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: TOR プロキシ IP から行われた API 呼び出し | GKE_TOR_PROXY_IP_REQUEST |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
Tor ネットワークに関連付けられた IP アドレスから GKE クラスタへの API 呼び出しが成功しました。Tor では匿名性を確保できるため、攻撃者はこれを悪用して身元を隠すことがよくあります。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 初期アクセス: 作成された GKE NodePort サービス | GKE_NODEPORT_SERVICE_CREATED |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
NodePort サービスが作成されました。NodePort サービスは、ノードの IP アドレスと静的ポートで Pod を直接公開するため、クラスタの外部から Pod にアクセスできます。これにより、攻撃者が公開サービスの脆弱性を悪用してクラスタや機密データにアクセスする可能性があるため、重大なセキュリティ リスクをもたらす可能性があります。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 影響: GKE kube-dns の変更が検出されました(プレビュー) | GKE_KUBE_DNS_MODIFICATION |
Cloud Audit Logs: GKE 管理アクティビティ ログ |
誰かが GKE クラスタの kube-dns 構成を変更しました。GKE kube-dns はクラスタのネットワーキングの重要なコンポーネントであり、構成ミスはセキュリティ侵害につながる可能性があります。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 影響: クリプトマイニング コマンド | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: IAM システム イベント監査ログ |
特定のクリプトマイニング コマンドが、実行中の Cloud Run ジョブの接続されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 実行: クリプトマイニング Docker イメージ | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: IAM システム イベント監査ログ |
特定の既知の不正な Docker イメージが、新規または既存の Cloud Run サービスまたはジョブに接続されました。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 権限昇格: デフォルトの Compute Engine サービス アカウントの SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: 管理アクティビティ ログ |
デフォルトの Compute Engine サービス アカウントを使用して、Cloud Run サービスの IAM ポリシーが設定されました。これは、サーバーレス サービスから Compute Engine トークンが漏洩した場合に発生する可能性があるエクスプロイト後のアクションです。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: 匿名化プロキシ IP からの CloudDB へのログイン成功 | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Cloud Audit Logs: AlloyDB for PostgreSQL データアクセス ログ Cloud SQL for PostgreSQL データアクセス ログ Cloud SQL for MySQL データアクセス ログ 注: AlloyDB と Postgres でこのルールを使用するには、PostgreSQL で IP ロギングを有効にする必要があります。 |
既知の匿名化 IP アドレスからデータベース インスタンスへのログインが成功したことが検出されました。これは、攻撃者がインスタンスへの初期アクセスを取得したことを示している可能性があります。検出結果は、デフォルトで重大度「高」に分類されます。 |
| 認証情報アクセス: 匿名化プロキシ IP からの CloudDB へのログイン失敗 | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Cloud Audit Logs: AlloyDB for PostgreSQL データアクセス ログ Cloud SQL for PostgreSQL データアクセス ログ Cloud SQL for MySQL データアクセス ログ 注: AlloyDB と Postgres でこのルールを使用するには、PostgreSQL で IP ロギングを有効にする必要があります。 |
既知の匿名化 IP アドレスからデータベース インスタンスへのログイン失敗が検出されました。これは、攻撃者がインスタンスへの不正アクセスを試みていることを示している可能性があります。検出結果は、デフォルトで重大度「中」に分類されます。 |
Event Threat Detection 用のカスタム モジュール
Event Threat Detection には、組み込みの検出ルールに加えて、カスタム検出ルールの作成に使用できるモジュール テンプレートが用意されています。詳細については、Event Threat Detection のカスタム モジュールの概要をご覧ください。
カスタム モジュール テンプレートが使用できない検出ルールを作成するには、ログデータを BigQuery にエクスポートしてから、脅威モデルをキャプチャする一意の SQL クエリまたは繰り返しの SQL クエリを実行します。
安全ではない Google グループの変更
このセクションでは、Event Threat Detection で Google Workspace のログ、Cloud Audit Logs、IAM ポリシーを使用して、安全でない Google グループの変更を検出する方法について説明します。Google グループの変更の検出は、組織レベルで Security Command Center を有効にしている場合にのみサポートされます。
Google Cloud のお客様は、Google グループを使用して組織内のメンバーのロールと権限を管理し、ユーザーのコレクションにアクセス ポリシーを適用できます。ロールをメンバーに直接付与する代わりに、管理者は Google グループにロールと権限を付与し、そのメンバーを特定のグループに追加できます。グループ メンバーは、グループのすべてのロールと権限を継承します。これにより、メンバーは特定のリソースとサービスにアクセスできます。
Google グループはアクセス制御を大規模に管理するのに便利ですが、組織やドメイン外の外部ユーザーが特権グループ(機密性の高いロールまたは権限が付与されているグループ)に追加されている場合、リスクをもたらす可能性があります。機密性の高いロールはセキュリティとネットワークの設定、ログ、個人を特定できる情報(PII)へのアクセスを制御するため、外部グループのメンバーにはおすすめしません。
大規模な組織では、外部のメンバーが特権グループに追加されたことを管理者が認識しない可能性があります。Cloud Audit Logs はグループへのロール付与を記録しますが、これらのログイベントにはグループ メンバーに関する情報が含まれていないため、一部のグループの変更による影響の可能性が不明瞭になる可能性があります。
Google Cloudと Google Workspace のログを共有している場合、Event Threat Detection は組織の Google グループに追加された新しいメンバーのロギング ストリームをモニタリングします。ログは組織レベルで作成されるため、組織レベルで Security Command Center を有効にした場合にのみ、Event Threat Detection は Google Workspace のログをスキャンできます。プロジェクト レベルで Security Command Center を有効にしている場合、Event Threat Detection はこのログをスキャンできません。
Event Threat Detection は外部のグループ メンバーを識別できます。Cloud Audit Logs を使用して、影響を受ける各グループの IAM ロールを確認し、そのグループに機密性の高いロールが付与されているかどうかを確認します。この情報は、特権 Google グループへの安全でない変更を検出するために使用されます。
- 特権グループに追加された外部のグループ メンバー
- 外部のグループ メンバーを含むグループに付与される機密性の高いロールまたは権限
- 一般ユーザーが誰でも参加できるように変更された特権グループ
Event Threat Detection は検出結果を Security Command Center に書き込みます。検出結果には、新しく追加された外部メンバー、イベントを開始した内部グループ メンバー、グループ名、グループに関連付けられた機密性の高いロールのメールアドレスが含まれます。この情報を使用して、グループから外部メンバーを削除することや、グループに付与されている機密性の高いロールを取り消すことが可能になります。
Event Threat Detection の検出結果の詳細については、Event Threat Detection のルールをご覧ください。
機密性の高い IAM のロールと権限
このセクションでは、Event Threat Detection が機密性の高い IAM ロールを定義する方法について説明します。IAM 異常付与や安全でない Google グループの変更などの検出では、変更に機密性が高いロールまたは中程度のロールが含まれる場合にのみ、検出結果が生成されます。ロールの機密性は、検出結果に割り当てられた重大度に影響します。
- 機密性が高いロールは、課金、ファイアウォール設定、ロギングなど、組織における重要なサービスを制御します。これらのロールに一致する検出結果は、重大度高に分類されます。
- 機密性が中程度のロールには、プリンシパルが Google Cloud リソースに変更を加えるための編集権限があります。また、機密データを保持するデータ ストレージ サービスに関する権限の表示と実行も可能です。検出結果に割り当てられる重大度は、リソースによって異なります。
- 中程度の機密性のロールが組織レベルで付与されている場合、検出結果は高重大度に分類されます。
- 中程度の機密性のロールがリソース階層の下位レベル(フォルダ、プロジェクト、バケットなど)で付与されている場合、検出結果は中程度の重大度に分類されます。
権限付与対象が外部メンバーまたは異常な ID(長期間アクティブでないプリンシパルなど)である場合、これらの機密性の高いロールを付与することは危険と見なされます。
機密性の高いロールを外部メンバーに付与すると、アカウントの不正使用やデータの引き出しに悪用される可能性があります。
これらの機密性の高いロールを使用するカテゴリには、次のようなものがあります。
- 永続性: IAM 異常付与
- サブルール:
external_service_account_added_to_policy - サブルール:
external_member_added_to_policy
- サブルール:
- 権限昇格: ハイブリッド グループに付与される機密性の高いロール
- 権限昇格: 使われていないサービス アカウントに対する機密性の高いロールの付与
機密性の高いロールのサブセットを使用するカテゴリには、次のようなものがあります。
- 永続性: IAM 異常付与
- サブルール:
service_account_granted_sensitive_role_to_member
- サブルール:
service_account_granted_sensitive_role_to_member サブルールは外部メンバーと内部メンバーの両方を対象としているため、Event Threat Detection のルールで説明されているように、機密性の高いロールのサブセットのみを使用します。
| カテゴリ | 役割 | 説明 |
|---|---|---|
| 基本ロール: すべての Google Cloud サービスにかかわる多くの権限が含まれます。 | roles/owner |
基本ロール |
roles/editor |
||
| セキュリティ ロール: セキュリティ設定へのアクセスを制御します。 | roles/cloudkms.* |
すべての Cloud Key Management Service のロール |
roles/cloudsecurityscanner.* |
すべての Web Security Scanner のロール | |
roles/dlp.* |
すべての機密データ保護のロール | |
roles/iam.* |
すべての IAM ロール | |
roles/secretmanager.* |
すべての Secret Manager のロール | |
roles/securitycenter.* |
すべての Security Command Center のロール | |
| Logging のロール: 組織のログへのアクセスを制御します。 | roles/errorreporting.* |
すべての Error Reporting のロール |
roles/logging.* |
すべての Cloud Logging のロール | |
roles/stackdriver.* |
すべての Cloud Monitoring のロール | |
| 個人情報のロール: 銀行情報や連絡先情報など、個人を特定できる情報を含むリソースへのアクセスを制御します。 | roles/billing.* |
すべての Cloud Billing のロール |
roles/healthcare.* |
すべての Cloud Healthcare API のロール | |
roles/essentialcontacts.* |
すべての重要な連絡先のロール | |
| ネットワーキングのロール: 組織のネットワーク設定へのアクセスを制御します。 | roles/dns.* |
すべての Cloud DNS のロール |
roles/domains.* |
すべての Cloud Domains のロール | |
roles/networkconnectivity.* |
すべての Network Connectivity Center のロール | |
roles/networkmanagement.* |
すべての Network Connectivity Center のロール | |
roles/privateca.* |
すべての Certificate Authority Service のロール | |
| サービスのロール: Google Cloudのサービス リソースへのアクセスを制御します。 | roles/cloudasset.* |
すべての Cloud Asset Inventory のロール |
roles/servicedirectory.* |
すべての Service Directory のロール | |
roles/servicemanagement.* |
すべての Service Management のロール | |
roles/servicenetworking.* |
すべての Service Networking のロール | |
roles/serviceusage.* |
すべての Service Usage のロール | |
| Compute Engine のロール: 長時間実行ジョブを実行し、ファイアウォール ルールに関連付けられている Compute Engine 仮想マシンへのアクセスを制御します。 |
|
すべての Compute Engine の管理者と編集者のロール |
| カテゴリ | 役割 | 説明 |
|---|---|---|
| 編集のロール: Google Cloud リソースに変更を加える権限を含む IAM ロール |
例:
|
ロール名は通常、管理者、オーナー、編集者、ライターなどのタイトルで終わります。 テーブルの最後の行でノードを開くと、機密性が中程度のすべてのロールが表示されます。 |
| データ ストレージのロール: データ ストレージ サービスを表示して実行する権限を含む IAM ロール |
例:
|
テーブルの最後の行でノードを開くと、機密性が中程度のすべてのロールが表示されます。 |
|
すべての機密性が中程度のロール
Managed Service for Microsoft Active Directory
Vertex AI Workbench ユーザー管理ノートブック
|
||
ログのタイプと有効化の要件
このセクションでは、Event Threat Detection が使用するログと、Event Threat Detection が各ログで検索する脅威、各ログを有効にするために必要な操作について説明します。
次の条件をすべて満たす場合にのみ、Event Threat Detection のログを有効にする必要があります。
- ログに書き込むプロダクトまたはサービスを使用している。
- Event Threat Detection がログで検出する脅威からプロダクトまたはサービスを保護する必要がある。
- ログがデータアクセス監査ログか、デフォルトで有効になっている他のログである。
特定の脅威が複数のログで検出される場合があります。Event Threat Detection が、すでに有効になっているログ内の脅威を検出できる場合、同じ脅威を検出するために別のログを有効にする必要はありません。
このセクションにないログの場合、そのログを有効化しても、Event Threat Detection はスキャンを実行しません。詳しくは、冗長になる可能性のあるログスキャンをご覧ください。
次の表で説明されているように、一部のログタイプは組織レベルでのみ使用できます。プロジェクト レベルで Security Command Center を有効にすると、Event Threat Detection はこれらのログをスキャンせず、検出結果も生成しません。
基本的なログソース
Event Threat Detection は、基盤となるデータソースを使用して、ネットワーク内の悪意のある可能性のあるアクティビティを検出します。
VPC フローログを使用せずに Event Threat Detection を有効にすると、Event Threat Detection は VPC フローログの独立した、重複している内部ストリームの分析をすぐに開始します。既存の Event Threat Detection の検出結果をさらに調査するには、VPC Flow Logs を有効にして、ログ エクスプローラと Flow Analyzer に手動で移動する必要があります。後日 VPC フローログを有効にした場合、今後の検出結果にのみ、詳細な調査に関連するリンクが含まれます。
VPC フローログを使用して Event Threat Detection を有効にすると、Event Threat Detection は Deployment 内の VPC フローログの分析をすぐに開始します。また、ログ エクスプローラと Flow Analyzer へのリンクが提供され、詳細な調査に役立ちます。
マルウェアのネットワーク検出のログ
Event Threat Detection は、次のいずれかのログをスキャンして、マルウェアのネットワーク検出を行います。
- Cloud DNS ロギング
- Cloud NAT ロギング
- ファイアウォール ルールのロギング
- VPC フローログ
複数の Cloud NAT ロギング、ファイアウォール ルール ロギング、VPC フローログを有効にする必要はありません。
すでに Cloud DNS ロギングを使用している場合、Event Threat Detection はドメイン解決を使用してマルウェアを検出できます。ほとんどの場合、マルウェアのネットワーク検知には Cloud DNS ログで十分です。
ドメイン解決以上の別のレベルの可視性が必要な場合は、VPC フローログを有効にできますが、VPC フローログにより費用が発生する可能性があります。このような費用を管理するには、集計間隔を 15 分に伸ばし、サンプルレートを 5~10% に減らすことをおすすめしますが、再現率(高いサンプルレート)とコスト管理(低いサンプルレート)にはトレードオフがあります。詳細については、ログのサンプリングと処理をご覧ください。
すでにファイアウォール ルール ロギングや Cloud NAT ロギングを使用している場合、これらのログは VPC フローログの代わりとして有用です。
サポートされているログデータと検出された脅威
このセクションでは、Event Threat Detection で検出できる脅威の数を増やすために、有効化またはその他の方法で構成できる Cloud Logging と Google Workspace のログを示します。
異常な権限借用やサービス アカウントの委任による脅威など、特定の脅威はほとんどの監査ログで確認できます。このようなタイプの脅威では、使用するプロダクトやサービスに応じて有効にするログを決定します。
次の表に、有効にできる特定のログと、検出できる脅威の種類を示します。
| Log type | Threats detected | Configuration required |
|---|---|---|
| Cloud DNS logging |
Log4j Malware: Bad Domain Malware: bad domain Malware: Cryptomining Bad Domain |
Turn on Cloud DNS logging |
| Cloud NAT logging |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Turn on Cloud NAT logging
See also Logs for network detection of malware. |
| Firewall Rules Logging |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Turn on Firewall Rules Logging
See also Logs for network detection of malware. |
| Google Kubernetes Engine (GKE) Data Access audit logs |
Discovery: Can get sensitive Kubernetes object check Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Activate Logging Data Access audit logs for GKE |
| Google Workspace Admin Audit logs |
Persistence: SSO Enablement Toggle Persistence: SSO Settings Changed Persistence: Strong Authentication Disabled Persistence: Two Step Verification Disabled Privilege Escalation: Privileged Group Opened To Public |
Share Google Workspace Admin Audit logs with Cloud Logging This log type can't be scanned in project-level activations. |
| Google Workspace Login Audit logs |
Credential Access: External Member Added To Privileged Group Initial Access: Account Disabled Hijacked Initial Access: Disabled Password Leak Initial Access: Government Based Attack Initial Access: Suspicious Login Blocked Persistence: Two Step Verification Disabled |
Share Google Workspace Login Audit logs with Cloud Logging This log type can't be scanned in project-level activations. |
| External Application Load Balancer backend service logs | Initial Access: Log4j Compromise Attempt | Turn on external Application Load Balancer logging |
| Cloud SQL MySQL Data Access audit logs |
Exfiltration: Cloud SQL Data Exfiltration Initial Access: CloudDB Successful login from Anonymizing Proxy IP Credential Access: CloudDB Failed login from Anonymizing Proxy IP |
Activate Logging Data Access audit logs for Cloud SQL for MySQL |
| Cloud SQL PostgreSQL Data Access audit logs |
Exfiltration: Cloud SQL Data Exfiltration Exfiltration: Cloud SQL Over-Privileged Grant Initial Access: CloudDB Successful login from Anonymizing Proxy IP Credential Access: CloudDB Failed login from Anonymizing Proxy IP |
|
| AlloyDB for PostgreSQL Data Access audit logs |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables Privilege Escalation: AlloyDB Over-Privileged Grant Initial Access: CloudDB Successful login from Anonymizing Proxy IP Credential Access: CloudDB Failed login from Anonymizing Proxy IP |
|
| IAM Data Access audit logs | Discovery: Service Account Self-Investigation | Activate Logging Data Access audit logs for Resource Manager |
| SQL Server Data Access audit logs | Exfiltration: Cloud SQL Data Exfiltration | Activate Logging Data Access audit logs for Cloud SQL for SQL Server |
| Generic Data Access audit logs |
Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Activate Logging Data Access audit logs. |
| authlogs/authlog on virtual machines | Brute force SSH | Install the Ops Agent or the legacy Logging agent on your VM hosts |
| VPC Flow Logs |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Turn on VPC Flow Logs
See also Logs for network detection of malware. |
常に有効なログ
次の表に、有効にする必要も、構成する必要もない Cloud Logging のログを示します。これらのログは常に有効になっており、Event Threat Detection によって自動的にスキャンされます。
| ログタイプ | 検出される脅威 | 設定が必要です |
|---|---|---|
| BigQueryAuditMetadata データアクセス ログ |
データ漏洩: BigQuery データの漏洩 データ漏洩: BigQuery データの抽出 データ漏洩: Google ドライブへの BigQuery データ データの引き出し: 一般公開の BigQuery リソースに移動(プレビュー) |
なし |
| Google Kubernetes Engine(GKE)管理アクティビティ監査ログ |
認証情報アクセス: 失敗した Kubernetes 証明書署名リクエスト(CSR)の承認 認証情報アクセス: 手動で承認された Kubernetes 証明書署名リクエスト(CSR)(プレビュー) 防御回避: 匿名セッションにクラスタ管理者権限が付与される 防御回避: 手動で削除された証明書署名リクエスト(CSR) 防御回避: Kubernetes Pod のマスカレードの可能性 防御回避: 静的 Pod の作成 実行: GKE で過剰な機能を持つコンテナを起動する(プレビュー) 実行: リバースシェルを発生させる可能性がある引数を使用して作成された Kubernetes Pod 実行: 不審な実行またはシステム Pod へのアタッチ(プレビュー) 実行: 機密性の高い名前空間でトリガーされたワークロード 影響: GKE kube-dns の変更が検出されました(プレビュー) 影響: 不審な Kubernetes コンテナ名 - 暗号通貨マイニング 初期アクセス: インターネットから匿名で作成された GKE リソース(プレビュー) 初期アクセス: 作成された GKE NodePort サービス 初期アクセス: インターネットから匿名で変更された GKE リソース(プレビュー) 初期アクセス: TOR プロキシ IP から行われた API 呼び出し 永続性: 検出された GKE Webhook 構成 永続性: 機密性の高い名前空間で作成されたサービス アカウント 権限昇格: Kubernetes RBAC 機密オブジェクトの変更 権限昇格: 特権動詞を含む ClusterRole(プレビュー) 権限昇格: 特権ロールへの ClusterRoleBinding 権限昇格: マスター証明書の Kubernetes CSR の作成 権限昇格: 機密性の高い Kubernetes バインディングの作成 権限昇格: 実質的に匿名のユーザーに GKE クラスタへのアクセス権を付与 権限昇格: Kubernetes 特権コンテナのリリース 権限昇格: 不審な Kubernetes コンテナ名 - エクスプロイトとエスケープ(プレビュー) 権限昇格: 機密性の高いホストパスのマウントを使用して作成されたワークロード(プレビュー) 権限昇格: shareProcessNamespace が有効なワークロード(プレビュー) |
なし |
| IAM 管理アクティビティ監査ログ |
永続性: IAM 異常付与(プレビュー) 永続性: 管理対象外のアカウントに対する機密性の高いロールの付与 権限昇格: デフォルトの Compute Engine サービス アカウントの SetIAMPolicy 権限昇格: 使われていないサービス アカウントに対する機密性の高いロールの付与 権限昇格: 使われていないサービス アカウントに対する権限借用ロールの付与 権限昇格: ハイブリッド グループに付与される機密性の高いロール |
なし |
| MySQL 管理アクティビティ ログ | データ漏洩: Cloud SQL から外部組織へのバックアップの復元 | なし |
| PostgreSQL 管理アクティビティ ログ | データ漏洩: Cloud SQL から外部組織へのバックアップの復元 | なし |
| SQL Server の管理アクティビティ ログ | データ漏洩: Cloud SQL から外部組織へのバックアップの復元 | なし |
| 一般的な管理アクティビティ監査ログ |
防御回避: GCS バケットの IP フィルタリングの変更 防御回避: プロジェクト HTTP ポリシー ブロックが無効 初期アクセス: 使われていないサービス アカウントに対するアクション 初期アクセス: AI サービスに関する、使われていないサービス アカウントのアクティビティ 初期アクセス: 休眠状態のサービス アカウントに対するキーの作成 初期アクセス: 過剰な権限の拒否アクション 初期アクセス: 漏洩したサービス アカウント キーの使用 ラテラル ムーブメント: 変更されたブートディスクのインスタンスへのアタッチ(プレビュー) 永続性: GCE 管理者による SSH 認証鍵の追加 永続性: GCE 管理者による起動スクリプトの追加 永続性: 新しい AI API メソッド 永続性: 新しい API メソッド 永続性: 新しい地域 永続性: AI サービスの新しい地域 永続性: 新しいユーザー エージェント 権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用 権限昇格: AI 管理アクティビティに関する、サービス アカウントの異常な権限借用 権限昇格: 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 権限昇格: AI 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任 権限昇格: 管理アクティビティに関する、サービス アカウントの異常な権限借用 権限昇格: AI 管理アクティビティに関する、サービス アカウントの異常な権限借用 |
なし |
| VPC Service Controls 監査ログ | 防御回避: VPC Service Controls の変更(プレビュー) | なし |
| Backup and DR の管理アクティビティ監査ログ |
影響: Google Cloud Backup and DR でのすべてのイメージの失効 影響: Google Cloud Backup and DR のバックアップの削除 影響: Google Cloud Backup and DR ホストの削除 影響: Google Cloud Backup and DR プランの関連付けの削除 影響: Google Cloud Backup and DR での Vault の削除 影響: Google Cloud Backup and DR でのポリシーの削除 影響: Google Cloud Backup and DR でのプロファイルの削除 影響: Google Cloud Backup and DR でのテンプレートの削除 影響: Google Cloud Backup and DR でのイメージの失効 影響: Google Cloud Backup and DR でのバックアップ有効期限の短縮 影響: Google Cloud Backup and DR でのバックアップ頻度の低減 影響: Google Cloud Backup and DR でのアプライアンスの削除 影響: Google Cloud Backup and DR でのプランの削除 システム復旧の抑制: Google Cloud Backup and DR によるストレージ プールの削除 |
なし |
| IAM システム イベント監査ログ |
実行: クリプトマイニング Docker イメージ 影響: クリプトマイニング コマンド |
なし |
次のステップ
- Event Threat Detection の使用を確認する。
- 脅威に対する対応計画の調査と開発の方法を学習する。