Halaman ini menunjukkan cara meninjau temuan Event Threat Detection di konsol Google Cloud dan menyertakan contoh temuan Event Threat Detection.
Event Threat Detection adalah layanan bawaan yang memantau aliran logging Cloud Logging untuk organisasi atau project Anda dan mendeteksi ancaman secara hampir real time. Jika Anda mengaktifkan Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memantau aliran logging Google Workspace organisasi Anda. Untuk mempelajari lebih lanjut, lihat Ringkasan Event Threat Detection.
Mengaktifkan atau menonaktifkan Event Threat Detection
Secara default, Event Threat Detection diaktifkan. Untuk mengetahui informasi umum tentang cara mengaktifkan atau menonaktifkan layanan bawaan atau modulnya, lihat Mengonfigurasi layanan Security Command Center.
Meninjau temuan
Untuk melihat temuan Event Threat Detection, layanan harus diaktifkan di setelan Layanan Security Command Center. Setelah Anda mengaktifkan Event Threat Detection, Event Threat Detection akan membuat temuan dengan memindai log tertentu. Beberapa log yang dapat dipindai oleh Event Threat Detection dinonaktifkan secara default, jadi Anda mungkin perlu mengaktifkannya.
Untuk mengetahui informasi selengkapnya tentang aturan deteksi bawaan yang digunakan Event Threat Detection dan log yang dipindai Event Threat Detection, lihat topik berikut:
Anda dapat melihat temuan Event Threat Detection di Security Command Center. Jika Anda mengonfigurasi Ekspor Berkelanjutan untuk menulis log, Anda juga dapat melihat temuan di Cloud Logging. Ekspor Berkelanjutan ke Cloud Logging hanya tersedia jika Anda mengaktifkan Security Command Center di tingkat organisasi. Untuk membuat temuan dan memverifikasi konfigurasi, Anda dapat memicu detektor secara sengaja dan menguji Event Threat Detection.
Pengaktifan Event Threat Detection terjadi dalam hitungan detik. Latensi deteksi umumnya kurang dari 15 menit dari saat log ditulis hingga saat temuan tersedia di Security Command Center. Untuk mengetahui informasi selengkapnya tentang latensi, lihat Ringkasan latensi Security Command Center.
Meninjau temuan di Security Command Center
Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari lebih lanjut peran Security Command Center, lihat Kontrol akses.
Gunakan prosedur berikut untuk meninjau temuan di konsol Google Cloud :
Di konsol Google Cloud , buka halaman Temuan Security Command Center.
Jika perlu, pilih Google Cloud project atau organisasi Anda.
Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih salah satu atau kedua opsi berikut:
- Event Threat Detection: untuk memfilter temuan yang dihasilkan oleh detektor Event Threat Detection bawaan
- Modul Kustom Event Threat Detection: untuk memfilter temuan yang dihasilkan oleh modul kustom untuk Event Threat Detection
Tabel diisi dengan temuan Event Threat Detection.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian
Category. Panel detail temuan diperluas untuk menampilkan informasi, termasuk:- Kapan peristiwa terjadi
- Sumber data temuan
- Tingkat keparahan deteksi, misalnya Tinggi
- Tindakan yang dilakukan, seperti menambahkan peran Identity and Access Management (IAM) ke pengguna Gmail
- Pengguna yang melakukan tindakan, yang tercantum di samping Email utama
Untuk menampilkan semua temuan yang disebabkan oleh tindakan pengguna yang sama:
- Di panel detail temuan, salin alamat email di samping Email utama.
- Tutup panel.
Di editor kueri, masukkan kueri berikut:
access.principal_email="USER_EMAIL"Ganti USER_EMAIL dengan alamat email yang sebelumnya Anda salin.
Security Command Center menampilkan semua temuan yang terkait dengan tindakan yang diambil oleh pengguna yang Anda tentukan.
Melihat temuan di Cloud Logging
Jika Anda mengonfigurasi Ekspor Berkelanjutan untuk menulis log, Anda dapat melihat temuan Event Threat Detection di Cloud Logging. Fitur ini hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi.
Untuk melihat temuan Event Threat Detection di Cloud Logging, lakukan hal berikut:
Buka Logs Explorer di konsol Google Cloud .
Pilih Google Cloud project atau resource Google Cloud lainnya tempat Anda menyimpan log Event Threat Detection.
Gunakan panel Query untuk membuat kueri dengan salah satu cara berikut:
- Dalam daftar Semua resource, lakukan hal berikut:
- Pilih Detektor Ancaman untuk menampilkan daftar semua detektor.
- Untuk melihat temuan dari semua detektor, pilih all detector_name. Untuk melihat temuan dari detektor tertentu, pilih namanya.
- Klik Terapkan. Tabel Hasil kueri diperbarui dengan log yang Anda pilih.
Masukkan kueri berikut di editor kueri, lalu klik Run query:
resource.type="threat_detector"
Tabel Hasil kueri diperbarui dengan log yang Anda pilih.
- Dalam daftar Semua resource, lakukan hal berikut:
Untuk melihat log, pilih baris tabel, lalu klik Luaskan kolom bertingkat.
Anda dapat membuat kueri log lanjutan untuk menentukan sekumpulan entri log dari sejumlah log.
Contoh format penemuan
Bagian ini menyediakan link ke contoh output JSON untuk temuan Event Threat Detection. Anda akan melihat output ini saat mengekspor temuan menggunakan konsolGoogle Cloud atau mencantumkan temuan menggunakan Security Command Center API atau Google Cloud CLI.
Contoh di halaman ini menunjukkan berbagai jenis temuan. Setiap contoh hanya menyertakan kolom yang paling relevan dengan jenis temuan tersebut.
Untuk mengetahui daftar lengkap kolom yang tersedia dalam
temuan, lihat dokumentasi API Security Command Center untuk resource
Finding.
Untuk melihat contoh temuan, pilih salah satu link berikut.
| Penemuan Ancaman | Contoh JSON |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
Lihat Contoh JSON |
Brute force SSH |
Lihat Contoh JSON |
Cloud IDS: THREAT_IDENTIFIER |
Lihat Contoh JSON |
Defense Evasion: Breakglass Workload Deployment Created |
Lihat Contoh JSON |
Defense Evasion: Breakglass Workload Deployment Updated |
Lihat Contoh JSON |
Defense Evasion: Folder Level TokenCreator Role Granted to AI Agent |
Lihat Contoh JSON |
Defense Evasion: Modify VPC Service Control |
Lihat Contoh JSON |
Defense Evasion: Organization Level TokenCreator Role Granted to AI Agent |
Lihat Contoh JSON |
Defense Evasion: Project Level TokenCreator Role Granted to AI Agent |
Lihat Contoh JSON |
Discovery: AI Agent Service Account Self-Investigation |
Lihat Contoh JSON |
Discovery: AI Agent Unauthorized Service Account API Call |
Lihat Contoh JSON |
Discovery: Can get sensitive Kubernetes object check |
Lihat Contoh JSON |
Discovery: Service Account Self-Investigation |
Lihat Contoh JSON |
Evasion: Access from Anonymizing Proxy |
Lihat Contoh JSON |
Execution: Cryptomining Docker Image |
Lihat Contoh JSON |
Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table |
Lihat Contoh JSON |
Exfiltration: AI Agent Initiated BigQuery Data Extraction |
Lihat Contoh JSON |
Exfiltration: AI Agent Initiated BigQuery VPC Perimeter Violation |
Lihat Contoh JSON |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket |
Lihat Contoh JSON |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to Public Bucket |
Lihat Contoh JSON |
Exfiltration: BigQuery Data Exfiltration |
Lihat Contoh JSON |
Exfiltration: BigQuery Data Extraction |
Lihat Contoh JSON |
Exfiltration: BigQuery Data to Google Drive |
Lihat Contoh JSON |
Exfiltration: Cloud SQL Data Exfiltration |
Lihat Contoh JSON |
Exfiltration: Cloud SQL Over-Privileged Grant |
Lihat Contoh JSON |
Exfiltration: Cloud SQL Restore Backup to External Organization |
Lihat Contoh JSON |
Impact: Cryptomining Commands |
Lihat Contoh JSON |
Impact: Deleted Google Cloud Backup and DR Backup |
Lihat Contoh JSON |
Impact: Deleted Google Cloud Backup and DR host |
Lihat Contoh JSON |
Impact: Deleted Google Cloud Backup and DR plan association |
Lihat Contoh JSON |
Impact: Deleted Google Cloud Backup and DR Vault |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR delete policy |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR delete profile |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR delete storage pool |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR delete template |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR expire all images |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR expire image |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR reduced backup expiration |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR reduced backup frequency |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR remove appliance |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR remove plan |
Lihat Contoh JSON |
Initial Access: Account Disabled Hijacked |
Lihat Contoh JSON |
Initial Access: AI Agent Identity Excessive Permission Denied Actions |
Lihat Contoh JSON |
Initial Access: Database Superuser Writes to User Tables |
Lihat Contoh JSON |
Initial Access: Disabled Password Leak |
Lihat Contoh JSON |
Initial Access: Dormant Service Account Action |
Lihat Contoh JSON |
Initial Access: Dormant Service Account Activity in AI Service |
Lihat Contoh JSON |
Initial Access: Dormant Service Account Key Created |
Lihat Contoh JSON |
Initial Access: Excessive Permission Denied Actions |
Lihat Contoh JSON |
Initial Access: Government Based Attack |
Lihat Contoh JSON |
Initial Access: Leaked Service Account Key Used |
Lihat Contoh JSON |
Initial Access: Log4j Compromise Attempt |
Lihat Contoh JSON |
Initial Access: Suspicious Login Blocked |
Lihat Contoh JSON |
Lateral Movement: Modified Boot Disk Attached to Instance |
Lihat Contoh JSON |
Malware: bad domain |
Lihat Contoh JSON |
Malware: bad IP |
Lihat Contoh JSON |
Malware: Cryptomining Bad Domain |
Lihat Contoh JSON |
Malware: Cryptomining Bad IP |
Lihat Contoh JSON |
Persistence: GCE Admin Added SSH Key |
Lihat Contoh JSON |
Persistence: GCE Admin Added Startup Script |
Lihat Contoh JSON |
Persistence: IAM Anomalous Grant |
Lihat Contoh JSON |
Persistence: New AI API Method |
Lihat Contoh JSON |
Persistence: New API Method |
Lihat Contoh JSON |
Persistence: New Geography |
Lihat Contoh JSON |
Persistence: New Geography for AI Service |
Lihat Contoh JSON |
Persistence: New User Agent |
Lihat Contoh JSON |
Persistence: Sensitive AI Permission Added to Custom Role |
Lihat Contoh JSON |
Persistence: Sensitive Role Granted by AI Agent |
Lihat Contoh JSON |
Persistence: Sensitive Role Granted to External AI Agent |
Lihat Contoh JSON |
Persistence: SSO Enablement Toggle |
Lihat Contoh JSON |
Persistence: SSO Settings Changed |
Lihat Contoh JSON |
Persistence: Strong Authentication Disabled |
Lihat Contoh JSON |
Persistence: Two Step Verification Disabled |
Lihat Contoh JSON |
Privilege Escalation: AI Agent Cross-Project Access Token Generation |
Lihat Contoh JSON |
Privilege Escalation: AI Agent Cross-Project OpenID Token Generation |
Lihat Contoh JSON |
Privilege Escalation: AI Agent Token Generation Using Implicit Delegation |
Lihat Contoh JSON |
Privilege Escalation: AI Agent Token Generation Using signJwt |
Lihat Contoh JSON |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
Lihat Contoh JSON |
Privilege Escalation: AlloyDB Over-Privileged Grant |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
Lihat Contoh JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Lihat Contoh JSON |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
Lihat Contoh JSON |
Privilege Escalation: Create Kubernetes CSR for master cert |
Lihat Contoh JSON |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
Lihat Contoh JSON |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
Lihat Contoh JSON |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
Lihat Contoh JSON |
Privilege Escalation: External Member Added To Privileged Group |
Lihat Contoh JSON |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Lihat Contoh JSON |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
Lihat Contoh JSON |
Privilege Escalation: Launch of privileged Kubernetes container |
Lihat Contoh JSON |
Privilege Escalation: Privileged Group Opened To Public |
Lihat Contoh JSON |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
Lihat Contoh JSON |
Langkah berikutnya
- Pelajari lebih lanjut cara kerja Event Threat Detection.
- Pelajari cara menyelidiki dan mengembangkan rencana respons terhadap ancaman.