Cette page explique comment examiner les résultats de Event Threat Detection dans la console Google Cloud et comprend des exemples de résultats de Event Threat Detection.
Event Threat Detection est un service intégré qui surveille les flux de journalisation Cloud Logging de votre organisation ou de vos projets, et détecte les menaces en quasi-temps réel. Si vous activez Security Command Center au niveau de l'organisation, Event Threat Detection peut également surveiller les flux de journalisation Google Workspace de votre organisation. Pour en savoir plus, consultez la présentation d'Event Threat Detection.
Activer ou désactiver Event Threat Detection
Par défaut, Event Threat Detection est activé. Pour obtenir des informations générales sur l'activation ou la désactivation d'un service intégré ou de ses modules, consultez Configurer les services Security Command Center.
Examiner les résultats
Pour afficher les résultats d'Event Threat Detection, le service doit être activé dans les paramètres Services de Security Command Center. Après avoir activé Event Threat Detection, le service génère des résultats en analysant des journaux spécifiques. Certains des journaux qu'Event Threat Detection peut analyser sont désactivés par défaut. Vous devrez peut-être les activer.
Pour en savoir plus sur les règles de détection intégrées utilisées par Event Threat Detection et sur les journaux analysés par Event Threat Detection, consultez les rubriques suivantes :
Vous pouvez afficher les résultats d'Event Threat Detection dans Security Command Center. Si vous avez configuré les exportations continues pour écrire des journaux, vous pouvez également afficher les résultats dans Cloud Logging. Les exportations continues vers Cloud Logging ne sont disponibles que lorsque vous activez Security Command Center au niveau de l'organisation. Pour générer un résultat et vérifier votre configuration, vous pouvez déclencher intentionnellement un détecteur et tester Event Threat Detection.
Event Threat Detection est activé en quelques secondes. Les latences de détection sont généralement inférieures à 15 minutes entre le moment où un journal est écrit et celui où un résultat est disponible dans Security Command Center. Pour en savoir plus sur la latence, consultez la section Présentation de la latence de Security Command Center.
Examiner les résultats dans Security Command Center
Les rôles IAM pour Security Command Center peuvent être accordés au niveau de l'organisation, du dossier ou du projet. Votre capacité à afficher, modifier, créer ou mettre à jour les résultats, les éléments et les sources de sécurité dépend du niveau pour lequel vous disposez d'un accès. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.
Suivez la procédure ci-dessous pour examiner les résultats dans la console Google Cloud :
Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.
Si nécessaire, sélectionnez votre projet ou votre organisation. Google Cloud
Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez une ou les deux options suivantes :
- Event Threat Detection : pour filtrer les résultats générés par les détecteurs Event Threat Detection intégrés
- Modules personnalisés Event Threat Detection : pour filtrer les résultats générés par les modules personnalisés Event Threat Detection
Les résultats d'Event Threat Detection sont insérés dans la table.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous
Category. Le volet de détails du résultat se développe pour afficher des informations, y compris les suivantes :- Quand l'événement a eu lieu
- La source des données de résultat
- Le niveau de gravité de détection ; par exemple, Élevé
- Les actions effectuées, telles que l'ajout d'un rôle de gestion de l'authentification et des accès (IAM) à un utilisateur Gmail
- L'utilisateur ayant effectué l'action, indiqué à côté de Adresse e-mail principale.
Pour afficher tous les résultats issus des actions du même utilisateur, procédez comme suit :
- Dans le volet des détails du résultat, copiez l'adresse e-mail située à côté de Adresse e-mail principale.
- Fermez le volet.
Dans l'éditeur de requête, saisissez la requête suivante :
access.principal_email="USER_EMAIL"Remplacez USER_EMAIL par l'adresse e-mail que vous avez copiée précédemment.
Security Command Center affiche tous les résultats associés aux actions effectuées par l'utilisateur que vous avez spécifié.
Afficher les résultats dans Cloud Logging
Si vous configurez les exportations continues pour écrire des journaux, vous pouvez afficher les résultats d'Event Threat Detection dans Cloud Logging. Cette fonctionnalité n'est disponible que si vous activez Security Command Center Premium au niveau de l'organisation.
Pour afficher les résultats de Event Threat Detection dans Cloud Logging, procédez comme suit :
Accédez à l'explorateur de journaux dans la console Google Cloud .
Sélectionnez le projet Google Cloud ou une autre ressource Google Cloud dans lequel vous stockez vos journaux Event Threat Detection.
Utilisez le volet Requête pour créer votre requête de l'une des manières suivantes :
- Dans la liste Toutes les ressources, procédez comme suit :
- Sélectionnez Threat Detector pour afficher la liste de tous les détecteurs.
- Pour afficher les résultats de tous les détecteurs, sélectionnez all detector_name. Pour afficher les résultats d'un détecteur spécifique, sélectionnez le nom de ce détecteur.
- Cliquez sur Appliquer. La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.
Saisissez la requête suivante dans l'éditeur de requête, puis cliquez sur Exécuter la requête :
resource.type="threat_detector"
La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.
- Dans la liste Toutes les ressources, procédez comme suit :
Pour afficher un journal, sélectionnez une ligne du tableau, puis cliquez sur Développer les champs imbriqués.
Vous pouvez créer des requêtes de journaux avancées pour spécifier un ensemble d'entrées de journal à partir d'un nombre quelconque de journaux.
Exemples de formats de résultat
Cette section fournit des liens vers des exemples de sortie JSON pour les résultats Event Threat Detection. Ce résultat s'affiche lorsque vous exportez des résultats à l'aide de la consoleGoogle Cloud ou listez des résultats à l'aide de l'API Security Command Center ou de la Google Cloud CLI.
Les exemples de cette page présentent différents types de résultats. Chaque exemple n'inclut que les champs les plus pertinents pour ce type de résultat. Pour obtenir la liste complète des champs disponibles dans un résultat, consultez la documentation de l'API Security Command Center pour la ressource Finding.
Pour afficher des exemples de résultats, sélectionnez l'un des liens suivants.
| Menace détectée | Exemple JSON |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
Afficher un exemple JSON |
Brute force SSH |
Afficher un exemple JSON |
Cloud IDS: THREAT_IDENTIFIER |
Afficher un exemple JSON |
Defense Evasion: Breakglass Workload Deployment Created |
Afficher un exemple JSON |
Defense Evasion: Breakglass Workload Deployment Updated |
Afficher un exemple JSON |
Defense Evasion: Modify VPC Service Control |
Afficher un exemple JSON |
Discovery: Can get sensitive Kubernetes object check |
Afficher un exemple JSON |
Discovery: Service Account Self-Investigation |
Afficher un exemple JSON |
Evasion: Access from Anonymizing Proxy |
Afficher un exemple JSON |
Execution: Cryptomining Docker Image |
Afficher un exemple JSON |
Exfiltration: BigQuery Data Exfiltration |
Afficher un exemple JSON |
Exfiltration: BigQuery Data Extraction |
Afficher un exemple JSON |
Exfiltration: BigQuery Data to Google Drive |
Afficher un exemple JSON |
Exfiltration: Cloud SQL Data Exfiltration |
Afficher un exemple JSON |
Exfiltration: Cloud SQL Over-Privileged Grant |
Afficher un exemple JSON |
Exfiltration: Cloud SQL Restore Backup to External Organization |
Afficher un exemple JSON |
Impact: Cryptomining Commands |
Afficher un exemple JSON |
Impact: Deleted Google Cloud Backup and DR Backup |
Afficher un exemple JSON |
Impact: Deleted Google Cloud Backup and DR host |
Afficher un exemple JSON |
Impact: Deleted Google Cloud Backup and DR plan association |
Afficher un exemple JSON |
Impact: Deleted Google Cloud Backup and DR Vault |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR delete policy |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR delete profile |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR delete storage pool |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR delete template |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR expire all images |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR expire image |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR reduced backup expiration |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR reduced backup frequency |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR remove appliance |
Afficher un exemple JSON |
Impact: Google Cloud Backup and DR remove plan |
Afficher un exemple JSON |
Initial Access: Account Disabled Hijacked |
Afficher un exemple JSON |
Initial Access: Database Superuser Writes to User Tables |
Afficher un exemple JSON |
Initial Access: Disabled Password Leak |
Afficher un exemple JSON |
Initial Access: Dormant Service Account Action |
Afficher un exemple JSON |
Initial Access: Dormant Service Account Activity in AI Service |
Afficher un exemple JSON |
Initial Access: Dormant Service Account Key Created |
Afficher un exemple JSON |
Initial Access: Excessive Permission Denied Actions |
Afficher un exemple JSON |
Initial Access: Government Based Attack |
Afficher un exemple JSON |
Initial Access: Leaked Service Account Key Used |
Afficher un exemple JSON |
Initial Access: Log4j Compromise Attempt |
Afficher un exemple JSON |
Initial Access: Suspicious Login Blocked |
Afficher un exemple JSON |
Lateral Movement: Modified Boot Disk Attached to Instance |
Afficher un exemple JSON |
Malware: bad domain |
Afficher un exemple JSON |
Malware: bad IP |
Afficher un exemple JSON |
Malware: Cryptomining Bad Domain |
Afficher un exemple JSON |
Malware: Cryptomining Bad IP |
Afficher un exemple JSON |
Persistence: GCE Admin Added SSH Key |
Afficher un exemple JSON |
Persistence: GCE Admin Added Startup Script |
Afficher un exemple JSON |
Persistence: IAM Anomalous Grant |
Afficher un exemple JSON |
Persistence: New AI API Method |
Afficher un exemple JSON |
Persistence: New API Method |
Afficher un exemple JSON |
Persistence: New Geography |
Afficher un exemple JSON |
Persistence: New Geography for AI Service |
Afficher un exemple JSON |
Persistence: New User Agent |
Afficher un exemple JSON |
Persistence: SSO Enablement Toggle |
Afficher un exemple JSON |
Persistence: SSO Settings Changed |
Afficher un exemple JSON |
Persistence: Strong Authentication Disabled |
Afficher un exemple JSON |
Persistence: Two Step Verification Disabled |
Afficher un exemple JSON |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
Afficher un exemple JSON |
Privilege Escalation: AlloyDB Over-Privileged Grant |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
Afficher un exemple JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Afficher un exemple JSON |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
Afficher un exemple JSON |
Privilege Escalation: Create Kubernetes CSR for master cert |
Afficher un exemple JSON |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
Afficher un exemple JSON |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
Afficher un exemple JSON |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
Afficher un exemple JSON |
Privilege Escalation: External Member Added To Privileged Group |
Afficher un exemple JSON |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Afficher un exemple JSON |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
Afficher un exemple JSON |
Privilege Escalation: Launch of privileged Kubernetes container |
Afficher un exemple JSON |
Privilege Escalation: Privileged Group Opened To Public |
Afficher un exemple JSON |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
Afficher un exemple JSON |
Étapes suivantes
- En savoir plus sur le fonctionnement de Event Threat Detection.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.