Questa pagina mostra come esaminare i risultati di Event Threat Detection nella console Google Cloud e include esempi di risultati di Event Threat Detection.
Event Threat Detection è un servizio integrato che monitora i flussi di logging di Cloud Logging per la tua organizzazione o i tuoi progetti e rileva le minacce quasi in tempo reale. Se attivi Security Command Center a livello di organizzazione, Event Threat Detection può monitorare anche i flussi di logging di Google Workspace della tua organizzazione. Per saperne di più, consulta la panoramica di Event Threat Detection.
Attivare o disattivare Event Threat Detection
Per impostazione predefinita, Event Threat Detection è abilitato. Per informazioni generali su come attivare o disattivare un servizio integrato o i relativi moduli, consulta Configurare i servizi di Security Command Center.
Esaminare i risultati
Per visualizzare i risultati di Event Threat Detection, il servizio deve essere abilitato nelle impostazioni di Servizi di Security Command Center. Dopo aver abilitato Event Threat Detection, il servizio genera risultati scansionando log specifici. Alcuni dei log che Event Threat Detection può scansionare sono disattivati per impostazione predefinita, quindi potresti doverli attivare.
Per ulteriori informazioni sulle regole di rilevamento integrate utilizzate da Event Threat Detection e sui log analizzati da Event Threat Detection, consulta i seguenti argomenti:
Puoi visualizzare i risultati di Event Threat Detection in Security Command Center. Se hai configurato le esportazioni continue per scrivere i log, puoi visualizzare i risultati anche in Cloud Logging. Le esportazioni continue in Cloud Logging sono disponibili solo quando attivi Security Command Center a livello di organizzazione. Per generare un risultato e verificare la configurazione, puoi attivare intenzionalmente un rilevatore e testare Event Threat Detection.
L'attivazione di Event Threat Detection avviene in pochi secondi. Le latenze di rilevamento sono generalmente inferiori a 15 minuti dal momento in cui viene scritto un log a quando un risultato è disponibile in Security Command Center. Per saperne di più sulla latenza, vedi Panoramica della latenza di Security Command Center.
Esaminare i risultati in Security Command Center
I ruoli IAM per Security Command Center possono essere concessi a livello di organizzazione, cartella o progetto. La possibilità di visualizzare, modificare, creare o aggiornare risultati, asset e fonti di sicurezza dipende dal livello per cui ti viene concesso l'accesso. Per scoprire di più sui ruoli di Security Command Center, consulta Controllo dell'accesso.
Utilizza la seguente procedura per esaminare i risultati nella console Google Cloud :
Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il tuo progetto Google Cloud o la tua organizzazione.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona una o entrambe le seguenti opzioni:
- Event Threat Detection: per filtrare i risultati generati dai detector Event Threat Detection integrati
- Moduli personalizzati per Event Threat Detection: per filtrare i risultati generati dai moduli personalizzati per Event Threat Detection
La tabella viene compilata con i risultati di Event Threat Detection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in
Category. Il riquadro dei dettagli del risultato si espande per mostrare informazioni tra cui:- Quando si è verificato l'evento
- L'origine dei dati dei risultati
- La gravità del rilevamento, ad esempio Alta
- Le azioni intraprese, come l'aggiunta di un ruolo Identity and Access Management (IAM) a un utente Gmail
- L'utente che ha eseguito l'azione, elencato accanto a Email dell'entità
Per visualizzare tutti i risultati causati dalle azioni dello stesso utente:
- Nel riquadro dei dettagli del risultato, copia l'indirizzo email accanto a Email principale.
- Chiudi il riquadro.
Nell'editor di query, inserisci la seguente query:
access.principal_email="USER_EMAIL"Sostituisci USER_EMAIL con l'indirizzo email che hai copiato in precedenza.
Security Command Center mostra tutti i risultati associati alle azioni intraprese dall'utente che hai specificato.
Visualizzazione dei risultati in Cloud Logging
Se configuri Esportazioni continue per scrivere i log, puoi visualizzare i risultati di Event Threat Detection in Cloud Logging. Questa funzionalità è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.
Per visualizzare i risultati di Event Threat Detection in Cloud Logging:
Vai a Esplora log nella console Google Cloud .
Seleziona il Google Cloud progetto o un'altra Google Cloud risorsa in cui archiviare i log di Event Threat Detection.
Utilizza il riquadro Query per creare la query in uno dei seguenti modi:
- Nell'elenco Tutte le risorse, segui questi passaggi:
- Seleziona Rilevatore di minacce per visualizzare un elenco di tutti i rilevatori.
- Per visualizzare i risultati di tutti i rilevatori, seleziona all detector_name. Per visualizzare i risultati di un rilevatore specifico, seleziona il relativo nome.
- Fai clic su Applica. La tabella Risultati delle query viene aggiornata con i log che hai selezionato.
Inserisci la seguente query nell'editor di query e fai clic su Esegui query:
resource.type="threat_detector"
La tabella Risultati delle query viene aggiornata con i log che hai selezionato.
- Nell'elenco Tutte le risorse, segui questi passaggi:
Per visualizzare un log, seleziona una riga della tabella e poi fai clic su Espandi campi nidificati.
Puoi creare query di log avanzate per specificare un insieme di voci di log da un numero qualsiasi di log.
Esempi di formati dei risultati
Questa sezione fornisce link a esempi di output JSON per i risultati di Event Threat Detection. Questo output viene visualizzato quando esporti i risultati utilizzando la consoleGoogle Cloud o elenca i risultati utilizzando l'API Security Command Center o Google Cloud CLI.
Gli esempi in questa pagina mostrano diversi tipi di risultati. Ogni esempio include solo i campi più pertinenti per quel tipo di risultato.
Per un elenco completo dei campi disponibili in un
risultato, consulta la documentazione dell'API Security Command Center per la risorsa
Finding.
Per visualizzare risultati di esempio, seleziona uno dei seguenti link.
| Risultato della minaccia | Esempio JSON |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
Visualizza esempio JSON |
Brute force SSH |
Visualizza esempio JSON |
Cloud IDS: THREAT_IDENTIFIER |
Visualizza esempio JSON |
Defense Evasion: Breakglass Workload Deployment Created |
Visualizza esempio JSON |
Defense Evasion: Breakglass Workload Deployment Updated |
Visualizza esempio JSON |
Defense Evasion: Modify VPC Service Control |
Visualizza esempio JSON |
Discovery: Can get sensitive Kubernetes object check |
Visualizza esempio JSON |
Discovery: Service Account Self-Investigation |
Visualizza esempio JSON |
Evasion: Access from Anonymizing Proxy |
Visualizza esempio JSON |
Execution: Cryptomining Docker Image |
Visualizza esempio JSON |
Exfiltration: BigQuery Data Exfiltration |
Visualizza esempio JSON |
Exfiltration: BigQuery Data Extraction |
Visualizza esempio JSON |
Exfiltration: BigQuery Data to Google Drive |
Visualizza esempio JSON |
Exfiltration: Cloud SQL Data Exfiltration |
Visualizza esempio JSON |
Exfiltration: Cloud SQL Over-Privileged Grant |
Visualizza esempio JSON |
Exfiltration: Cloud SQL Restore Backup to External Organization |
Visualizza esempio JSON |
Impact: Cryptomining Commands |
Visualizza esempio JSON |
Impact: Deleted Google Cloud Backup and DR Backup |
Visualizza esempio JSON |
Impact: Deleted Google Cloud Backup and DR host |
Visualizza esempio JSON |
Impact: Deleted Google Cloud Backup and DR plan association |
Visualizza esempio JSON |
Impact: Deleted Google Cloud Backup and DR Vault |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR delete policy |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR delete profile |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR delete storage pool |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR delete template |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR expire all images |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR expire image |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR reduced backup expiration |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR reduced backup frequency |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR remove appliance |
Visualizza esempio JSON |
Impact: Google Cloud Backup and DR remove plan |
Visualizza esempio JSON |
Initial Access: Account Disabled Hijacked |
Visualizza esempio JSON |
Initial Access: Database Superuser Writes to User Tables |
Visualizza esempio JSON |
Initial Access: Disabled Password Leak |
Visualizza esempio JSON |
Initial Access: Dormant Service Account Action |
Visualizza esempio JSON |
Initial Access: Dormant Service Account Activity in AI Service |
Visualizza esempio JSON |
Initial Access: Dormant Service Account Key Created |
Visualizza esempio JSON |
Initial Access: Excessive Permission Denied Actions |
Visualizza esempio JSON |
Initial Access: Government Based Attack |
Visualizza esempio JSON |
Initial Access: Leaked Service Account Key Used |
Visualizza esempio JSON |
Initial Access: Log4j Compromise Attempt |
Visualizza esempio JSON |
Initial Access: Suspicious Login Blocked |
Visualizza esempio JSON |
Lateral Movement: Modified Boot Disk Attached to Instance |
Visualizza esempio JSON |
Malware: bad domain |
Visualizza esempio JSON |
Malware: bad IP |
Visualizza esempio JSON |
Malware: Cryptomining Bad Domain |
Visualizza esempio JSON |
Malware: Cryptomining Bad IP |
Visualizza esempio JSON |
Persistence: GCE Admin Added SSH Key |
Visualizza esempio JSON |
Persistence: GCE Admin Added Startup Script |
Visualizza esempio JSON |
Persistence: IAM Anomalous Grant |
Visualizza esempio JSON |
Persistence: New AI API Method |
Visualizza esempio JSON |
Persistence: New API Method |
Visualizza esempio JSON |
Persistence: New Geography |
Visualizza esempio JSON |
Persistence: New Geography for AI Service |
Visualizza esempio JSON |
Persistence: New User Agent |
Visualizza esempio JSON |
Persistence: SSO Enablement Toggle |
Visualizza esempio JSON |
Persistence: SSO Settings Changed |
Visualizza esempio JSON |
Persistence: Strong Authentication Disabled |
Visualizza esempio JSON |
Persistence: Two Step Verification Disabled |
Visualizza esempio JSON |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
Visualizza esempio JSON |
Privilege Escalation: AlloyDB Over-Privileged Grant |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
Visualizza esempio JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Visualizza esempio JSON |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
Visualizza esempio JSON |
Privilege Escalation: Create Kubernetes CSR for master cert |
Visualizza esempio JSON |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
Visualizza esempio JSON |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
Visualizza esempio JSON |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
Visualizza esempio JSON |
Privilege Escalation: External Member Added To Privileged Group |
Visualizza esempio JSON |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Visualizza esempio JSON |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
Visualizza esempio JSON |
Privilege Escalation: Launch of privileged Kubernetes container |
Visualizza esempio JSON |
Privilege Escalation: Privileged Group Opened To Public |
Visualizza esempio JSON |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
Visualizza esempio JSON |
Passaggi successivi
- Scopri di più sul funzionamento di Event Threat Detection.
- Scopri come analizzare e sviluppare piani di risposta alle minacce.