Qu'est-ce qu'Event Threat Detection ?
Event Threat Detection est un service intégré du niveau Premium de Security Command Center qui surveille en permanence votre organisation ou vos projets et identifie les menaces qui pèsent en temps réel dans vos systèmes. Event Threat Detection est régulièrement mis à jour avec de nouveaux détecteurs afin d'identifier les nouvelles menaces à l'échelle du cloud.
Fonctionnement d'Event Threat Detection
Event Threat Detection surveille le flux Cloud Logging de votre organisation ou de vos projets. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Event Threat Detection utilise les journaux de vos projets à mesure qu'ils sont créés et peut surveiller les journaux Google Workspace. Cloud Logging contient des entrées de journal d'appels d'API et d'autres actions qui créent, lisent ou modifient la configuration ou les métadonnées de vos ressources. Les journaux Google Workspace effectuent le suivi des connexions des utilisateurs à votre domaine et fournissent un enregistrement des actions effectuées dans la console d'administration Google Workspace.
Les entrées de journal contiennent des informations sur l'état et l'événement que Event Threat Detection utilise pour détecter rapidement les menaces. Event Threat Detection applique la logique de détection et les renseignements propriétaires sur les menaces, y compris la mise en correspondance des indicateurs de tripwire, le profilage de fenêtres, le profilage avancé, le machine learning et la détection d'anomalies, afin d'identifier les menaces en quasi-temps réel.
Lorsque Event Threat Detection détecte une menace, il écrit un résultat dans Security Command Center. Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, Security Command Center peut écrire les résultats dans un projet Cloud Logging. À partir de Cloud Logging et de la journalisation Google Workspace, vous pouvez exporter des résultats vers d'autres systèmes avec Pub/Sub et les traiter avec Cloud Run Functions.
Si vous activez le niveau Premium de Security Command Center au niveau de l'organisation, vous pouvez également utiliser Google Security Operations pour examiner certains résultats. Google SecOps est un service Google Cloud qui vous permet d'examiner les menaces et de parcourir les entités associées selon une chronologie unifiée. Pour obtenir des instructions sur l'envoi de résultats à Google SecOps, consultez Examiner les résultats dans Google SecOps.
Votre capacité à afficher et à modifier les résultats et les journaux est déterminée par les rôles IAM (Identity and Access Management) qui vous sont attribués. Pour en savoir plus sur les rôles IAM de Security Command Center, consultez la page Contrôle des accès.
Règles d'Event Threat Detection
Les règles définissent le type de menaces détectées par Event Threat Detection et les types de journaux qui doivent être activés pour que les détecteurs fonctionnent. Les journaux d'audit des activités d'administration sont toujours écrits. Vous ne pouvez pas les configurer ni les désactiver.
Event Threat Detection inclut les règles par défaut suivantes :
| Nom à afficher | Nom de l'API | Types de sources de journal | Description |
|---|---|---|---|
| Analyse active : Log4j vulnérable à RCE | Indisponible | Journaux Cloud DNS | Les outils d'analyse des failles Log4j ont lancé et identifié des requêtes DNS pour des domaines non obscurcis. Cette faille peut entraîner l'exécution de code à distance (RCE). Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Impact : Hôte Google Cloud Backup and DR supprimé | BACKUP_HOSTS_DELETE_HOST |
Cloud Audit Logs : Journaux d'audit des activités d'administration du service Backup and DR |
Un hôte a été supprimé de la console de gestion Backup and DR. Il est possible que les applications associées à l'hôte supprimé ne soient pas protégées. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : Expiration de l'image de sauvegarde et reprise après sinistre Google Cloud | BACKUP_EXPIRE_IMAGE |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un utilisateur a demandé la suppression d'une image de sauvegarde depuis la console de gestion Backup and DR. La suppression d'une image de back-up n'empêche pas les sauvegardes futures. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Impact : Suppression du forfait Sauvegarde et reprise après sinistre Google Cloud | BACKUP_REMOVE_PLAN |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un plan de sauvegarde comportant plusieurs règles pour une application a été supprimé de Backup and DR. La suppression d'un plan de sauvegarde peut empêcher les futures sauvegardes. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Impact : expiration de toutes les images de sauvegarde et de reprise après sinistre Google Cloud | BACKUP_EXPIRE_IMAGES_ALL |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un utilisateur a demandé la suppression de toutes les images de sauvegarde d'une application protégée depuis la console de gestion Backup and DR. La suppression des images de back-up n'empêche pas les sauvegardes futures. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Impact : Suppression du modèle de sauvegarde et de reprise après sinistre Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un modèle de sauvegarde prédéfini, utilisé pour configurer des sauvegardes pour plusieurs applications, a été supprimé de la console de gestion Backup and DR. Il est possible que vous ne puissiez plus configurer de sauvegardes à l'avenir. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Impact : règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Une règle de sauvegarde et de reprise après sinistre, qui définit comment une sauvegarde est effectuée et où elle est stockée, a été supprimée de la console de gestion Backup and DR. Les futures sauvegardes qui utilisent la règle risquent d'échouer. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : Suppression du profil de sauvegarde et de reprise après sinistre Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un profil Backup and DR, qui définit les pools de stockage à utiliser pour stocker les sauvegardes, a été supprimé de la console de gestion Backup and DR. Les futures sauvegardes qui utilisent le profil peuvent échouer. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : Sauvegarde et reprise après sinistre Google Cloud : supprimer l'appliance | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un appareil de sauvegarde a été supprimé de la console de gestion Backup and DR. Il est possible que les applications associées à l'appliance de sauvegarde supprimée ne soient pas protégées. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Impact : Suppression du pool de stockage Backup and DR Google Cloud | BACKUP_STORAGE_POOLS_DELETE |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un pool de stockage, qui associe un bucket Cloud Storage à Backup and DR, a été supprimé de la console de gestion Backup and DR. Les futures sauvegardes vers cette cible de stockage échoueront. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : réduction du délai d'expiration des sauvegardes dans Google Cloud Backup and DR | BACKUP_REDUCE_BACKUP_EXPIRATION |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
La date d'expiration d'une sauvegarde protégée par Backup and DR a été réduite dans la console de gestion Backup and DR. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : fréquence de sauvegarde réduite dans Google Cloud Backup and DR | BACKUP_REDUCE_BACKUP_FREQUENCY |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
La planification des sauvegardes Backup and DR a été modifiée pour réduire la fréquence des sauvegardes dans la console de gestion Backup and DR. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : coffre Backup and DR Google Cloud supprimé | BACKUP_DELETE_VAULT |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un coffre de sauvegarde a été supprimé. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Impact : sauvegarde Backup and DR Google Cloud supprimée | BACKUP_DELETE_VAULT_BACKUP |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Une sauvegarde stockée dans un backup vault a été supprimée manuellement. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Impact : association du plan de sauvegarde et de reprise après sinistre Google Cloud supprimée | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Journaux d'audit Cloud : Journaux d'audit des activités d'administration Backup and DR |
Un plan de sauvegarde de Backup and DR a été supprimé d'une charge de travail. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Attaques par force brute SSH | BRUTE_FORCE_SSH |
authlog | Un acteur a réussi à accéder à un hôte en SSH à l'aide de techniques de force brute. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Cloud IDS : THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Journaux Cloud IDS |
Cloud IDS a détecté des événements de menace. Cloud IDS détecte les attaques de couche 7 en analysant les paquets mis en miroir et, lorsqu'un événement de menace est détecté, envoie un résultat de classe de menace à Security Command Center. Les noms de catégories commencent par "Cloud IDS", suivi de l'identifiant de menace Cloud IDS. L'intégration de Cloud IDS à la détection des menaces liées aux événements n'inclut pas les détections de failles Cloud IDS. Par défaut, les résultats sont classés comme étant de gravité faible. Pour en savoir plus sur les détections Cloud IDS, consultez Informations sur la journalisation Cloud IDS. |
| Escalade des privilèges : membre externe ajouté à un groupe privilégié | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Journaux Google Workspace : Audit des connexions Autorisations : DATA_READ
|
Un membre externe a été ajouté à un groupe Google privilégié (groupe doté d'autorisations ou de rôles sensibles). Un résultat n'est généré que si le groupe ne contient pas déjà d'autres membres externes de la même organisation que le nouveau membre. Pour en savoir plus, consultez Modifications non sécurisées apportées aux groupes Google. Ce résultat n'est pas disponible pour les activations au niveau du projet. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles. |
| Élévation des privilèges : groupe privilégié ouvert au public | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace : Audit d'administration Autorisations : DATA_READ
|
Un groupe Google privilégié (groupe disposant de rôles ou d'autorisations sensibles) a été modifié pour devenir accessible au grand public. Pour en savoir plus, consultez Modifications non sécurisées apportées aux groupes Google. Ce résultat n'est pas disponible pour les activations au niveau du projet. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles. |
| Élévation des privilèges : rôle sensible attribué au groupe hybride | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Des rôles sensibles ont été attribués à un groupe Google avec des membres externes. Pour en savoir plus, consultez Modifications non sécurisées apportées aux groupes Google. Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles associés à la modification du groupe. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles. |
| Contournement des défenses : déploiement de la charge de travail en mode "bris de glace" créé (version bêta) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Journaux d'audit Cloud : Journaux des activités d'administration |
Les charges de travail ont été déployées à l'aide de l'option "break-glass" pour ignorer les contrôles de l'autorisation binaire. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Contournement des défenses : déploiement de la charge de travail en mode "bris de glace" mis à jour (version bêta) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Journaux d'audit Cloud : Journaux des activités d'administration |
Les charges de travail ont été mises à jour à l'aide de l'option "break-glass" afin d'ignorer les contrôles de l'autorisation binaire. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Contournement des défenses : filtrage des adresses IP du bucket GCS modifié | GCS_BUCKET_IP_FILTERING_MODIFIED |
Journaux d'audit Cloud : Journaux des activités d'administration |
Un utilisateur ou un compte de service a modifié la configuration du filtrage des adresses IP pour un bucket Cloud Storage. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Defense Evasion : Modifier VPC Service Controls | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Cloud Audit Logs Journaux d'audit VPC Service Controls |
Un périmètre VPC Service Controls existant a été modifié, ce qui entraînerait une réduction de la protection offerte par ce périmètre. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Contournement des systèmes de défense : bloc de règles HTTP du projet désactivé | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Journaux d'audit Cloud : Journaux des activités d'administration |
Un utilisateur ou un compte de service a déclenché une action pour désactiver storage.secureHttpTransport sur un projet. Cela s'applique également lorsque l'action est effectuée au niveau de l'organisation ou d'un dossier, car les règles appliquées à ce niveau sont héritées par les projets enfants par défaut. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Découverte : vérification des objets Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Cloud Audit Logs : Journaux d'accès aux données GKE |
Une personne potentiellement malveillante a tenté d'identifier les objets sensibles dans GKE sur lesquels il peut effectuer des requêtes, à l'aide de la commande
Par défaut, les résultats sont classés comme étant de gravité faible. |
| Découverte : Auto-enquête sur le compte de service | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Journaux d'audit Cloud : Journaux d'audit d'accès aux données IAM Autorisations : DATA_READ
|
Des identifiants de compte de service IAM ont été utilisés pour examiner les rôles et les autorisations associés à ce même compte de service. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles. |
| Fuite : accès depuis le proxy d'anonymisation | ANOMALOUS_ACCESS |
Journaux d'audit Cloud : Journaux des activités d'administration |
Les modifications de service Google Cloud proviennent d'une adresse IP associée au réseau Tor. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Exfiltration : exfiltration de données BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations : DATA_READ
|
Détecte les cas suivants :
|
| Exfiltration : extraction de données BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations : DATA_READ
|
Détecte les cas suivants :
Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Exfiltration : données BigQuery vers Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations : DATA_READ
|
Une ressource BigQuery appartenant à l'organisation protégée a été enregistrée, via des opérations d'extraction, dans un dossier Google Drive. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Exfiltration : déplacer vers une ressource BigQuery publique | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Journaux d'audit Cloud :
Journaux d'accès aux données BigQueryAuditMetadata Autorisations : DATA_READ
|
Une ressource BigQuery a été enregistrée dans une ressource publique appartenant à votre organisation. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Exfiltration : exfiltration de données Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs :
Journaux d'accès aux données MySQL Journaux d'accès aux données PostgreSQL Journaux d'accès aux données SQL Server |
Détecte les cas suivants :
Pour les activations du niveau Premium de Security Command Center au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Cloud Audit Logs :
Journaux des activités d'administration MySQL Journaux des activités d'administration PostgreSQL Journaux des activités d'administration SQL Server |
La sauvegarde d'une instance Cloud SQL a été restaurée sur une instance en dehors de l'organisation. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Exfiltration : octroi de privilèges Cloud SQL trop élevés | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs :
Journaux d'accès aux données PostgreSQL Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle. |
Un utilisateur ou un rôle Cloud SQL pour PostgreSQL s'est vu attribuer tous les privilèges pour une base de données, ou pour toutes les tables, procédures ou fonctions d'un schéma. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : le super-utilisateur de la base de données écrit dans les tables utilisateur | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs :
Journaux d'accès aux données Cloud SQL pour PostgreSQL Journaux d'accès aux données Cloud SQL pour MySQL Remarque : Vous devez activer l'extension pgAudit pour PostgreSQL ou l'audit de base de données pour MySQL afin d'utiliser cette règle. |
Un super-utilisateur Cloud SQL (postgres pour les serveurs PostgreSQL ou root pour les utilisateurs MySQL) a écrit dans des tables non système. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : octroi de privilèges excessifs dans AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Cloud Audit Logs :
Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle. |
Un utilisateur ou un rôle AlloyDB pour PostgreSQL s'est vu attribuer tous les privilèges pour une base de données, ou pour toutes les tables, procédures ou fonctions d'un schéma. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Élévation des privilèges : le super-utilisateur de la base de données AlloyDB écrit dans les tables utilisateur | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Cloud Audit Logs :
Journaux d'accès aux données AlloyDB pour PostgreSQL Remarque : Vous devez activer l'extension pgAudit pour utiliser cette règle. |
Un super-utilisateur AlloyDB pour PostgreSQL (postgres) a écrit dans des tables non système. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Accès initial : action sur un compte de service inactif | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Journaux d'audit Cloud : Journaux des activités d'administration | Un compte de service géré par l'utilisateur inactif a déclenché une action. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Escalade de privilèges : rôle sensible attribué à un compte de service inactif | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un compte de service géré par l'utilisateur inactif s'est vu attribuer un ou plusieurs rôles IAM sensibles. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Rôles sensibles Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Par défaut, les résultats sont classés dans le niveau de gravité moyen. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles. |
| Escalade des privilèges : rôle autorisant l'emprunt d'identité attribué à un compte de service inactif | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM | Un compte principal a reçu des autorisations pour emprunter l'identité d'un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Accès initial : clé de compte de service inactif créée | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Journaux d'audit Cloud : Journaux des activités d'administration | Une clé a été créée pour un compte de service géré par l'utilisateur inactif. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Accès initial : clé de compte de service divulguée utilisée | LEAKED_SA_KEY_USED |
Journaux d'audit Cloud :
Journaux des activités d'administration Journaux d'accès aux données |
Une clé de compte de service divulguée a été utilisée pour authentifier l'action. Dans ce contexte, une clé de compte de service divulguée est une clé qui a été publiée sur Internet. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Accès initial : opérations refusées en raison d'autorisations excessives | EXCESSIVE_FAILED_ATTEMPT |
Journaux d'audit Cloud : Journaux des activités d'administration | Un compte principal a déclenché à plusieurs reprises des erreurs Autorisation refusée en tentant d'apporter des modifications à plusieurs méthodes et services. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Persistance : authentification forte désactivée |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace : Audit d'administration |
La validation en deux étapes a été désactivée pour l'organisation. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Persistance : validation en deux étapes désactivée |
2SV_DISABLE
|
Journaux Google Workspace : Audit des connexions Autorisations : DATA_READ
|
Un utilisateur a désactivé la validation en deux étapes. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : piratage - compte désactivé |
ACCOUNT_DISABLED_HIJACKED
|
Journaux Google Workspace : Audit des connexions Autorisations : DATA_READ
|
Le compte d'un utilisateur a été suspendu en raison d'une activité suspecte. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Accès initial : fuite de mot de passe - désactivé |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Journaux Google Workspace : Audit des connexions Autorisations : DATA_READ
|
Le compte d'un utilisateur a été désactivé, car une fuite de mot de passe a été détectée. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : Attaque de personnes malveillantes soutenues par un gouvernement |
GOV_ATTACK_WARNING
|
Journaux Google Workspace : Audit des connexions Autorisations : DATA_READ
|
Les pirates informatiques soutenus par un gouvernement ont peut-être tenté de compromettre le compte ou l'ordinateur d'un utilisateur. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Accès initial : tentative de compromis Log4j | Indisponible |
Journaux d'équilibrage de charge Cloud : Équilibreur de charge HTTP Cloud Remarque : Vous devez activer la journalisation de l'équilibreur de charge d'application externe pour utiliser cette règle. |
Des recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL ont été détectées. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell. Ces résultats ont une gravité faible, car ils indiquent uniquement une tentative de détection ou d'exploitation, et non une faille ou un piratage. Cette règle est toujours activée. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : connexion suspecte - bloqué |
SUSPICIOUS_LOGIN
|
Journaux Google Workspace : Audit des connexions Autorisations : DATA_READ
|
Une connexion suspecte au compte d'un utilisateur a été détectée et bloquée. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Logiciel malveillant Log4j : domaine incorrect | LOG4J_BAD_DOMAIN |
Journaux Cloud DNS | Du trafic exploité par Log4j a été détecté sur la base d'une connexion à ou d'une recherche d'un domaine connu utilisé dans les attaques Log4j. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Logiciel malveillant Log4j : adresse IP incorrecte | LOG4J_BAD_IP |
Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT |
Du trafic exploité par Log4j a été détecté sur la base d'une connexion à une adresse IP connue utilisée dans les attaques Log4j. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Logiciel malveillant : domaine incorrect | MALWARE_BAD_DOMAIN |
Journaux Cloud DNS | Un logiciel malveillant a été détecté sur la base d'une connexion à ou d'une recherche d'un domaine incorrect connu. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Logiciel malveillant : adresse IP incorrecte | MALWARE_BAD_IP |
Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT |
Un logiciel malveillant a été détecté en raison d'une connexion à une adresse IP incorrecte connue. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Logiciel malveillant : domaine malveillant minant de la cryptomonnaie | CRYPTOMINING_POOL_DOMAIN |
Journaux Cloud DNS | Le minage de cryptomonnaie a été détecté en fonction d'une connexion à ou d'une recherche d'un domaine de minage connu. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie | CRYPTOMINING_POOL_IP |
Journaux de flux VPC Journaux de règles de pare-feu Journaux Cloud NAT |
Le minage de cryptomonnaie a été détecté en fonction d'une connexion à une adresse IP de minage connue. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Persistance : ajout d'une clé SSH par l'administrateur GCE | GCE_ADMIN_ADD_SSH_KEY |
Cloud Audit Logs : Journaux d'audit des activités d'administration Compute Engine |
La valeur de la clé SSH dans les métadonnées d'instance Compute Engine a été modifiée sur une instance établie (datant de plus d'une semaine). Par défaut, les résultats sont classés comme étant de gravité faible. |
| Persistance : ajout d'un script de démarrage par l'administrateur GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Cloud Audit Logs : Journaux d'audit des activités d'administration Compute Engine |
La valeur du script de démarrage des métadonnées d'instance Compute Engine a été modifiée sur une instance établie (datant de plus d'une semaine). Par défaut, les résultats sont classés comme étant de gravité faible. |
| Persistance : Octroi anormal d'autorisations IAM | IAM_ANOMALOUS_GRANT |
Journaux d'audit Cloud : Journaux d'audit pour les activités d'administration IAM |
Ce résultat inclut des sous-règles qui fournissent des informations plus spécifiques sur chaque instance de ce résultat. La liste suivante présente toutes les sous-règles possibles :
|
| Persistance : rôle sensible accordé à un compte non géré (bêta) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un rôle sensible a été attribué à un compte non géré. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Persistance : Nouvelle méthode d'API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Journaux d'audit Cloud : Journaux des activités d'administration |
Les comptes de service IAM ont utilisé un accès anormal aux services Google Cloud . Par défaut, les résultats sont classés comme étant de gravité faible. |
| Persistance : Nouvelle géographie | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Journaux d'audit Cloud : Journaux des activités d'administration |
Comptes utilisateur et de service IAM ayant accédé à Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes. Ce résultat n'est pas disponible pour les activations au niveau du projet. Il est classé comme étant de gravité faible par défaut. |
| Persistance : Nouvel agent utilisateur | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Journaux d'audit Cloud : Journaux des activités d'administration |
Comptes de service IAM ayant accédé à Google Cloud à partir d'agents utilisateur anormaux ou suspects. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Persistance : activer/désactiver l'authentification unique |
TOGGLE_SSO_ENABLED
|
Google Workspace : Audit d'administration |
Le paramètre "Activer SSO" (Authentification unique) a été désactivé pour le compte administrateur. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Persistance : paramètres SSO modifiés |
CHANGE_SSO_SETTINGS
|
Google Workspace : Audit d'administration |
Les paramètres SSO du compte administrateur ont été modifiés. Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Un compte de service emprunté potentiellement anormal a été utilisé pour une activité d'administration. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : délégation de compte de service multi-étapes anormale pour les activités d'administration | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Une demande déléguée multi-étapes anormale a été détectée pour une activité d'administration. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : délégation de compte de service multi-étapes anormale pour l'accès aux données | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs : Journaux d'accès aux données |
Une demande déléguée multi-étapes anormale a été détectée pour une activité d'accès aux données. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Un appelant ou un emprunteur d'identité potentiellement anormal dans une chaîne de délégation a été utilisé pour une activité administrative. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : emprunt d'identité de compte de service anormal pour l'accès aux données | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs : Journaux d'accès aux données |
Un appelant ou un usurpateur d'identité potentiellement anormal dans une chaîne de délégation a été utilisé pour une activité d'accès aux données. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Pour élever un privilège, une personne potentiellement malveillante a tenté de modifier un objet RBAC (contrôle des accès basé sur les rôles) ClusterRole, RoleBinding ou ClusterRoleBinding du rôle sensible
cluster-admin à l'aide d'une requête PUT ou PATCH. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne potentiellement malveillante a créé une
requête de signature de certificat (CSR) maître Kubernetes, qui lui permet de disposer de l'accès
cluster-admin. Par défaut, les résultats sont classés dans le niveau de gravité élevé.
|
| Élévation des privilèges : création de liaisons Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Pour élever un privilège, un individu potentiellement malveillant a tenté de créer un objet RoleBinding ou ClusterRoleBinding pour le rôle
cluster-admin. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : obtention d'une requête de signature de certificat Kubernetes avec des identifiants d'amorçage compromis | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Cloud Audit Logs : Journaux d'accès aux données GKE |
Une personne potentiellement malveillante a émis une
requête de signature de certificat (CSR) à l'aide de la commande kubectl, en utilisant des identifiants d'amorçage compromis. Par défaut, les résultats sont classés dans le niveau de gravité élevé.
|
| Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne potentiellement malveillante a créé un pod contenant des conteneurs privilégiés ou dotés de capacités d'élévation des droits.
Le champ |
| Persistance : clé de compte de service créée | SERVICE_ACCOUNT_KEY_CREATION |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Une clé de compte de service a été créée. Les clés de compte de service sont des identifiants de longue durée qui augmentent le risque d'accès non autorisé aux ressources Google Cloud. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Élévation des privilèges : script d'arrêt global ajouté | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un script d'arrêt global a été ajouté à un projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Persistance : script de démarrage global ajouté | GLOBAL_STARTUP_SCRIPT_ADDED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un script de démarrage global a été ajouté à un projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Defense Evasion : Rôle de créateur de jetons de compte de service au niveau de l'organisation ajouté | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Le rôle IAM "Créateur de jetons du compte de service" a été accordé au niveau de l'organisation. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Defense Evasion : Rôle de créateur de jetons de compte de service au niveau du projet ajouté | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Le rôle IAM de créateur de jetons du compte de service a été attribué au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Mouvement latéral : exécution du correctif d'OS depuis le compte de service | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Cloud Audit Logging Journaux d'audit pour les activités d'administration IAM |
Un compte de service a utilisé la fonctionnalité de correctif Compute Engine pour mettre à jour le système d'exploitation de toute instance Compute Engine en cours d'exécution. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Mouvement latéral : disque de démarrage modifié associé à une instance (aperçu) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Cloud Audit Logs : Journaux d'audit Compute Engine |
Un disque de démarrage a été dissocié d'une instance Compute Engine et associé à une autre. Cela peut indiquer une tentative malveillante de compromettre le système à l'aide d'un disque de démarrage modifié. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès aux identifiants : accès aux secrets dans l'espace de noms Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Cloud Audit Logs : Journaux d'accès aux données GKE |
Un compte de service a accédé à des secrets ou des jetons de compte de service dans l'espace de noms Kubernetes actuel. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Développement de ressources : activité de distribution Offensive Security | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Une ressource Google Cloud a été manipulée avec succès à l'aide de distributions connues pour les tests d'intrusion ou la sécurité offensive. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Élévation des privilèges : le nouveau compte de service est "Propriétaire" ou "Éditeur" | SERVICE_ACCOUNT_EDITOR_OWNER |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un compte de service a été créé avec les rôles "Éditeur" ou "Propriétaire" pour un projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Découverte : outil de collecte d'informations utilisé | INFORMATION_GATHERING_TOOL_USED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
L'utilisation de ScoutSuite a été détectée. ScoutSuite est un outil d'audit de la sécurité cloud connu pour être utilisé par des acteurs malveillants. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Élévation des privilèges : génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
L'autorisation iam.serviceAccounts.implicitDelegation a été utilisée de manière abusive pour générer des jetons d'accès à partir d'un compte de service disposant de plus de privilèges. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un compte de service a utilisé la méthode
serviceAccounts.signJwt pour générer un jeton d'accès pour un autre compte de service. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
L'autorisation IAM Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Élévation des privilèges : génération de jetons suspects | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
L'autorisation IAM Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Élévation des privilèges : utilisation suspecte des autorisations multiprojets | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
L'autorisation IAM Ce résultat n'est pas disponible pour les activations au niveau du projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Commande et contrôle : tunnelisation DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Journaux Cloud DNS | Le handshake de l'outil de tunnelisation DNS Iodine a été détecté. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Contournement des défenses : tentative de vue personnalisée de la route VPC | VPC_ROUTE_MASQUERADE |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Les routes VPC se faisant passer pour des routes par défaut Google Cloud ont été créées manuellement, ce qui permet au trafic sortant d'accéder aux adresses IP externes. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Impact : facturation désactivée | BILLING_DISABLED_SINGLE_PROJECT |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
La facturation a été désactivée pour un projet. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : facturation désactivée | BILLING_DISABLED_MULTIPLE_PROJECTS |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
La facturation a été désactivée pour plusieurs projets d'une organisation sur une courte période. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : blocage à priorité élevée du pare-feu VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Une règle de pare-feu VPC bloquant tout le trafic de sortie a été ajoutée avec la priorité 0. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : Suppression groupée des règles du pare-feu VPCTemporairement indisponible | VPC_FIREWALL_MASS_RULE_DELETION |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Les règles de pare-feu VPC ont été supprimées de manière groupée par des comptes autres que des comptes de service. Cette règle est temporairement indisponible. Pour surveiller les modifications apportées à vos règles de pare-feu, utilisez les journaux d'audit Cloud. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : API de service désactivée | SERVICE_API_DISABLED |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Une API de service Google Cloud a été désactivée dans un environnement de production. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Impact : Autoscaling du groupe d'instances géré défini sur "Maximum" | MIG_AUTOSCALING_SET_TO_MAX |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un groupe d'instances géré a été configuré pour l'autoscaling maximal. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Découverte : Appel d'API de compte de service non autorisé | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud Audit Logs : Journaux d'audit pour les activités d'administration IAM |
Un compte de service a effectué un appel d'API multiprojet non autorisé. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Contournement des systèmes de défense : autorisations d'administrateur de cluster accordées pour les sessions anonymes | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un objet ClusterRoleBinding de contrôle des accès basé sur les rôles (RBAC) a été créé, ajoutant le comportement root-cluster-admin-binding aux utilisateurs anonymes. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Persistance : nouvelle zone géographique pour le service d'IA | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Journaux d'audit Cloud : Journaux des activités d'administration |
Des comptes utilisateur et de service IAM ont accédé aux services d'IA Google Cloud à partir d'emplacements anormaux, en fonction de la géolocalisation des adresses IP des requêtes. Ce résultat n'est pas disponible pour les activations au niveau du projet. Il est classé comme étant de gravité faible par défaut. |
| Escalade de privilèges : délégation de compte de service multi-étapes anormale pour une activité d'administration d'IA | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Une demande déléguée multi-étapes anormale a été détectée pour une activité d'administration d'un service d'IA. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : délégation de compte de service multi-étapes anormale pour l'accès à des données d'IA | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Cloud Audit Logs : Journaux d'accès aux données |
Une demande déléguée multi-étapes anormale a été détectée pour une activité d'accès aux données d'un service d'IA. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade des privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration d'IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Un appelant ou un emprunteur d'identité potentiellement anormal dans une chaîne de délégation a été utilisé pour une activité d'administration d'un service d'IA. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour l'accès à des données d'IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Cloud Audit Logs : Journaux d'accès aux données |
Un appelant ou un usurpateur d'identité potentiellement anormal dans une chaîne de délégation a été utilisé pour une activité d'accès aux données d'un service d'IA. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration d'IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Un compte de service dont l'identité a été empruntée potentiellement anormal a été utilisé pour une activité d'administration d'un service d'IA. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Persistance : Nouvelle méthode d'API d'IA |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Journaux d'audit Cloud : Journaux des activités d'administration |
Des comptes de service IAM ont utilisé un accès anormal aux services d'IA Google Cloud . Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : activité de compte de service inactif dans le service d'IA | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Journaux d'audit Cloud : Journaux des activités d'administration | Un compte de service géré par l'utilisateur inactif a déclenché une action dans les services d'IA. Dans ce contexte, un compte de service est considéré comme dormant s'il est inactif depuis plus de 180 jours. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Accès initial : ressource GKE anonyme créée à partir d'Internet (aperçu) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs : Journaux des activités d'administration GKE. |
Une ressource a été créée par un utilisateur Internet anonyme. Par défaut, les résultats sont classés comme étant de gravité élevée. |
| Accès initial : ressource GKE modifiée anonymement à partir d'Internet (bêta) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une ressource a été manipulée par un utilisateur Internet anonyme. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Escalade de privilèges : accès au cluster GKE accordé aux utilisateurs anonymes | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a créé une liaison RBAC qui fait référence à l'un des utilisateurs ou groupes suivants :
Ces utilisateurs et groupes sont effectivement anonymes et doivent être évités lors de la création de liaisons de rôle ou de liaisons de rôle de cluster à des rôles RBAC. Vérifiez la liaison pour vous assurer qu'elle est nécessaire. Si la liaison n'est pas nécessaire, supprimez-la. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Exécution : exécution suspecte d'un pod système ou association suspecte à un pod système (aperçu) | GKE_SUSPICIOUS_EXEC_ATTACH |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a utilisé les commandes exec ou attach pour obtenir un shell ou exécuter une commande sur un conteneur s'exécutant dans l'espace de noms kube-system.
Ces méthodes sont parfois utilisées à des fins de débogage légitimes. Toutefois, l'espace de noms kube-system est destiné aux objets système créés par Kubernetes. Toute exécution de commande ou création de shell inattendue doit être examinée. Par défaut, les résultats sont classés dans le niveau de gravité moyen.
|
| Élévation des privilèges : charge de travail créée avec une installation de chemin d'hôte sensible (version bêta) | GKE_SENSITIVE_HOSTPATH |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a créé une charge de travail contenant un montage de volume hostPath vers un chemin sensible sur le système de fichiers du nœud hôte. L'accès à ces chemins d'accès sur le système de fichiers hôte peut être utilisé pour accéder à des informations sensibles ou privilégiées sur le nœud et pour les échappements de conteneurs. Si possible, n'autorisez aucun volume hostPath dans votre cluster. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : Charge de travail avec shareProcessNamespace activé (aperçu) | GKE_SHAREPROCESSNAMESPACE_POD |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a déployé une charge de travail avec l'option shareProcessNamespace définie sur true, ce qui permet à tous les conteneurs de partager le même espace de noms de processus Linux.
Cela pourrait permettre à un conteneur non fiable ou compromis d'escalader les privilèges en accédant aux variables d'environnement, à la mémoire et à d'autres données sensibles des processus exécutés dans d'autres conteneurs, et en les contrôlant. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : ClusterRole avec verbes privilégiés (aperçu) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Quelqu'un a créé un ClusterRole RBAC contenant les verbes bind, escalate ou impersonate. Un sujet lié à un rôle avec ces verbes peut se faire passer pour d'autres utilisateurs disposant de privilèges plus élevés, se lier à des Roles ou ClusterRoles supplémentaires contenant des autorisations supplémentaires, ou modifier ses propres autorisations ClusterRole. Cela peut entraîner l'obtention de droits d'administrateur de cluster par ces sujets. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Élévation des privilèges : ClusterRoleBinding pour un rôle avec privilèges | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un utilisateur a créé un ClusterRoleBinding RBAC qui fait référence à system:controller:clusterrole-aggregation-controller
ClusterRole par défaut. Ce ClusterRole par défaut comporte le verbe escalate, qui permet aux sujets de modifier les privilèges de leurs propres rôles, ce qui permet une escalade des privilèges. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Contournement des systèmes de défense : requête de signature de certificat (CSR) supprimée manuellement | GKE_MANUALLY_DELETED_CSR |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a supprimé manuellement une demande de signature de certificat (CSR). Les CSR sont automatiquement supprimées par un contrôleur de collecte des déchets, mais des personnes malintentionnées peuvent les supprimer manuellement pour échapper à la détection. Si la CSR supprimée concernait un certificat approuvé et émis, l'acteur potentiellement malveillant dispose désormais d'une méthode d'authentification supplémentaire pour accéder au cluster. Les autorisations associées au certificat varient en fonction du sujet inclus, mais peuvent être très privilégiées. Kubernetes n'est pas compatible avec la révocation de certificats. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès aux identifiants : échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes | GKE_APPROVE_CSR_FORBIDDEN |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Quelqu'un a tenté d'approuver manuellement une requête de signature de certificat (CSR), mais l'action a échoué. La création d'un certificat pour l'authentification du cluster est une méthode courante permettant aux pirates informatiques de créer un accès permanent à un cluster compromis. Les autorisations associées au certificat varient en fonction du sujet inclus, mais peuvent être très privilégiées. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès aux identifiants : requête de signature de certificat (CSR) Kubernetes approuvée manuellement (Preview) | GKE_CSR_APPROVED |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a approuvé manuellement une requête de signature de certificat (CSR). La création d'un certificat pour l'authentification du cluster est une méthode courante permettant aux pirates informatiques de créer un accès persistant à un cluster compromis. Les autorisations associées au certificat varient en fonction du sujet inclus, mais peuvent être très privilégiées. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Exécution : pod Kubernetes créé avec de potentiels arguments de shell inversé | GKE_REVERSE_SHELL_POD |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a créé un pod contenant des commandes ou des arguments couramment associés à un shell inversé. Les pirates informatiques utilisent des shells inversés pour étendre ou maintenir leur accès initial à un cluster et pour exécuter des commandes arbitraires. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Évitement de défense : dissimulation potentielle de pod Kubernetes | GKE_POD_MASQUERADING |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a déployé un pod avec une convention de nommage semblable aux charges de travail par défaut que GKE crée pour le fonctionnement normal du cluster. Cette technique est appelée mascarade. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Élévation des privilèges : Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) | GKE_SUSPICIOUS_EXPLOIT_POD |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une personne a déployé un pod avec une convention de dénomination semblable à celle des outils courants utilisés pour les échappements de conteneur ou pour exécuter d'autres attaques sur le cluster. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Persistance : compte de service créé dans un espace de noms sensible | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un utilisateur a créé un compte de service dans un espace de noms sensible. Les espaces de noms kube-system et kube-public sont essentiels aux opérations des clusters GKE. Les comptes de service non autorisés peuvent compromettre la stabilité et la sécurité des clusters. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Impact : Noms de conteneurs Kubernetes suspects – Minage de cryptomonnaie | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Quelqu'un a déployé un pod avec une convention de dénomination semblable à celle des mineurs de pièces de monnaie cryptographiques courantes. Il peut s'agir d'une tentative d'un pirate informatique qui a réussi à accéder initialement au cluster pour utiliser les ressources du cluster à des fins de minage de cryptomonnaie. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Exécution : charge de travail déclenchée dans un espace de noms sensible | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un utilisateur a déployé une charge de travail (par exemple, un pod ou un déploiement) dans les espaces de noms kube-system ou kube-public. Ces espaces de noms sont essentiels aux opérations des clusters GKE. Des charges de travail non autorisées pourraient compromettre la stabilité ou la sécurité des clusters. Par défaut, les résultats sont classés comme étant de gravité faible.
|
| Exécution : lancement d'un conteneur GKE doté de capacités excessives (aperçu) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un utilisateur a créé un conteneur avec une ou plusieurs des fonctionnalités suivantes dans un cluster avec un contexte de sécurité élevé :
|
| Persistance : configuration de webhook GKE détectée | GKE_WEBHOOK_CONFIG_CREATED |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Une configuration de webhook a été détectée dans votre cluster GKE. Les webhooks peuvent intercepter et modifier les requêtes de l'API Kubernetes, ce qui peut permettre aux pirates informatiques de persister dans votre cluster ou de manipuler des ressources. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Contournement des défenses : pod statique créé | GKE_STATIC_POD_CREATED |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Quelqu'un a créé un pod statique dans votre cluster GKE. Les pods statiques s'exécutent directement sur le nœud et contournent le serveur d'API Kubernetes, ce qui les rend plus difficiles à surveiller et à contrôler. Les pirates informatiques peuvent utiliser des pods statiques pour échapper à la détection ou maintenir la persistance. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : appel d'API réussi à partir d'une adresse IP de proxy TOR | GKE_TOR_PROXY_IP_REQUEST |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un appel d'API a été effectué avec succès vers votre cluster GKE à partir d'une adresse IP associée au réseau Tor. Tor offre l'anonymat, que les pirates informatiques exploitent souvent pour masquer leur identité. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Accès initial : service NodePort GKE créé | GKE_NODEPORT_SERVICE_CREATED |
Cloud Audit Logs : Journaux des activités d'administration GKE |
Un utilisateur a créé un service NodePort. Les services NodePort exposent les pods directement sur l'adresse IP et le port statique d'un nœud, ce qui les rend accessibles depuis l'extérieur du cluster. Cela peut présenter un risque de sécurité important, car cela pourrait permettre à un pirate informatique d'exploiter les failles du service exposé pour accéder au cluster ou à des données sensibles. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Impact : modification de kube-dns dans GKE détectée (bêta) | GKE_KUBE_DNS_MODIFICATION |
Cloud Audit Logs : Journaux des activités d'administration GKE |
La configuration kube-dns de votre cluster GKE a été modifiée. kube-dns GKE est un composant essentiel de la mise en réseau de votre cluster. Une mauvaise configuration peut entraîner une brèche de sécurité. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
| Impact : commandes de minage de cryptomonnaie | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs : Journaux d'audit des événements système IAM |
Des commandes de minage de cryptomonnaie spécifiques ont été associées à un job Cloud Run lors de l'exécution. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Exécution : image Docker de minage de cryptomonnaie | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs : Journaux d'audit des événements système IAM |
Des images Docker spécifiques connues comme étant incorrectes ont été associées à un service ou un job Cloud Run nouveau ou existant. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Escalade de privilèges : compte de service Compute Engine par défaut SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Le compte de service Compute Engine par défaut a été utilisé pour définir la stratégie IAM d'un service Cloud Run. Il s'agit d'une action post-exploitation potentielle lorsqu'un jeton Compute Engine est compromis à partir d'un service sans serveur. Par défaut, les résultats sont classés comme étant de gravité faible. |
| Accès initial : connexion réussie à CloudDB depuis l'adresse IP du proxy d'anonymisation | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Cloud Audit Logs :
Journaux d'accès aux données AlloyDB pour PostgreSQL Journaux d'accès aux données Cloud SQL pour PostgreSQL Journaux d'accès aux données Cloud SQL pour MySQL Remarque : Vous devez activer la journalisation des adresses IP dans PostgreSQL pour utiliser cette règle pour AlloyDB et Postgres. |
Une connexion réussie a été détectée dans votre instance de base de données à partir d'une adresse IP d'anonymisation connue. Cela peut indiquer qu'un pirate informatique a obtenu un accès initial à votre instance. Par défaut, les résultats sont classés comme étant de gravité élevée. |
| Accès aux identifiants : échec de la connexion à CloudDB depuis l'adresse IP du proxy d'anonymisation | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Cloud Audit Logs :
Journaux d'accès aux données AlloyDB pour PostgreSQL Journaux d'accès aux données Cloud SQL pour PostgreSQL Journaux d'accès aux données Cloud SQL pour MySQL Remarque : Vous devez activer la journalisation des adresses IP dans PostgreSQL pour utiliser cette règle pour AlloyDB et Postgres. |
Une tentative de connexion infructueuse a été détectée dans votre instance de base de données à partir d'une adresse IP d'anonymisation connue. Cela peut indiquer qu'un pirate informatique tente d'accéder à votre instance de manière non autorisée. Par défaut, les résultats sont classés dans le niveau de gravité moyen. |
Modules personnalisés pour Event Threat Detection
En plus des règles de détection intégrées, Event Threat Detection fournit des modèles de modules que vous pouvez utiliser pour créer des règles de détection personnalisées. Pour en savoir plus, consultez Présentation des modules personnalisés pour Event Threat Detection.
Pour créer des règles de détection pour lesquelles aucun modèle de module personnalisé n'est disponible, vous pouvez exporter vos données de journal vers BigQuery, puis exécuter des requêtes SQL uniques ou récurrentes qui capturent vos modèles de menace.
Modifications non sécurisées apportées aux groupes Google
Cette section explique comment Event Threat Detection détecte les modifications non sécurisées apportées aux groupes Google à l'aide de journaux Google Workspace, de Cloud Audit Logs et de stratégies IAM. La détection des modifications apportées à Google Groupes n'est possible que si vous activez Security Command Center au niveau de l'organisation.
Les clientsGoogle Cloud peuvent utiliser des groupes Google pour gérer les rôles et les autorisations des membres de leur organisation, ou appliquer des règles d'accès à des groupes d'utilisateurs. Au lieu d'attribuer des rôles directement aux membres, les administrateurs peuvent attribuer des rôles et des autorisations à des groupes Google, puis ajouter des membres à des groupes spécifiques. Les membres du groupe héritent de l'ensemble des rôles et des autorisations de ce groupe, ce qui leur permet d'accéder à des ressources et à des services spécifiques.
Bien que les groupes Google constituent un moyen pratique de gérer le contrôle des accès à grande échelle, ils peuvent présenter un risque si des utilisateurs externes à votre organisation ou à votre domaine sont ajoutés à des groupes privilégiés, c'est-à-dire des groupes disposant de rôles ou d'autorisations sensibles. Les rôles sensibles contrôlent l'accès aux paramètres de sécurité et de réseau, aux journaux et aux informations permettant d'identifier personnellement les utilisateurs (PII), et ne sont pas recommandés pour les membres de groupe externes.
Dans les grandes organisations, les administrateurs peuvent ne pas être informés lorsque des membres externes sont ajoutés à des groupes privilégiés. Cloud Audit Logs enregistrent les attributions de rôles aux groupes, mais ces événements de journaux ne contiennent pas d'informations sur les membres des groupes, ce qui peut dissimuler l'impact potentiel de certaines modifications de groupes.
Si vous partagez vos journaux Google Workspace avec Google Cloud, Event Threat Detection surveille vos flux de journalisation pour détecter les membres ajoutés aux groupes Google de votre organisation. Étant donné que les journaux sont au niveau de l'organisation, Event Threat Detection ne peut analyser les journaux Google Workspace que lorsque vous activez Security Command Center au niveau de l'organisation. Event Threat Detection ne peut pas analyser ces journaux lorsque vous activez Security Command Center au niveau du projet.
Event Threat Detection identifie les membres de groupe externes et, à l'aide des journaux d'audit Cloud, examine les rôles IAM de chaque groupe concerné afin de vérifier s'ils disposent de rôles sensibles. Ces informations permettent de détecter les modifications non sécurisées suivantes apportées aux groupes Google privilégiés :
- Membres de groupe externes ajoutés aux groupes privilégiés
- Rôles ou autorisations sensibles accordés aux groupes comportant des membres externes
- Groupes privilégiés modifiés pour permettre à tous leurs utilisateurs d'y accéder
Event Threat Detection écrit les résultats dans Security Command Center. Les résultats contiennent les adresses e-mail des nouveaux membres externes, les membres de groupe internes qui envoient les événements, les noms de groupes et les rôles sensibles associés aux groupes. Vous pouvez utiliser ces informations pour supprimer des membres externes des groupes ou révoquer les rôles sensibles accordés aux groupes.
Pour en savoir plus sur les résultats d'Event Threat Detection, consultez la section Règles d'Event Threat Detection.
Rôles et autorisations IAM sensibles
Cette section explique comment Event Threat Detection définit les rôles IAM sensibles. Les détections telles que "Attribution anormale de droits IAM" et "Modifications non sécurisées apportées aux groupes Google" ne génèrent des résultats que si elles impliquent des rôles à sensibilité élevée ou moyenne. La sensibilité des rôles a un impact sur le niveau de gravité attribué aux résultats.
- Les rôles à sensibilité élevée contrôlent les services critiques dans les organisations, y compris la facturation, les paramètres de pare-feu et la journalisation. Les résultats correspondant à ces rôles sont classés dans le niveau de gravité élevé.
- Les rôles à sensibilité moyenne disposent d'autorisations de modification permettant aux comptes principaux d'apporter des modifications aux ressources Google Cloud , et d'autorisations d'affichage et d'exécution sur les services de stockage de données contenant souvent des données sensibles. Le niveau de gravité attribué aux résultats dépend de la ressource :
- Si des rôles à sensibilité moyenne sont attribués au niveau de l'organisation, les résultats sont classés dans le niveau de gravité élevé.
- Si les rôles à sensibilité moyenne sont attribués à des niveaux inférieurs dans la hiérarchie des ressources (dossiers, projets et buckets, entre autres), les résultats sont classés dans le niveau de gravité moyen.
L'attribution de ces rôles sensibles est considérée comme dangereuse si le bénéficiaire est un membre externe ou une identité anormale, comme un principal inactif depuis longtemps.
Accorder des rôles sensibles à des membres externes crée une menace potentielle, car ils peuvent être détournés pour compromettre des comptes et exfiltrer des données.
Voici quelques exemples de catégories de résultats qui utilisent ces rôles sensibles :
- Persistance : octroi anormal d'autorisations IAM
- Sous-règle :
external_service_account_added_to_policy - Sous-règle :
external_member_added_to_policy
- Sous-règle :
- Élévation des privilèges : rôle sensible attribué au groupe hybride
- Escalade de privilèges : rôle sensible attribué à un compte de service inactif
Voici les catégories de résultats qui utilisent un sous-ensemble des rôles sensibles :
- Persistance : octroi anormal d'autorisations IAM
- Sous-règle :
service_account_granted_sensitive_role_to_member
- Sous-règle :
La sous-règle service_account_granted_sensitive_role_to_member cible généralement les membres externes et internes. Elle n'utilise donc qu'un sous-ensemble de rôles sensibles, comme expliqué dans Règles Event Threat Detection.
| Catégorie | Rôle | Description |
|---|---|---|
| Les rôles de base incluent des milliers d'autorisations pour tous les services Google Cloud . | roles/owner |
Rôles de base |
roles/editor |
||
| Les rôles de sécurité contrôlent l'accès aux paramètres de sécurité. | roles/cloudkms.* |
Tous les rôles Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Tous les rôles Web Security Scanner | |
roles/dlp.* |
Tous les rôles Protection des données sensibles | |
roles/iam.* |
Tous les rôles IAM | |
roles/secretmanager.* |
Tous les rôles Secret Manager | |
roles/securitycenter.* |
Tous les rôles Security Command Center | |
| Rôles de journalisation : contrôlent l'accès aux journaux d'une organisation | roles/errorreporting.* |
Tous les rôles Error Reporting |
roles/logging.* |
Tous les rôles Cloud Logging | |
roles/stackdriver.* |
Tous les rôles Cloud Monitoring | |
| Les rôles d'informations personnelles contrôlent l'accès aux ressources contenant des informations permettant d'identifier personnellement l'utilisateur, y compris des coordonnées bancaires et des coordonnées. | roles/billing.* |
Tous les rôles Cloud Billing |
roles/healthcare.* |
Tous les rôles de l'API Cloud Healthcare | |
roles/essentialcontacts.* |
Tous les rôles Contacts essentiels | |
| Les rôles de mise en réseau contrôlent l'accès aux paramètres réseau d'une organisation. | roles/dns.* |
Tous les rôles Cloud DNS |
roles/domains.* |
Tous les rôles Cloud Domains | |
roles/networkconnectivity.* |
Tous les rôles Network Connectivity Center | |
roles/networkmanagement.* |
Tous les rôles Network Connectivity Center | |
roles/privateca.* |
Tous les rôles Certificate Authority Service | |
| Les rôles de service contrôlent l'accès aux ressources de service dans Google Cloud. | roles/cloudasset.* |
Tous les rôles de l'inventaire des éléments cloud |
roles/servicedirectory.* |
Tous les rôles Annuaire des services | |
roles/servicemanagement.* |
Tous les rôles Service Management | |
roles/servicenetworking.* |
Tous les rôles Service Networking | |
roles/serviceusage.* |
Tous les rôles Service Usage | |
| Les rôles Compute Engine contrôlent l'accès aux machines virtuelles Compute Engine, qui exécutent des tâches de longue durée et sont associées à des règles de pare-feu. |
|
Tous les rôles Administrateur et Éditeur de Compute Engine |
| Catégorie | Rôle | Description |
|---|---|---|
| Rôles de modification : rôles IAM qui incluent des autorisations permettant d'apporter des modifications aux ressources Google Cloud |
Exemples :
|
Le nom des rôles se termine généralement par des titres, tels que Administrateur, Propriétaire, Éditeur ou Rédacteur. Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne. |
| Rôles de stockage des données : rôles IAM qui incluent des autorisations permettant d'afficher et d'exécuter des services de stockage de données |
Exemples :
|
Développez le nœud de la dernière ligne du tableau pour afficher tous les rôles à sensibilité moyenne. |
|
Tous les rôles à sensibilité moyenne
Service géré pour Microsoft Active Directory
Surveillance de la configuration des opérations
Service de règles d'organisation
Service de transfert de stockage
Notebooks Vertex AI Workbench gérés par l'utilisateur
|
||
Types de journaux et conditions d'activation
Cette section liste les journaux utilisés par Event Threat Detection, ainsi que les menaces qu'il recherche dans chacun d'eux. Elle indique également si vous devez activer chaque journal.
Vous ne devez activer un journal pour Event Threat Detection que si toutes les conditions suivantes sont remplies :
- Vous utilisez le produit ou le service qui écrit dans le journal.
- Vous devez protéger le produit ou le service contre les menaces détectées par Event Threat Detection dans le journal.
- Le journal est un journal d'audit des accès aux données ou un autre journal désactivé par défaut.
Certaines menaces peuvent être détectées dans plusieurs journaux. Si Event Threat Detection peut détecter une menace dans un journal déjà activé, vous n'avez pas besoin d'activer un autre journal pour détecter la même menace.
Si un journal ne figure pas dans cette section, Event Threat Detection ne l'analyse pas, même s'il est activé. Pour en savoir plus, consultez Analyses de journaux potentiellement redondantes.
Comme indiqué dans le tableau suivant, certains types de journaux ne sont disponibles qu'au niveau de l'organisation. Si vous activez Security Command Center au niveau du projet, Event Threat Detection n'analyse pas ces journaux et ne génère aucun résultat.
Sources de journaux fondamentales
Event Threat Detection utilise des sources de données fondamentales pour détecter les activités potentiellement malveillantes sur votre réseau.
Si vous activez Event Threat Detection sans les journaux de flux VPC, Event Threat Detection commence immédiatement à analyser un flux interne, indépendant et en double des journaux de flux VPC. Pour examiner plus en détail un résultat Event Threat Detection existant, vous devez activer les journaux de flux VPC et accéder manuellement à l'explorateur de journaux et à l'analyseur de flux. Si vous activez les journaux de flux VPC ultérieurement, seuls les futurs résultats contiendront les liens pertinents pour une analyse plus approfondie.
Si vous activez Event Threat Detection avec les journaux de flux VPC, Event Threat Detection commence immédiatement à analyser les journaux de flux VPC de votre déploiement et fournit des liens vers l'explorateur de journaux et Flow Analyzer pour vous aider à approfondir vos recherches.
Journaux pour la détection réseau des logiciels malveillants
Event Threat Detection peut détecter les logiciels malveillants sur le réseau en analysant l'un des journaux suivants :
- Journalisation Cloud DNS
- Journalisation Cloud NAT
- Journalisation des règles de pare-feu
- Journaux de flux VPC
Vous n'avez pas besoin d'activer plusieurs journaux Cloud NAT, journaux des règles de pare-feu ou journaux de flux VPC.
Si vous utilisez déjà la journalisation Cloud DNS, Event Threat Detection peut détecter les logiciels malveillants à l'aide de la résolution de domaine. Pour la plupart des utilisateurs, les journaux Cloud DNS suffisent à détecter les logiciels malveillants sur le réseau.
Si vous avez besoin d'un niveau de visibilité supérieur à la résolution de domaine, vous pouvez activer les journaux de flux VPC, mais cela peut entraîner des coûts. Pour gérer ces coûts, nous vous recommandons d'augmenter l'intervalle d'agrégation à 15 minutes et de réduire le taux d'échantillonnage entre 5 % et 10 %. Toutefois, il existe un compromis entre le rappel (échantillon plus élevé) et la gestion des coûts (taux d'échantillonnage plus faible). Pour en savoir plus, consultez Échantillonnage et traitement des journaux.
Si vous utilisez déjà la journalisation des règles de pare-feu ou Cloud NAT, ces journaux sont utiles à la place des journaux de flux VPC.
Données de journaux et menaces détectées compatibles
Cette section liste les journaux Cloud Logging et Google Workspace que vous pouvez activer ou configurer pour augmenter le nombre de menaces qu'Event Threat Detection peut détecter.
La plupart des journaux d'audit contiennent certaines menaces, comme celles liées à l'emprunt ou à la délégation anormaux d'identité d'un compte de service. Pour ces types de menaces, vous devez déterminer les journaux à activer en fonction des produits et services que vous utilisez.
Le tableau suivant indique les journaux spécifiques que vous pouvez activer et les types de menaces qui peuvent être détectés.
| Type de journal | Menaces détectées | Configuration obligatoire |
|---|---|---|
| Journalisation Cloud DNS |
|
Activer la journalisation Cloud DNS
Consultez également Journaux pour la détection des logiciels malveillants sur le réseau. |
| Journalisation Cloud NAT |
|
Activer la journalisation Cloud NAT
Consultez également Journaux pour la détection de logiciels malveillants sur le réseau. |
| Journalisation des règles de pare-feu |
|
Activer la journalisation des règles de pare-feu
Consultez également Journaux pour la détection de logiciels malveillants sur le réseau. |
| Journaux d'audit des accès aux données Google Kubernetes Engine (GKE) |
|
Activer les journaux d'audit des accès aux données de journalisation pour GKE |
| Journaux d'audit des administrateurs Google Workspace |
|
Partager les journaux d'audit d'administrateur Google Workspace avec Cloud Logging Ce type de journal ne peut pas être analysé dans les activations au niveau du projet. |
| Journaux d'audit des connexions Google Workspace |
|
Partager les journaux d'audit de connexion Google Workspace avec Cloud Logging Ce type de journal ne peut pas être analysé dans les activations au niveau du projet. |
| service de backend de l'équilibreur de charge d'application externe | Initial Access: Log4j Compromise Attempt |
Activer la journalisation de l'équilibreur de charge d'application externe |
| Journaux d'audit d'accès aux données MySQL Cloud SQL |
|
Activer la journalisation des journaux d'audit pour l'accès aux données pour Cloud SQL pour MySQL |
| Journaux d'audit des accès aux données Cloud SQL pour PostgreSQL |
|
|
| Journaux d'audit des accès aux données AlloyDB pour PostgreSQL |
|
|
| Journaux d'audit pour l'accès aux données IAM |
Discovery: Service Account Self-Investigation
|
Activer les journaux d'audit des accès aux données pour Resource Manager |
| Journaux d'audit pour l'accès aux données SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Activer la journalisation des journaux d'audit d'accès aux données pour Cloud SQL pour SQL Server |
| Journaux d'audit génériques pour l'accès aux données |
|
Activez les journaux d'audit des accès aux données. |
| authlogs/authlog sur les machines virtuelles | Brute force SSH |
Installez l'agent Ops ou l'ancien agent Logging sur vos hôtes de VM. |
| Journaux de flux VPC |
|
Activer les journaux de flux VPC
Consultez également Journaux pour la détection de logiciels malveillants sur le réseau. |
Journaux toujours activés
Le tableau suivant répertorie les journaux Cloud Logging que vous n'avez pas besoin d'activer ni de configurer. Ces journaux sont toujours activés et Event Threat Detection les analyse automatiquement.
| Type de journal | Menaces détectées | Configuration obligatoire |
|---|---|---|
| Journaux d'accès aux données BigQueryAuditMetadata |
Exfiltration : exfiltration de données BigQuery Exfiltration : extraction de données BigQuery Exfiltration : données BigQuery vers Google Drive Exfiltration : déplacer vers une ressource BigQuery publique (aperçu) |
Aucun |
| Journaux d'audit des activités d'administration Google Kubernetes Engine (GKE) |
Accès aux identifiants : échec de la tentative d'approbation de la requête de signature de certificat (CSR) Kubernetes Accès aux identifiants : requête de signature de certificat (CSR) Kubernetes approuvée manuellement (aperçu) Contournement des systèmes de défense : autorisations d'administrateur de cluster accordées pour les sessions anonymes Contournement des systèmes de défense : requête de signature de certificat (CSR) supprimée manuellement Évitement de défense : dissimulation potentielle de pod Kubernetes Contournement des défenses : pod statique créé Exécution : lancement d'un conteneur GKE doté de capacités excessives (Preview) Exécution : pod Kubernetes créé avec de potentiels arguments de shell inversé Exécution : exécution suspecte d'un pod système ou association suspecte à un pod système (aperçu) Exécution : charge de travail déclenchée dans un espace de noms sensible Impact : Détection d'une modification de kube-dns dans GKE (bêta) Impact : Noms de conteneurs Kubernetes suspects – Minage de cryptomonnaie Accès initial : ressource GKE anonyme créée à partir d'Internet (Aperçu) Accès initial : service NodePort GKE créé Accès initial : ressource GKE modifiée anonymement à partir d'Internet (Bêta) Accès initial : appel d'API réussi à partir d'une adresse IP de proxy TOR Persistance : configuration de webhook GKE détectée Persistance : compte de service créé dans un espace de noms sensible Élévation des privilèges : modifications apportées à des objets Kubernetes RBAC sensibles Élévation des privilèges : ClusterRole avec verbes privilégiés (Preview) Élévation des privilèges : ClusterRoleBinding pour un rôle avec privilèges Élévation des privilèges : création d'une requête de signature de certificat Kubernetes pour le certificat principal Élévation des privilèges : création de liaisons Kubernetes sensibles Escalade des privilèges : accès au cluster GKE accordé aux utilisateurs anonymes Élévation des privilèges : exécution d'un conteneur Kubernetes privilégié Élévation des privilèges : Noms de conteneurs Kubernetes suspects - Exploitation et fuite (Preview) Élévation des privilèges : charge de travail créée avec une installation de chemin d'hôte sensible (aperçu) Élévation des privilèges : Charge de travail avec shareProcessNamespace activé (Preview) |
Aucun |
| Journaux d'audit pour les activités d'administration IAM |
Persistance : octroi anormal d'autorisations IAM (aperçu) Persistance : compte non géré auquel un rôle sensible a été attribué Escalade de privilèges : compte de service Compute Engine par défaut SetIAMPolicy Escalade de privilèges : rôle sensible attribué à un compte de service inactif Escalade des privilèges : rôle autorisant l'emprunt d'identité attribué à un compte de service inactif Élévation des privilèges : rôle sensible attribué au groupe hybride |
Aucun |
| Journaux des activités d'administration MySQL | Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Aucun |
| Journaux des activités d'administration PostgreSQL | Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Aucun |
| Journaux d'activité d'administration SQL Server | Exfiltration : restauration de la sauvegarde Cloud SQL dans l'organisation externe | Aucun |
| Journaux d'audit génériques pour les activités d'administration |
Contournement des défenses : filtrage des adresses IP du bucket GCS modifié Contournement des systèmes de défense : bloc de règles HTTP du projet désactivé Accès initial : action sur un compte de service inactif Accès initial : activité de compte de service inactif dans le service d'IA Accès initial : clé de compte de service inactif créée Accès initial : opérations refusées en raison d'autorisations excessives Accès initial : clé de compte de service divulguée utilisée Mouvement latéral : disque de démarrage modifié associé à l'instance (version bêta) Persistance : ajout d'une clé SSH par l'administrateur GCE Persistance : ajout d'un script de démarrage par l'administrateur GCE Persistance : nouvelle méthode d'API d'IA Persistance : Nouvelle méthode d'API Persistance : Nouvelle géographie Persistance : nouvelle zone géographique pour le service d'IA Persistance : Nouvel agent utilisateur Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration d'IA Élévation des droits d'accès : délégation de compte de service multi-étapes anormale pour les activités d'administration Escalade de privilèges : délégation de compte de service multi-étapes anormale pour une activité d'administration d'IA Escalade de privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration Escalade des privilèges : emprunt d'identité anormal d'un compte de service pour une activité d'administration d'IA |
Aucun |
| Journaux d'audit de VPC Service Controls | Defense Evasion : Modifier VPC Service Controls (version bêta) | Aucun |
| Journaux d'audit des activités d'administration du service de sauvegarde et de reprise après sinistre |
Impact : expiration de toutes les images de sauvegarde et de reprise après sinistre Google Cloud Impact : sauvegarde Backup and DR Google Cloud supprimée Impact : Hôte Google Cloud Backup and DR supprimé Impact : association du plan de sauvegarde et de reprise après sinistre Google Cloud supprimée Impact : coffre Backup and DR Google Cloud supprimé Impact : règle de suppression de la sauvegarde et de la reprise après sinistre Google Cloud Impact : Suppression du profil de sauvegarde et de reprise après sinistre Google Cloud Impact : Suppression du modèle de sauvegarde et de reprise après sinistre Google Cloud Impact : Expiration de l'image de sauvegarde et reprise après sinistre Google Cloud Impact : Réduction du délai d'expiration des sauvegardes dans Google Cloud Backup and DR Impact : Réduction de la fréquence de sauvegarde dans Google Cloud Backup and DR Impact : Sauvegarde et reprise après sinistre Google Cloud : supprimer l'appliance Impact : Suppression du forfait Sauvegarde et reprise après sinistre Google Cloud Empêcher la récupération du système : suppression du pool de stockage Backup and DR Google Cloud |
Aucun |
| Journaux d'audit des événements système IAM |
Exécution : image Docker de minage de cryptomonnaie Impact : commandes de minage de cryptomonnaie |
Aucun |
Étapes suivantes
- Découvrez comment utiliser Event Threat Detection.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.