云威胁类别概览

本文档简要介绍了 Cloud 威胁类别中的规则集、所需的数据源,以及可用于调整每个规则集生成的提醒的配置。这些规则集有助于在使用 Google Cloud 数据的 Google Cloud 环境中以及使用 AWS 数据的 AWS 环境中识别威胁。

规则集说明

“云威胁”类别中提供以下规则集。

CDIR 的缩写代表 Cloud Detection, Investigation, and Response

针对 Google Cloud 数据的精选检测

Google Cloud 规则集有助于使用事件和上下文数据识别 AWS 环境中的威胁,包括以下规则集:

  • 管理员操作:与管理操作相关的活动,被视为可疑但可能合法的活动,具体取决于组织使用情况。
  • CDIR SCC 增强型渗漏:包含将 Security Command Center 渗漏发现结果与其他日志源(例如 Cloud Audit Logs 日志、敏感数据保护上下文、BigQuery 上下文和 Security Command Center 错误配置日志)相关联的情境感知规则。
  • CDIR SCC 增强型防御规避:包含将 Security Command Center 规避或防御措施发现结果与其他 Google Cloud 数据源(例如 Cloud Audit Logs)的数据关联的情境感知规则。
  • CDIR SCC 增强恶意软件:包含情境感知规则,将 Security Command Center 恶意软件发现结果与 IP 地址和域名的出现次数及其普遍性得分等数据以及 Cloud DNS 日志等其他数据源相关联。
  • CDIR SCC 增强持久性:包含情境感知规则,将 Security Command Center 持久性发现结果与来自 Cloud DNS 日志和 IAM 分析日志等来源的数据相关联。
  • CDIR SCC 增强的权限升级:包含情境感知规则,将 Security Command Center 权限升级发现结果与多个其他数据源(例如 Cloud Audit Logs)的数据相关联。
  • CDIR SCC 凭据访问:包含将 Security Command Center 凭据访问发现结果与多个其他数据源(例如 Cloud Audit Logs)的数据相关联的情境感知规则
  • CDIR SCC 增强发现:包含将 Security Command Center Discovery 上报发现结果与来自 Google Cloud 服务和 Cloud Audit Logs 等来源的数据的情境感知规则。
  • CDIR SCC 暴力破解:包含将 Security Command Center 暴力破解升级发现结果与 Cloud DNS 日志等数据相关联的情境感知规则。
  • CDIR SCC 数据销毁:包含将 Security Command Center 数据销毁上报发现结果与多个其他数据源(例如 Cloud Audit Logs)的数据相关联的情境感知规则。
  • CDIR SCC 禁止系统恢复:包含将 Security Command Center 禁止系统恢复发现结果与多个其他数据源(例如 Cloud Audit Logs)的数据相关联的情境感知规则。
  • CDIR SCC 执行:包含情境感知规则,将 Security Command Center 执行发现结果与多个其他数据源(例如 Cloud Audit Logs)的数据相关联。
  • CDIR SCC 初始访问:包含将 Security Command Center 初始访问发现结果与多个其他数据源(例如 Cloud Audit Logs)的数据相关联的情境感知规则。
  • CDIR SCC 影响防御:包含将 Security Command Center 防御发现与多个其他数据源(例如 Cloud Audit Logs)的数据关联的情境感知规则。
  • CDIR SCC 影响:包含用于从 Security Command Center 中检测严重性级别为“严重”“高”“中”和“低”的影响发现结果的规则。
  • CDIR SCC Cloud IDS:包含用于从 Security Command Center 检测 Cloud Intrusion Detection System 发现结果的规则,分为严重级别为“严重”“高”“中”和“低”。
  • CDIR SCC Cloud Armor:包含从 Security Command Center 检测 Google Cloud Armor 发现结果的规则。
  • CDIR SCC 自定义模块:包含用于从 Security Command Center 检测 Event Threat Detection 自定义模块发现结果的规则。
  • Cloud Hacktool:从已知的攻击性安全平台检测到的活动,或者从专门针对云资源的威胁制造者在野外使用的攻击性工具或软件中检测到的活动。
  • Cloud SQL 赎金:检测与 Cloud SQL 数据库中的数据渗漏或勒索相关的活动。
  • Kubernetes 可疑工具:从开源 Kubernetes 工具中检测侦察和利用行为。
  • Kubernetes RBAC 滥用:检测与滥用基于角色的访问权限控制 (RBAC) 尝试提权或横向移动相关的 Kubernetes 活动。
  • Kubernetes 证书敏感操作:检测可用于建立持久性或权限升级的 Kubernetes 证书和证书签名请求 (CSR) 操作。
  • IAM 滥用:与滥用 IAM 角色和权限(在给定 Cloud 项目或 Cloud 组织内进行权限升级或横向移动)相关的活动。
  • 潜在渗漏活动:检测与数据可能渗漏相关的活动。
  • 资源伪装:检测使用其他资源或资源类型的名称或特征创建的 Google Cloud 资源。这可用于掩盖由相应资源执行或在资源内部执行的恶意活动,意图看似合法。
  • 无服务器威胁:检测与 Google Cloud 中的无服务器资源(例如 Cloud Run 和 Cloud Functions)可能遭到破解或滥用相关的活动。
  • 服务故障:检测如果在正常运行的生产环境中执行的破坏性或中断性操作,可能会导致严重中断。检测到的行为在测试和开发环境中很常见,可能是良性的。
  • 可疑活动:在大多数环境中被认为不常见和可疑的活动。
  • 可疑的基础架构更改:检测符合已知持久性策略的生产基础架构修改
  • 弱配置:与增强或降级安全控件相关的活动。被视为可疑,且可能合法,具体取决于组织使用情况。
  • 来自 Chrome 的潜在内部人员数据渗漏:检测与潜在内部人员威胁行为相关的活动,例如 Google Workspace 组织外部的数据渗漏或潜在敏感数据丢失。这包括与 30 天基准相比,Chrome 被视为异常的行为。
  • 云端硬盘的潜在内部人员数据渗漏:检测与潜在内部人员威胁行为相关的活动,例如 Google Workspace 组织外部的数据渗漏或潜在敏感数据丢失。其中包括云端硬盘中与 30 天基准相比的异常行为。
  • Gmail 可能内部人员数据渗漏:检测与潜在内部人员威胁行为相关的活动,例如 Google Workspace 组织外部的数据渗漏或潜在敏感数据泄露。这包括与 30 天基准相比,Gmail 中被视为异常的行为。
  • 可能的 Workspace 帐号遭到入侵:检测内部威胁行为,表明帐号可能已被盗用,并可能导致 Google Workspace 组织内尝试提权或横向移动。这包括与 30 天基准相比,被认为是罕见或异常的行为。
  • 可疑 Workspace 管理操作:检测表明具有更高特权的用户(如管理员)在过去 30 天内从未出现过的罕见行为、安全降级行为或异常异常行为。

CDIR 的缩写代表 Cloud Detection, Investigation, and Response

支持的设备和日志类型

以下部分介绍了“Cloud 威胁”类别中的规则集所需的数据。

如需从 Google Cloud 服务注入数据,请参阅将 Cloud 日志注入 Chronicle。如果您需要使用其他机制收集这些日志,请与您的 Chronicle 代表联系。

Chronicle 提供默认解析器,用于解析和标准化来自 Google Cloud 服务的原始日志,以使用这些规则集所需的数据创建 UDM 记录。

如需查看 Chronicle 支持的所有数据源的列表,请参阅支持的默认解析器

所有规则集

如需使用任何规则集,我们建议您收集 Google Cloud Cloud Audit Logs。某些规则要求客户启用 Cloud DNS 日志记录功能。确保将 Google Cloud 服务配置为将数据记录到以下日志:

Cloud SQL 赎金规则集

如需使用 Cloud SQL 赎金规则集,我们建议您收集以下 Google Cloud 数据:

CDIR SCC 增强型规则集

以名称 CDIR SCC Enhanced 开头的所有规则集均使用与多个其他 Google Cloud 日志源(包括以下内容)背景相关的 Security Command Center 高级方案发现结果:

  • Cloud Audit Logs
  • Cloud DNS 日志
  • Identity and Access Management (IAM) 分析
  • 敏感数据保护上下文
  • BigQuery 上下文
  • Compute Engine 上下文

如需使用 CDIR SCC 增强规则集,我们建议您收集以下 Google Cloud 数据:

  • 所有规则集部分列出的日志数据。

  • 以下日志数据(按产品名称和 Chronicle 提取标签列出):

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • 敏感数据保护 (GCP_DLP_CONTEXT)
    • Cloud Audit Logs (GCP_CLOUDAUDIT)
    • Google Workspace 活动记录 (WORKSPACE_ACTIVITY)
    • Cloud DNS 查询 (GCP_DNS)

  • 以下 Security Command Center 发现结果类(按 findingClass 标识符和 Chronicle 提取标签列出):

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

CDIR SCC 增强规则集也依赖于 Google Cloud 服务中的数据。如需将所需的数据发送到 Chronicle,请务必完成以下步骤:

当发现 Security Command Center Event Threat DetectionGoogle Cloud ArmorSecurity Command Center Sensitive Actions ServiceEvent Threat Detection 自定义模块中的发现结果时,以下规则集会创建检测:

  • CDIR SCC 云 IDS
  • CDIR SCC Cloud Armor
  • 对 CDIR SCC 的影响
  • CDIR SCC 增强持久性
  • CDIR SCC 增强型防御规避
  • CDIR SCC 自定义模块

Kubernetes 可疑工具规则集

如需使用 Kubernetes 可疑工具规则集,我们建议您收集所有规则集部分中列出的数据。确保将 Google Cloud 服务配置为将数据记录到 Google Kubernetes Engine (GKE) 节点日志

Kubernetes RBAC 滥用规则集

如需使用 Kubernetes RBAC 滥用规则集,我们建议您收集所有规则集部分中列出的 Cloud Audit Logs

Kubernetes Certificate Sensitive Action 规则集

如需使用 Kubernetes Certificate Sensitive Action 规则集,我们建议您收集所有规则集部分中列出的 Cloud Audit Logs

Google Workspace 相关的规则集

以下规则集检测 Google Workspace 数据中的规律:

  • Chrome 内部人员数据可能渗漏
  • 云端硬盘内部人员数据可能渗漏
  • Gmail 内部人员数据可能渗漏
  • Workspace 帐号可能遭到入侵
  • 可疑的 Workspace 管理操作

这些规则集需要以下日志类型(按产品名称和 Chhronicle 提取标签列出):

  • Workspace 活动 (WORKSPACE_ACTIVITY)
  • Workspace 提醒 (WORKSPACE_ALERTS)
  • Workspace ChromeOS 设备 (WORKSPACE_CHROMEOS)
  • Workspace 移动设备 (WORKSPACE_MOBILE)
  • Workspace 用户 (WORKSPACE_USERS)
  • Google Chrome 浏览器云管理 (CHROME_MANAGEMENT)
  • Gmail 日志 (GMAIL_LOGS)

如需注入所需的数据,请执行以下操作:

无服务器威胁规则集

Cloud Run 日志包括请求日志和容器日志,这些日志作为 Chronicle 中的 GCP_RUN 日志类型提取。GCP_RUN 日志可以通过直接提取或使用 Feed 和 Cloud Storage 来提取。如需了解特定的日志过滤条件和更多提取详情,请参阅将 Google Cloud 日志导出到 Chronicle。除了默认日志之外,以下导出过滤条件还可以通过直接提取机制以及 Cloud Storage 和接收器导出 Google Cloud Run (GCP_RUN) 日志:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

针对 AWS 规则集的精选检测

此类别中的 AWS 规则集可使用事件和上下文数据识别 AWS 环境中的威胁,规则集包括以下规则集:

  • AWS - 计算:检测与 AWS 计算资源(如 EC2 和 Lambda)相关的异常活动。
  • AWS - 数据:检测与数据资源(例如公开提供的 RDS 快照或 S3 存储分区)关联的 AWS 活动。
  • AWS - GuardDuty:针对行为、凭据访问、加密货币挖矿、发现、规避、执行、渗漏、影响、初始访问、恶意软件、渗透测试、持久性、政策、特权升级和未经授权的访问的情境感知 AWS GuardDuty 提醒。
  • AWS - Hacktools:检测 Hacktools 在 AWS 环境中的使用情况,例如扫描器、工具包和框架。
  • AWS - Identity:检测与 IAM 相关的 AWS 活动和身份验证活动,例如来自多个地理位置的异常登录、创建过于宽松的角色创建,或来自可疑工具的 IAM 活动。
  • AWS - Logging 和 Monitoring:检测与停用日志记录和监控服务(如 CloudTrail、CloudWatch 和 GuardDuty)相关的 AWS 活动。
  • AWS - 网络:检测 AWS 网络设置(如安全组和防火墙)的不安全更改。
  • AWS - 组织:检测与贵组织关联的 AWS 活动,例如账号的添加或移除,以及与区域使用相关的意外事件。
  • AWS - Secret:检测与 Secret、令牌和密码相关联的 AWS 活动,例如删除 KMS Secret 或 Secrets Manager Secret。

支持的设备和日志类型

这些规则集已经过测试,并且受以下 Chronicle 数据源支持(按产品名称和注入标签列出)。

如需了解如何设置 AWS 数据的提取,请参阅配置 AWS 数据的提取

如需查看所有支持的数据源的列表,请参阅支持的默认解析器

以下部分介绍了用于识别数据模式的规则集所需的数据。

您可以使用 Amazon Simple Storage Service (Amazon S3) 存储桶作为来源类型来注入 AWS 数据,或者视需要将 Amazon S3 与 Amazon Simple Queue Service (Amazon SQS) 搭配使用。概括来讲,您需要执行以下操作:

  • 配置 Amazon S3 或 Amazon S3 使用 Amazon SQS 收集日志数据。
  • 配置 Chronicle Feed 以从 Amazon S3 或 Amazon SQS 注入数据

如需了解配置 AWS 服务和配置 Chronicle Feed 以注入 AWS 数据所需的详细步骤,请参阅将 AWS 日志注入 Chronicle

您可以使用 AWS Managed Detection Testing 测试规则来验证 AWS 数据是否正注入 Chronicle SIEM。这些测试规则有助于验证 AWS 日志数据是否按预期提取。设置 AWS 数据注入后,在 AWS 中执行应触发测试规则的操作。

如需了解如何使用 AWS Managed Detection Testing 测试规则验证 AWS 数据的提取,请参阅验证适用于 Cloud 威胁的 AWS 数据注入

调整规则集返回的提醒

您可以使用规则排除功能减少规则或规则集生成的检测次数。

规则排除定义了用于排除事件的条件,这些规则集或规则集中的特定规则不评估事件。请创建一个或多个规则排除项,以帮助减少检测量。有关具体做法,请参阅配置规则排除对象

后续步骤