Auf dieser Seite wird gezeigt, wie Sie Ergebnisse von Event Threat Detection in der Google Cloud -Konsole prüfen. Außerdem finden Sie Beispiele für Event Threat Detection-Ergebnisse.
Event Threat Detection ist ein integrierter Dienst, der die Cloud Logging-Streams für Ihre Organisation oder Projekte überwacht und Bedrohungen nahezu in Echtzeit erkennt. Wenn Sie Security Command Center auf Organisationsebene aktivieren, kann Event Threat Detection auch die Google Workspace-Logging-Streams Ihrer Organisation überwachen. Weitere Informationen finden Sie unter Event Threat Detection.
Event Threat Detection aktivieren oder deaktivieren
Event Threat Detection ist standardmäßig aktiviert. Allgemeine Informationen zum Aktivieren oder Deaktivieren eines integrierten Dienstes oder seiner Module finden Sie unter Security Command Center-Dienste konfigurieren.
Ergebnisse prüfen
Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein. Nachdem Sie Event Threat Detection aktiviert haben, werden Ergebnisse durch das Scannen bestimmter Logs generiert. Einige der Logs, die von Event Threat Detection gescannt werden können, sind standardmäßig deaktiviert. Sie müssen sie möglicherweise aktivieren.
Weitere Informationen zu den integrierten Erkennungsregeln, die von Event Threat Detection verwendet werden, und zu den Logs, die von Event Threat Detection gescannt werden, finden Sie in den folgenden Themen:
Die Event Threat Detection-Ergebnisse können in Security Command Center abgerufen werden. Wenn Sie kontinuierliche Exporte konfiguriert haben, um Logs zu schreiben, können Sie sich die Ergebnisse auch in Cloud Logging ansehen. Kontinuierliche Exporte nach Cloud Logging sind nur verfügbar, wenn Sie Security Command Center auf Organisationsebene aktivieren. Sie können einen Detektor und Test Event Threat Detection absichtlich auslösen, um ein Ergebnis zu finden und Ihre Konfiguration zu prüfen.
Event Threat Detection wird innerhalb weniger Sekunden aktiviert. Erkennungslatenzen sind in der Regel kürzer als 15 Minuten ab dem Zeitpunkt, zu dem ein Log in Security Command Center geschrieben wird. Weitere Informationen zur Latenz finden Sie unter Security Command Center-Latenz – Übersicht.
Ergebnisse in Security Command Center prüfen
Die IAM-Rollen für Security Command Center können auf Organisations-, Ordner- oder Projektebene zugewiesen werden. Die Möglichkeit, Ergebnisse, Assets und Sicherheitsquellen anzusehen, zu bearbeiten, zu erstellen oder zu aktualisieren, hängt von der Ebene ab, auf die Sie Zugriff haben. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
So prüfen Sie Ergebnisse in der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.
Wählen Sie bei Bedarf Ihr Google Cloud Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle eine oder beide der folgenden Optionen aus:
- Event Threat Detection: zum Filtern nach Ergebnissen, die von integrierten Event Threat Detection-Detektoren generiert wurden
- Benutzerdefinierte Module für Event Threat Detection: zum Filtern nach Ergebnissen, die von benutzerdefinierten Modulen für Event Threat Detection generiert wurden
Die Tabelle wird mit den Event Threat Detection-Ergebnissen gefüllt.
Klicken Sie auf den Namen des Ergebnisses unter
Category, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird erweitert und enthält nun die folgenden Informationen:- Zeitpunkt des Ereignisses
- Quelle der Ergebnisdaten
- Schweregrad der Erkennung, z. B. Hoch
- Die ergriffenen Aktionen, z. B. das Hinzufügen einer IAM-Rolle (Identity and Access Management) für einen Gmail-Nutzer
- Der Nutzer, der die Aktion ausgeführt hat, wird neben E-Mail-Adresse des Hauptkontos angezeigt.
So zeigen Sie alle Ergebnisse an, die durch die Aktionen eines Nutzers ausgelöst wurden:
- Kopieren Sie im Detailbereich mit den Ergebnissen die E-Mail-Adresse neben Haupt-E-Mail-Adresse.
- Schließen Sie den Bereich.
Geben Sie im Abfrageeditor die folgende Abfrage ein:
access.principal_email="USER_EMAIL"Ersetzen Sie USER_EMAIL durch die zuvor kopierte E-Mail-Adresse.
Security Command Center zeigt alle Ergebnisse an, die mit Aktionen verknüpft sind, die von dem angegebenen Nutzer ausgeführt wurden.
Ergebnisse in Cloud Logging ansehen
Wenn Sie kontinuierliche Exporte zum Schreiben von Logs konfigurieren, können Sie die Ergebnisse von Event Threat Detection in Cloud Logging ansehen. Diese Funktion ist nur verfügbar, wenn Sie Security Command Center Premium auf Organisationsebene aktivieren.
So rufen Sie die Ergebnisse von Event Threat Detection in Cloud Logging auf:
Rufen Sie in der Google Cloud Console den Log-Explorer auf.
Wählen Sie das Google Cloud Projekt oder die andere Google Cloud Ressource aus, in der Sie Ihre Event Threat Detection-Logs speichern.
Verwenden Sie den Bereich Abfrage, um Ihre Abfrage auf eine der folgenden Arten zu erstellen:
- Gehen Sie in der Liste Alle Ressourcen so vor:
- Wählen Sie Threat Detector aus, um eine Liste aller Detektoren aufzurufen.
- Um Ergebnisse von allen Detektoren anzuzeigen, wählen Sie all detector_name aus. Wählen Sie den Namen eines Detektors aus, um die Ergebnisse zu sehen.
- Klicken Sie auf Übernehmen. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.
Geben Sie die folgende Abfrage in den Abfrageeditor ein und klicken Sie auf Abfrage ausführen:
resource.type="threat_detector"
Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.
- Gehen Sie in der Liste Alle Ressourcen so vor:
Wenn Sie ein Log aufrufen möchten, wählen Sie eine Tabellenzeile aus und klicken Sie dann auf Verschachtelte Felder erweitern.
Sie können erweiterte Logabfragen erstellen, um eine Reihe von Logeinträgen aus beliebig vielen Logs anzugeben.
Beispiele für Ergebnisformate
In diesem Abschnitt finden Sie Links zu Beispielen für die JSON-Ausgabe von Event Threat Detection-Ergebnissen. Diese Ausgabe wird angezeigt, wenn Sie Ergebnisse exportieren und dabei dieGoogle Cloud -Konsole verwenden oder Ergebnisse auflisten und dabei die Security Command Center API oder die Google Cloud CLI verwenden.
Die Beispiele auf dieser Seite zeigen verschiedene Arten von Ergebnissen. Jedes Beispiel enthält nur die Felder, die für den jeweiligen Ergebnistyp am relevantesten sind.
Eine vollständige Liste der Felder, die in einem Ergebnis verfügbar sind, finden Sie in der Security Command Center API-Dokumentation für die Ressource Finding.
Wenn Sie sich die Beispielergebnisse ansehen möchten, klicken Sie auf einen der folgenden Links.
| Bedrohungs-Ergebnis | JSON-Beispiel |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
JSON-Beispiel ansehen |
Brute force SSH |
JSON-Beispiel ansehen |
Cloud IDS: THREAT_IDENTIFIER |
JSON-Beispiel ansehen |
Defense Evasion: Breakglass Workload Deployment Created |
JSON-Beispiel ansehen |
Defense Evasion: Breakglass Workload Deployment Updated |
JSON-Beispiel ansehen |
Defense Evasion: Folder Level TokenCreator Role Granted to AI Agent |
JSON-Beispiel ansehen |
Defense Evasion: Modify VPC Service Control |
JSON-Beispiel ansehen |
Defense Evasion: Organization Level TokenCreator Role Granted to AI Agent |
JSON-Beispiel ansehen |
Defense Evasion: Project Level TokenCreator Role Granted to AI Agent |
JSON-Beispiel ansehen |
Discovery: AI Agent Service Account Self-Investigation |
JSON-Beispiel ansehen |
Discovery: AI Agent Unauthorized Service Account API Call |
JSON-Beispiel ansehen |
Discovery: Can get sensitive Kubernetes object check |
JSON-Beispiel ansehen |
Discovery: Service Account Self-Investigation |
JSON-Beispiel ansehen |
Evasion: Access from Anonymizing Proxy |
JSON-Beispiel ansehen |
Execution: Cryptomining Docker Image |
JSON-Beispiel ansehen |
Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table |
JSON-Beispiel ansehen |
Exfiltration: AI Agent Initiated BigQuery Data Extraction |
JSON-Beispiel ansehen |
Exfiltration: AI Agent Initiated BigQuery VPC Perimeter Violation |
JSON-Beispiel ansehen |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket |
JSON-Beispiel ansehen |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to Public Bucket |
JSON-Beispiel ansehen |
Exfiltration: BigQuery Data Exfiltration |
JSON-Beispiel ansehen |
Exfiltration: BigQuery Data Extraction |
JSON-Beispiel ansehen |
Exfiltration: BigQuery Data to Google Drive |
JSON-Beispiel ansehen |
Exfiltration: Cloud SQL Data Exfiltration |
JSON-Beispiel ansehen |
Exfiltration: Cloud SQL Over-Privileged Grant |
JSON-Beispiel ansehen |
Exfiltration: Cloud SQL Restore Backup to External Organization |
JSON-Beispiel ansehen |
Impact: Cryptomining Commands |
JSON-Beispiel ansehen |
Impact: Deleted Google Cloud Backup and DR Backup |
JSON-Beispiel ansehen |
Impact: Deleted Google Cloud Backup and DR host |
JSON-Beispiel ansehen |
Impact: Deleted Google Cloud Backup and DR plan association |
JSON-Beispiel ansehen |
Impact: Deleted Google Cloud Backup and DR Vault |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR delete policy |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR delete profile |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR delete storage pool |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR delete template |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR expire all images |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR expire image |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR reduced backup expiration |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR reduced backup frequency |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR remove appliance |
JSON-Beispiel ansehen |
Impact: Google Cloud Backup and DR remove plan |
JSON-Beispiel ansehen |
Initial Access: Account Disabled Hijacked |
JSON-Beispiel ansehen |
Initial Access: AI Agent Identity Excessive Permission Denied Actions |
JSON-Beispiel ansehen |
Initial Access: Database Superuser Writes to User Tables |
JSON-Beispiel ansehen |
Initial Access: Disabled Password Leak |
JSON-Beispiel ansehen |
Initial Access: Dormant Service Account Action |
JSON-Beispiel ansehen |
Initial Access: Dormant Service Account Activity in AI Service |
JSON-Beispiel ansehen |
Initial Access: Dormant Service Account Key Created |
JSON-Beispiel ansehen |
Initial Access: Excessive Permission Denied Actions |
JSON-Beispiel ansehen |
Initial Access: Government Based Attack |
JSON-Beispiel ansehen |
Initial Access: Leaked Service Account Key Used |
JSON-Beispiel ansehen |
Initial Access: Log4j Compromise Attempt |
JSON-Beispiel ansehen |
Initial Access: Suspicious Login Blocked |
JSON-Beispiel ansehen |
Lateral Movement: Modified Boot Disk Attached to Instance |
JSON-Beispiel ansehen |
Malware: bad domain |
JSON-Beispiel ansehen |
Malware: bad IP |
JSON-Beispiel ansehen |
Malware: Cryptomining Bad Domain |
JSON-Beispiel ansehen |
Malware: Cryptomining Bad IP |
JSON-Beispiel ansehen |
Persistence: GCE Admin Added SSH Key |
JSON-Beispiel ansehen |
Persistence: GCE Admin Added Startup Script |
JSON-Beispiel ansehen |
Persistence: IAM Anomalous Grant |
JSON-Beispiel ansehen |
Persistence: New AI API Method |
JSON-Beispiel ansehen |
Persistence: New API Method |
JSON-Beispiel ansehen |
Persistence: New Geography |
JSON-Beispiel ansehen |
Persistence: New Geography for AI Service |
JSON-Beispiel ansehen |
Persistence: New User Agent |
JSON-Beispiel ansehen |
Persistence: Sensitive Role Granted by AI Agent |
JSON-Beispiel ansehen |
Persistence: Sensitive Role Granted to External AI Agent |
JSON-Beispiel ansehen |
Persistence: SSO Enablement Toggle |
JSON-Beispiel ansehen |
Persistence: SSO Settings Changed |
JSON-Beispiel ansehen |
Persistence: Strong Authentication Disabled |
JSON-Beispiel ansehen |
Persistence: Two Step Verification Disabled |
JSON-Beispiel ansehen |
Privilege Escalation: AI Agent Cross-Project Access Token Generation |
JSON-Beispiel ansehen |
Privilege Escalation: AI Agent Cross-Project OpenID Token Generation |
JSON-Beispiel ansehen |
Privilege Escalation: AI Agent Token Generation Using Implicit Delegation |
JSON-Beispiel ansehen |
Privilege Escalation: AI Agent Token Generation Using signJwt |
JSON-Beispiel ansehen |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
JSON-Beispiel ansehen |
Privilege Escalation: AlloyDB Over-Privileged Grant |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
JSON-Beispiel ansehen |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
JSON-Beispiel ansehen |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
JSON-Beispiel ansehen |
Privilege Escalation: Create Kubernetes CSR for master cert |
JSON-Beispiel ansehen |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
JSON-Beispiel ansehen |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
JSON-Beispiel ansehen |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
JSON-Beispiel ansehen |
Privilege Escalation: External Member Added To Privileged Group |
JSON-Beispiel ansehen |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
JSON-Beispiel ansehen |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
JSON-Beispiel ansehen |
Privilege Escalation: Launch of privileged Kubernetes container |
JSON-Beispiel ansehen |
Privilege Escalation: Privileged Group Opened To Public |
JSON-Beispiel ansehen |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
JSON-Beispiel ansehen |
Nächste Schritte
- Weitere Informationen zur Funktionsweise von Event Threat Detection
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.