Halaman ini menunjukkan cara meninjau temuan Event Threat Detection di konsol Google Cloud dan menyertakan contoh temuan Event Threat Detection.
Event Threat Detection adalah layanan bawaan yang memantau aliran logging Cloud Logging untuk organisasi atau project Anda dan mendeteksi ancaman secara hampir real time. Jika Anda mengaktifkan Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memantau aliran logging Google Workspace organisasi Anda. Untuk mempelajari lebih lanjut, lihat Ringkasan Event Threat Detection.
Mengaktifkan atau menonaktifkan Event Threat Detection
Secara default, Event Threat Detection diaktifkan. Untuk mengetahui informasi umum tentang cara mengaktifkan atau menonaktifkan layanan bawaan atau modulnya, lihat Mengonfigurasi layanan Security Command Center.
Meninjau temuan
Untuk melihat temuan Event Threat Detection, layanan harus diaktifkan di setelan Layanan Security Command Center. Setelah Anda mengaktifkan Event Threat Detection, Event Threat Detection akan membuat temuan dengan memindai log tertentu. Beberapa log yang dapat dipindai oleh Event Threat Detection dinonaktifkan secara default, jadi Anda mungkin perlu mengaktifkannya.
Untuk mengetahui informasi selengkapnya tentang aturan deteksi bawaan yang digunakan Event Threat Detection dan log yang dipindai Event Threat Detection, lihat topik berikut:
Anda dapat melihat temuan Event Threat Detection di Security Command Center. Jika Anda mengonfigurasi Ekspor Berkelanjutan untuk menulis log, Anda juga dapat melihat temuan di Cloud Logging. Ekspor Berkelanjutan ke Cloud Logging hanya tersedia jika Anda mengaktifkan Security Command Center di tingkat organisasi. Untuk membuat temuan dan memverifikasi konfigurasi, Anda dapat memicu detektor secara sengaja dan menguji Event Threat Detection.
Pengaktifan Event Threat Detection terjadi dalam hitungan detik. Latensi deteksi umumnya kurang dari 15 menit dari saat log ditulis hingga saat temuan tersedia di Security Command Center. Untuk mengetahui informasi selengkapnya tentang latensi, lihat Ringkasan latensi Security Command Center.
Meninjau temuan di Security Command Center
Peran IAM untuk Security Command Center dapat diberikan di tingkat organisasi, folder, atau project. Kemampuan Anda untuk melihat, mengedit, membuat, atau memperbarui temuan, aset, dan sumber keamanan bergantung pada tingkat akses yang diberikan kepada Anda. Untuk mempelajari lebih lanjut peran Security Command Center, lihat Kontrol akses.
Gunakan prosedur berikut untuk meninjau temuan di konsol Google Cloud :
Di konsol Google Cloud , buka halaman Temuan Security Command Center.
Jika perlu, pilih Google Cloud project atau organisasi Anda.
Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih salah satu atau kedua opsi berikut:
- Event Threat Detection: untuk memfilter temuan yang dihasilkan oleh detektor bawaan Event Threat Detection
- Modul Kustom Event Threat Detection: untuk memfilter temuan yang dihasilkan oleh modul kustom untuk Event Threat Detection
Tabel diisi dengan temuan Event Threat Detection.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian
Category. Panel detail temuan diperluas untuk menampilkan informasi, termasuk:- Kapan peristiwa terjadi
- Sumber data temuan
- Tingkat keparahan deteksi, misalnya Tinggi
- Tindakan yang dilakukan, seperti menambahkan peran Identity and Access Management (IAM) ke pengguna Gmail
- Pengguna yang melakukan tindakan, yang tercantum di samping Email utama
Untuk menampilkan semua temuan yang disebabkan oleh tindakan pengguna yang sama:
- Di panel detail temuan, salin alamat email di samping Email utama.
- Tutup panel.
Di editor kueri, masukkan kueri berikut:
access.principal_email="USER_EMAIL"Ganti USER_EMAIL dengan alamat email yang sebelumnya Anda salin.
Security Command Center menampilkan semua temuan yang terkait dengan tindakan yang diambil oleh pengguna yang Anda tentukan.
Melihat temuan di Cloud Logging
Jika Anda mengonfigurasi Ekspor Berkelanjutan untuk menulis log, Anda dapat melihat temuan Event Threat Detection di Cloud Logging. Fitur ini hanya tersedia jika Anda mengaktifkan Security Command Center Premium di tingkat organisasi.
Untuk melihat temuan Event Threat Detection di Cloud Logging, lakukan hal berikut:
Buka Logs Explorer di konsol Google Cloud .
Pilih Google Cloud project atau resource Google Cloud lainnya tempat Anda menyimpan log Event Threat Detection.
Gunakan panel Query untuk membuat kueri dengan salah satu cara berikut:
- Dalam daftar Semua resource, lakukan hal berikut:
- Pilih Detektor Ancaman untuk menampilkan daftar semua detektor.
- Untuk melihat temuan dari semua detektor, pilih all detector_name. Untuk melihat temuan dari detektor tertentu, pilih namanya.
- Klik Terapkan. Tabel Hasil kueri diperbarui dengan log yang Anda pilih.
Masukkan kueri berikut di editor kueri, lalu klik Run query:
resource.type="threat_detector"
Tabel Hasil kueri diperbarui dengan log yang Anda pilih.
- Dalam daftar Semua resource, lakukan hal berikut:
Untuk melihat log, pilih baris tabel, lalu klik Luaskan kolom bertingkat.
Anda dapat membuat kueri log lanjutan untuk menentukan sekumpulan entri log dari sejumlah log.
Contoh format penemuan
Bagian ini menyediakan link ke contoh output JSON untuk temuan Event Threat Detection. Anda akan melihat output ini saat mengekspor temuan menggunakan konsolGoogle Cloud atau mencantumkan temuan menggunakan Security Command Center API atau Google Cloud CLI.
Contoh di halaman ini menunjukkan berbagai jenis temuan. Setiap contoh hanya menyertakan kolom yang paling relevan dengan jenis temuan tersebut.
Untuk mengetahui daftar lengkap kolom yang tersedia dalam
temuan, lihat dokumentasi API Security Command Center untuk resource
Finding.
Untuk melihat contoh temuan, pilih salah satu link berikut.
| Penemuan Ancaman | Contoh JSON |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
Contoh Lihat JSON |
Brute force SSH |
Contoh Lihat JSON |
Cloud IDS: THREAT_IDENTIFIER |
Contoh Lihat JSON |
Defense Evasion: Breakglass Workload Deployment Created |
Contoh Lihat JSON |
Defense Evasion: Breakglass Workload Deployment Updated |
Contoh Lihat JSON |
Defense Evasion: Folder Level TokenCreator Role Granted to AI Agent |
Contoh Lihat JSON |
Defense Evasion: Modify VPC Service Control |
Contoh Lihat JSON |
Defense Evasion: Organization Level TokenCreator Role Granted to AI Agent |
Contoh Lihat JSON |
Defense Evasion: Project Level TokenCreator Role Granted to AI Agent |
Contoh Lihat JSON |
Discovery: AI Agent Service Account Self-Investigation |
Contoh Lihat JSON |
Discovery: AI Agent Unauthorized Service Account API Call |
Contoh Lihat JSON |
Discovery: Can get sensitive Kubernetes object check |
Contoh Lihat JSON |
Discovery: Service Account Self-Investigation |
Contoh Lihat JSON |
Evasion: Access from Anonymizing Proxy |
Contoh Lihat JSON |
Execution: Cryptomining Docker Image |
Contoh Lihat JSON |
Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table |
Contoh Lihat JSON |
Exfiltration: AI Agent Initiated BigQuery Data Extraction |
Contoh Lihat JSON |
Exfiltration: AI Agent Initiated BigQuery VPC Perimeter Violation |
Contoh Lihat JSON |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket |
Contoh Lihat JSON |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to Public Bucket |
Contoh Lihat JSON |
Exfiltration: BigQuery Data Exfiltration |
Contoh Lihat JSON |
Exfiltration: BigQuery Data Extraction |
Contoh Lihat JSON |
Exfiltration: BigQuery Data to Google Drive |
Contoh Lihat JSON |
Exfiltration: Cloud SQL Data Exfiltration |
Contoh Lihat JSON |
Exfiltration: Cloud SQL Over-Privileged Grant |
Contoh Lihat JSON |
Exfiltration: Cloud SQL Restore Backup to External Organization |
Contoh Lihat JSON |
Impact: Cryptomining Commands |
Contoh Lihat JSON |
Impact: Deleted Google Cloud Backup and DR Backup |
Lihat Contoh JSON |
Impact: Deleted Google Cloud Backup and DR host |
Contoh Lihat JSON |
Impact: Deleted Google Cloud Backup and DR plan association |
Contoh Lihat JSON |
Impact: Deleted Google Cloud Backup and DR Vault |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR delete policy |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR delete profile |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR delete storage pool |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR delete template |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR expire all images |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR expire image |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR reduced backup expiration |
Lihat Contoh JSON |
Impact: Google Cloud Backup and DR reduced backup frequency |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR remove appliance |
Contoh Lihat JSON |
Impact: Google Cloud Backup and DR remove plan |
Lihat Contoh JSON |
Initial Access: Account Disabled Hijacked |
Lihat Contoh JSON |
Initial Access: AI Agent Identity Excessive Permission Denied Actions |
Contoh Lihat JSON |
Initial Access: Database Superuser Writes to User Tables |
Contoh Lihat JSON |
Initial Access: Disabled Password Leak |
Contoh Lihat JSON |
Initial Access: Dormant Service Account Action |
Contoh Lihat JSON |
Initial Access: Dormant Service Account Activity in AI Service |
Lihat Contoh JSON |
Initial Access: Dormant Service Account Key Created |
Contoh Lihat JSON |
Initial Access: Excessive Permission Denied Actions |
Contoh Lihat JSON |
Initial Access: Government Based Attack |
Contoh Lihat JSON |
Initial Access: Leaked Service Account Key Used |
Contoh Lihat JSON |
Initial Access: Log4j Compromise Attempt |
Lihat Contoh JSON |
Initial Access: Suspicious Login Blocked |
Lihat Contoh JSON |
Lateral Movement: Modified Boot Disk Attached to Instance |
Contoh Lihat JSON |
Malware: bad domain |
Contoh Lihat JSON |
Malware: bad IP |
Contoh Lihat JSON |
Malware: Cryptomining Bad Domain |
Contoh Lihat JSON |
Malware: Cryptomining Bad IP |
Contoh Lihat JSON |
Persistence: GCE Admin Added SSH Key |
Contoh Lihat JSON |
Persistence: GCE Admin Added Startup Script |
Contoh Lihat JSON |
Persistence: IAM Anomalous Grant |
Contoh Lihat JSON |
Persistence: New AI API Method |
Contoh Lihat JSON |
Persistence: New API Method |
Contoh Lihat JSON |
Persistence: New Geography |
Contoh Lihat JSON |
Persistence: New Geography for AI Service |
Contoh Lihat JSON |
Persistence: New User Agent |
Contoh Lihat JSON |
Persistence: Sensitive Role Granted by AI Agent |
Contoh Lihat JSON |
Persistence: Sensitive Role Granted to External AI Agent |
Contoh Lihat JSON |
Persistence: SSO Enablement Toggle |
Contoh Lihat JSON |
Persistence: SSO Settings Changed |
Contoh Lihat JSON |
Persistence: Strong Authentication Disabled |
Contoh Lihat JSON |
Persistence: Two Step Verification Disabled |
Contoh Lihat JSON |
Privilege Escalation: AI Agent Cross-Project Access Token Generation |
Contoh Lihat JSON |
Privilege Escalation: AI Agent Cross-Project OpenID Token Generation |
Contoh Lihat JSON |
Privilege Escalation: AI Agent Token Generation Using Implicit Delegation |
Contoh Lihat JSON |
Privilege Escalation: AI Agent Token Generation Using signJwt |
Contoh Lihat JSON |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
Contoh Lihat JSON |
Privilege Escalation: AlloyDB Over-Privileged Grant |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
Contoh Lihat JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Contoh Lihat JSON |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
Contoh Lihat JSON |
Privilege Escalation: Create Kubernetes CSR for master cert |
Contoh Lihat JSON |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
Contoh Lihat JSON |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
Contoh Lihat JSON |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
Contoh Lihat JSON |
Privilege Escalation: External Member Added To Privileged Group |
Contoh Lihat JSON |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Lihat Contoh JSON |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
Contoh Lihat JSON |
Privilege Escalation: Launch of privileged Kubernetes container |
Contoh Lihat JSON |
Privilege Escalation: Privileged Group Opened To Public |
Contoh Lihat JSON |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
Contoh Lihat JSON |
Langkah berikutnya
- Pelajari lebih lanjut cara kerja Event Threat Detection.
- Pelajari cara menyelidiki dan mengembangkan rencana respons terhadap ancaman.