Esta página mostra como revisar as descobertas do Event Threat Detection no console Google Cloud e inclui exemplos dessas descobertas.
O Event Threat Detection é um serviço integrado que monitora os fluxos de registros do Cloud Logging para sua organização ou projetos e detecta ameaças quase em tempo real. Se você ativar o Security Command Center no nível da organização, o Event Threat Detection também poderá monitorar os fluxos de geração de registros do Google Workspace da organização. Para saber mais, consulte Visão geral do Event Threat Detection.
Ativar ou desativar o Event Threat Detection
Por padrão, o Event Threat Detection está ativado. Para informações gerais sobre como ativar ou desativar um serviço integrado ou os módulos dele, consulte Configurar serviços do Security Command Center.
Analisar uma descoberta
Para ver as descobertas do Event Threat Detection, o serviço precisa estar ativado nas configurações Serviços do Security Command Center. Depois que você ativa o Event Threat Detection, ele gera descobertas verificando registros específicos. Alguns dos registros que o Event Threat Detection pode verificar estão desativados por padrão. Talvez seja necessário ativá-los.
Para mais informações sobre as regras de detecção integradas que o Event Threat Detection usa e os registros que ele verifica, consulte os seguintes tópicos.
Você pode ver as descobertas do Event Threat Detection no Security Command Center. Se você configurou Exportações contínuas para gravar registros, também será possível ver as descobertas no Cloud Logging. As exportações contínuas para o Cloud Logging só ficam disponíveis quando o Security Command Center é ativado no nível da organização. Para gerar uma descoberta e verificar a configuração, você pode acionar intencionalmente um detector e testar o Event Threat Detection.
A ativação do Event Threat Detection ocorre em segundos. As latências de detecção geralmente são menores que 15 minutos a partir do momento em que um registro é gravado até o momento em que uma descoberta está disponível no Security Command Center. Para mais informações sobre latência, leia Visão geral da latência do Security Command Center.
Como analisar as descobertas no Security Command Center
Os papéis do IAM para o Security Command Center podem ser concedidos no nível da organização, da pasta ou do projeto. A capacidade de ver, editar, criar ou atualizar descobertas, recursos e fontes de segurança depende do nível a que você tem acesso. Para saber mais sobre os papéis do Security Command Center, consulte Controle de acesso.
Use o procedimento a seguir para analisar as descobertas no console Google Cloud :
No console do Google Cloud , acesse a página Descobertas do Security Command Center.
Se necessário, selecione o Google Cloud projeto ou a organização.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione uma das opções a seguir ou ambas:
- Event Threat Detection: para filtrar descobertas geradas por detectores integrados de Event Threat Detection
- Módulos personalizados de detecção de ameaças do evento: para filtrar descobertas geradas por módulos personalizados do Event Threat Detection
A tabela é preenchida com descobertas do Event Threat Detection.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em
Category. O Painel de detalhes da descoberta é expandido para mostrar informações, incluindo:- Quando o evento ocorreu
- A fonte dos dados de descoberta
- A gravidade de detecção, por exemplo, Alta
- As ações realizadas, como adicionar um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês) a um usuário do Gmail.
- O usuário que realizou a ação, listado ao lado de E-mail principal
Para exibir todas as descobertas causadas pelas ações do mesmo usuário:
- No Painel de detalhes da descoberta, copie o endereço de e-mail ao lado de E-mail principal.
- Fechar painel.
No editor de consultas, insira a seguinte consulta:
access.principal_email="USER_EMAIL"Substitua USER_EMAIL pelo endereço de e-mail que você copiou anteriormente.
O Security Command Center exibe todas as descobertas associadas a ações realizadas pelo usuário que você especificou.
Como visualizar descobertas no Cloud Logging
Se você configurar Exportações contínuas para gravar registros, é possível conferir as descobertas do Event Threat Detection no Cloud Logging. Esse recurso só fica disponível se o nível Premium do Security Command Center Premium for ativado no nível da organização.
Para visualizar as descobertas do Event Threat Detection no Cloud Logging:
Acesse a Análise de registros no console do Google Cloud .
Selecione o projeto Google Cloud ou outro recurso Google Cloud em que você está armazenando os registros do Event Threat Detection.
Use o painel Consulta para criar sua consulta de uma das seguintes maneiras:
- Na lista Todos os recursos, faça o seguinte:
- Selecione Threat Detector para mostrar uma lista de todos os detectores.
- Para ver as descobertas de todos os detectores, selecione all detector_name. Para ver as descobertas de um detector específico, selecione o nome dele.
- Clique em Aplicar. A tabela Resultados da consulta é atualizada com os registros selecionados por você.
Insira a seguinte consulta no editor de consultas e clique em Executar:
resource.type="threat_detector"
A tabela Resultados da consulta é atualizada com os registros selecionados.
- Na lista Todos os recursos, faça o seguinte:
Para visualizar um registro, selecione uma linha da tabela e clique em Expandir campos aninhados.
É possível criar consultas de registro avançadas para especificar um conjunto de entradas de registro a partir de qualquer número de registros.
Exemplos de formatos de descoberta
Esta seção fornece links para exemplos de saída JSON para descobertas do Event Threat Detection. Essa saída aparece quando você exporta descobertas usando o consoleGoogle Cloud ou lista descobertas usando a API Security Command Center ou a Google Cloud CLI.
Os exemplos nesta página mostram diferentes tipos de descobertas. Cada exemplo inclui apenas os campos mais relevantes para esse tipo de descoberta.
Para uma lista completa dos campos disponíveis em uma descoberta, consulte a documentação da API Security Command Center para o recurso Finding.
Para ver exemplos de descobertas, selecione um dos seguintes links.
| Descoberta de ameaça | Exemplo de JSON |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
Exemplo de visualização de JSON |
Brute force SSH |
Exemplo de visualização de JSON |
Cloud IDS: THREAT_IDENTIFIER |
Exemplo de visualização de JSON |
Defense Evasion: Breakglass Workload Deployment Created |
Exemplo de visualização de JSON |
Defense Evasion: Breakglass Workload Deployment Updated |
Exemplo de visualização de JSON |
Defense Evasion: Folder Level TokenCreator Role Granted to AI Agent |
Exemplo de visualização de JSON |
Defense Evasion: Modify VPC Service Control |
Exemplo de visualização de JSON |
Defense Evasion: Organization Level TokenCreator Role Granted to AI Agent |
Exemplo de visualização de JSON |
Defense Evasion: Project Level TokenCreator Role Granted to AI Agent |
Exemplo de visualização de JSON |
Discovery: AI Agent Service Account Self-Investigation |
Exemplo de visualização de JSON |
Discovery: AI Agent Unauthorized Service Account API Call |
Exemplo de visualização de JSON |
Discovery: Can get sensitive Kubernetes object check |
Exemplo de visualização de JSON |
Discovery: Service Account Self-Investigation |
Exemplo de visualização de JSON |
Evasion: Access from Anonymizing Proxy |
Exemplo de visualização de JSON |
Execution: Cryptomining Docker Image |
Exemplo de visualização de JSON |
Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table |
Exemplo de visualização de JSON |
Exfiltration: AI Agent Initiated BigQuery Data Extraction |
Exemplo de visualização de JSON |
Exfiltration: AI Agent Initiated BigQuery VPC Perimeter Violation |
Exemplo de visualização de JSON |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket |
Exemplo de visualização de JSON |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to Public Bucket |
Exemplo de visualização de JSON |
Exfiltration: BigQuery Data Exfiltration |
Exemplo de visualização de JSON |
Exfiltration: BigQuery Data Extraction |
Exemplo de visualização de JSON |
Exfiltration: BigQuery Data to Google Drive |
Exemplo de visualização de JSON |
Exfiltration: Cloud SQL Data Exfiltration |
Exemplo de visualização de JSON |
Exfiltration: Cloud SQL Over-Privileged Grant |
Exemplo de visualização de JSON |
Exfiltration: Cloud SQL Restore Backup to External Organization |
Exemplo de visualização de JSON |
Impact: Cryptomining Commands |
Exemplo de visualização de JSON |
Impact: Deleted Google Cloud Backup and DR Backup |
Exemplo de visualização de JSON |
Impact: Deleted Google Cloud Backup and DR host |
Exemplo de visualização de JSON |
Impact: Deleted Google Cloud Backup and DR plan association |
Exemplo de visualização de JSON |
Impact: Deleted Google Cloud Backup and DR Vault |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR delete policy |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR delete profile |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR delete storage pool |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR delete template |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR expire all images |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR expire image |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR reduced backup expiration |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR reduced backup frequency |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR remove appliance |
Exemplo de visualização de JSON |
Impact: Google Cloud Backup and DR remove plan |
Exemplo de visualização de JSON |
Initial Access: Account Disabled Hijacked |
Exemplo de visualização de JSON |
Initial Access: AI Agent Identity Excessive Permission Denied Actions |
Exemplo de visualização de JSON |
Initial Access: Database Superuser Writes to User Tables |
Exemplo de visualização de JSON |
Initial Access: Disabled Password Leak |
Exemplo de visualização de JSON |
Initial Access: Dormant Service Account Action |
Exemplo de visualização de JSON |
Initial Access: Dormant Service Account Activity in AI Service |
Exemplo de visualização de JSON |
Initial Access: Dormant Service Account Key Created |
Exemplo de visualização de JSON |
Initial Access: Excessive Permission Denied Actions |
Exemplo de visualização de JSON |
Initial Access: Government Based Attack |
Exemplo de visualização de JSON |
Initial Access: Leaked Service Account Key Used |
Exemplo de visualização de JSON |
Initial Access: Log4j Compromise Attempt |
Exemplo de visualização de JSON |
Initial Access: Suspicious Login Blocked |
Exemplo de visualização de JSON |
Lateral Movement: Modified Boot Disk Attached to Instance |
Exemplo de visualização de JSON |
Malware: bad domain |
Exemplo de visualização de JSON |
Malware: bad IP |
Exemplo de visualização de JSON |
Malware: Cryptomining Bad Domain |
Exemplo de visualização de JSON |
Malware: Cryptomining Bad IP |
Exemplo de visualização de JSON |
Persistence: GCE Admin Added SSH Key |
Exemplo de visualização de JSON |
Persistence: GCE Admin Added Startup Script |
Exemplo de visualização de JSON |
Persistence: IAM Anomalous Grant |
Exemplo de visualização de JSON |
Persistence: New AI API Method |
Exemplo de visualização de JSON |
Persistence: New API Method |
Exemplo de visualização de JSON |
Persistence: New Geography |
Exemplo de visualização de JSON |
Persistence: New Geography for AI Service |
Exemplo de visualização de JSON |
Persistence: New User Agent |
Exemplo de visualização de JSON |
Persistence: Sensitive Role Granted by AI Agent |
Exemplo de visualização de JSON |
Persistence: Sensitive Role Granted to External AI Agent |
Exemplo de visualização de JSON |
Persistence: SSO Enablement Toggle |
Exemplo de visualização de JSON |
Persistence: SSO Settings Changed |
Exemplo de visualização de JSON |
Persistence: Strong Authentication Disabled |
Exemplo de visualização de JSON |
Persistence: Two Step Verification Disabled |
Exemplo de visualização de JSON |
Privilege Escalation: AI Agent Cross-Project Access Token Generation |
Exemplo de visualização de JSON |
Privilege Escalation: AI Agent Cross-Project OpenID Token Generation |
Exemplo de visualização de JSON |
Privilege Escalation: AI Agent Token Generation Using Implicit Delegation |
Exemplo de visualização de JSON |
Privilege Escalation: AI Agent Token Generation Using signJwt |
Exemplo de visualização de JSON |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
Exemplo de visualização de JSON |
Privilege Escalation: AlloyDB Over-Privileged Grant |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
Exemplo de visualização de JSON |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Exemplo de visualização de JSON |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
Exemplo de visualização de JSON |
Privilege Escalation: Create Kubernetes CSR for master cert |
Exemplo de visualização de JSON |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
Exemplo de visualização de JSON |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
Exemplo de visualização de JSON |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
Exemplo de visualização de JSON |
Privilege Escalation: External Member Added To Privileged Group |
Exemplo de visualização de JSON |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Exemplo de visualização de JSON |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
Exemplo de visualização de JSON |
Privilege Escalation: Launch of privileged Kubernetes container |
Exemplo de visualização de JSON |
Privilege Escalation: Privileged Group Opened To Public |
Exemplo de visualização de JSON |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
Exemplo de visualização de JSON |
A seguir
- Saiba mais sobre como o Event Threat Detection funciona.
- Saiba como investigar e desenvolver planos de resposta para ameaças.