本頁面說明如何在 Google Cloud 控制台 中查看 Event Threat Detection 發現項目,並提供相關範例。
Event Threat Detection 是一項內建服務,可監控貴機構或專案的 Cloud Logging 記錄串流,並近乎即時地偵測威脅。如果您在機構層級啟用 Security Command Center,Event Threat Detection 也能監控貴機構的 Google Workspace 記錄串流。詳情請參閱 Event Threat Detection 總覽。
啟用或停用 Event Threat Detection
Event Threat Detection 預設為啟用。如要瞭解如何啟用或停用內建服務或其模組,請參閱「設定 Security Command Center 服務」一文。
查看結果
如要查看 Event Threat Detection 發現項目,必須在 Security Command Center 的「服務」設定中啟用這項服務。啟用 Event Threat Detection 後,這項服務會掃描特定記錄,並生成發現項目。Event Threat Detection 預設會停用部分可掃描的記錄,因此您可能需要啟用這些記錄。
如要進一步瞭解 Event Threat Detection 使用的內建偵測規則,以及 Event Threat Detection 掃描的記錄,請參閱下列主題:
您可以在 Security Command Center 中查看 Event Threat Detection 發現項目。如果您設定了持續匯出功能來寫入記錄,也可以在 Cloud Logging 中查看發現項目。只有在機構層級啟用 Security Command Center 時,才能將發現項目持續匯出至 Cloud Logging。如要產生發現項目並驗證設定,您可以刻意觸發偵測工具並測試 Event Threat Detection。
Event Threat Detection 會在幾秒內啟用。一般而言,從系統寫入記錄檔到 Security Command Center 提供發現項目,偵測延遲時間不到 15 分鐘。如要進一步瞭解延遲時間,請參閱 Security Command Center 延遲時間總覽。
查看 Security Command Center 中的發現項目
您可以在機構、資料夾或專案層級授予 Security Command Center 的 IAM 角色。您能否查看、編輯、建立或更新發現項目、資產和安全來源,取決於獲准的存取層級。如要進一步瞭解 Security Command Center 角色,請參閱存取控管。
請按照下列程序,在 Google Cloud 控制台中查看調查結果:
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
視需要選取 Google Cloud 專案或機構。
在「快速篩選器」部分的「來源顯示名稱」子部分中, 選取下列一或多個選項:
- Event Threat Detection:篩選內建 Event Threat Detection 偵測器產生的發現項目
- Event Threat Detection 自訂模組:篩選Event Threat Detection 自訂模組產生的發現項目
這個表格會填入 Event Threat Detection 發現項目。
如要查看特定發現項目的詳細資料,請按一下
Category下方的發現項目名稱。發現項目詳細資料窗格會展開,顯示下列資訊:- 事件發生時間
- 發現項目資料的來源
- 偵測嚴重程度,例如「高」
- 所採取的動作,例如將 Identity and Access Management (IAM) 角色新增至 Gmail 使用者
- 執行動作的使用者,列在「主體電子郵件」旁
如要顯示因同一位使用者的動作而產生的所有發現項目,請按照下列步驟操作:
- 在尋找詳細資料窗格中,複製「主要電子郵件」旁的電子郵件地址。
- 關閉窗格。
在查詢編輯器中輸入下列查詢:
access.principal_email="USER_EMAIL"將 USER_EMAIL 替換為您先前複製的電子郵件地址。
Security Command Center 會顯示與指定使用者所採取動作相關的所有發現項目。
在 Cloud Logging 中查看發現項目
如果您設定持續匯出記錄,就可以在 Cloud Logging 中查看 Event Threat Detection 發現項目。只有在機構層級啟用 Security Command Center 進階方案,才能使用這項功能。
如要在 Cloud Logging 中查看 Event Threat Detection 發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的「Logs Explorer」頁面。
選取儲存 Event Threat Detection 記錄的 Google Cloud 專案或其他 Google Cloud 資源。
使用「Query」(查詢) 窗格,透過下列其中一種方式建構查詢:
- 在「所有資源」清單中,執行下列操作:
- 選取「威脅偵測器」,即可顯示所有偵測器的清單。
- 如要查看所有偵測工具的結果,請選取「all detector_name」。如要查看特定偵測工具的結果,請選取該工具的名稱。
- 按一下 [套用]。「查詢結果」表格會更新為您選取的記錄。
在查詢編輯器中輸入下列查詢,然後點選「執行查詢」:
resource.type="threat_detector"
「Query results」(查詢結果) 表格會更新為您選取的記錄。
- 在「所有資源」清單中,執行下列操作:
如要查看記錄,請選取表格列,然後點選「Expand nested fields」(展開巢狀欄位)。
您可以建立進階記錄查詢,從任意數量的記錄中指定一組記錄項目。
範例發現項目格式
本節提供 Event Threat Detection 發現項目的 JSON 輸出範例連結。使用Google Cloud 控制台匯出發現項目,或使用 Security Command Center API 或 Google Cloud CLI 列出發現項目時,您會看到這類輸出內容。
本頁的範例顯示不同類型的發現項目。每個範例只會包含與該類型發現項目最相關的欄位。如要查看發現項目中可用的完整欄位清單,請參閱 Finding 資源的 Security Command Center API 說明文件。
如要查看發現事項範例,請選取下列任一連結。
| 威脅發現項目 | JSON 示例 |
|---|---|
Active Scan: Log4j Vulnerable to RCE |
查看 JSON 範例 |
Brute force SSH |
查看 JSON 範例 |
Cloud IDS: THREAT_IDENTIFIER |
查看 JSON 範例 |
Defense Evasion: Breakglass Workload Deployment Created |
查看 JSON 範例 |
Defense Evasion: Breakglass Workload Deployment Updated |
查看 JSON 範例 |
Defense Evasion: Folder Level TokenCreator Role Granted to AI Agent |
查看 JSON 範例 |
Defense Evasion: Modify VPC Service Control |
查看 JSON 範例 |
Defense Evasion: Organization Level TokenCreator Role Granted to AI Agent |
查看 JSON 範例 |
Defense Evasion: Project Level TokenCreator Role Granted to AI Agent |
查看 JSON 範例 |
Discovery: AI Agent Service Account Self-Investigation |
查看 JSON 範例 |
Discovery: AI Agent Unauthorized Service Account API Call |
查看 JSON 範例 |
Discovery: Can get sensitive Kubernetes object check |
查看 JSON 範例 |
Discovery: Service Account Self-Investigation |
查看 JSON 範例 |
Evasion: Access from Anonymizing Proxy |
查看 JSON 範例 |
Execution: Cryptomining Docker Image |
查看 JSON 範例 |
Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table |
查看 JSON 範例 |
Exfiltration: AI Agent Initiated BigQuery Data Extraction |
查看 JSON 範例 |
Exfiltration: AI Agent Initiated BigQuery VPC Perimeter Violation |
查看 JSON 範例 |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket |
查看 JSON 範例 |
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to Public Bucket |
查看 JSON 範例 |
Exfiltration: BigQuery Data Exfiltration |
查看 JSON 範例 |
Exfiltration: BigQuery Data Extraction |
查看 JSON 範例 |
Exfiltration: BigQuery Data to Google Drive |
查看 JSON 範例 |
Exfiltration: Cloud SQL Data Exfiltration |
查看 JSON 範例 |
Exfiltration: Cloud SQL Over-Privileged Grant |
查看 JSON 範例 |
Exfiltration: Cloud SQL Restore Backup to External Organization |
查看 JSON 範例 |
Impact: Cryptomining Commands |
查看 JSON 範例 |
Impact: Deleted Google Cloud Backup and DR Backup |
查看 JSON 範例 |
Impact: Deleted Google Cloud Backup and DR host |
查看 JSON 範例 |
Impact: Deleted Google Cloud Backup and DR plan association |
查看 JSON 範例 |
Impact: Deleted Google Cloud Backup and DR Vault |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR delete policy |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR delete profile |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR delete storage pool |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR delete template |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR expire all images |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR expire image |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR reduced backup expiration |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR reduced backup frequency |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR remove appliance |
查看 JSON 範例 |
Impact: Google Cloud Backup and DR remove plan |
查看 JSON 範例 |
Initial Access: Account Disabled Hijacked |
查看 JSON 範例 |
Initial Access: AI Agent Identity Excessive Permission Denied Actions |
查看 JSON 範例 |
Initial Access: Database Superuser Writes to User Tables |
查看 JSON 範例 |
Initial Access: Disabled Password Leak |
查看 JSON 範例 |
Initial Access: Dormant Service Account Action |
查看 JSON 範例 |
Initial Access: Dormant Service Account Activity in AI Service |
查看 JSON 範例 |
Initial Access: Dormant Service Account Key Created |
查看 JSON 範例 |
Initial Access: Excessive Permission Denied Actions |
查看 JSON 範例 |
Initial Access: Government Based Attack |
查看 JSON 範例 |
Initial Access: Leaked Service Account Key Used |
查看 JSON 範例 |
Initial Access: Log4j Compromise Attempt |
查看 JSON 範例 |
Initial Access: Suspicious Login Blocked |
查看 JSON 範例 |
Lateral Movement: Modified Boot Disk Attached to Instance |
查看 JSON 範例 |
Malware: bad domain |
查看 JSON 範例 |
Malware: bad IP |
查看 JSON 範例 |
Malware: Cryptomining Bad Domain |
查看 JSON 範例 |
Malware: Cryptomining Bad IP |
查看 JSON 範例 |
Persistence: GCE Admin Added SSH Key |
查看 JSON 範例 |
Persistence: GCE Admin Added Startup Script |
查看 JSON 範例 |
Persistence: IAM Anomalous Grant |
查看 JSON 範例 |
Persistence: New AI API Method |
查看 JSON 範例 |
Persistence: New API Method |
查看 JSON 範例 |
Persistence: New Geography |
查看 JSON 範例 |
Persistence: New Geography for AI Service |
查看 JSON 範例 |
Persistence: New User Agent |
查看 JSON 範例 |
Persistence: Sensitive Role Granted by AI Agent |
查看 JSON 範例 |
Persistence: Sensitive Role Granted to External AI Agent |
查看 JSON 範例 |
Persistence: SSO Enablement Toggle |
查看 JSON 範例 |
Persistence: SSO Settings Changed |
查看 JSON 範例 |
Persistence: Strong Authentication Disabled |
查看 JSON 範例 |
Persistence: Two Step Verification Disabled |
查看 JSON 範例 |
Privilege Escalation: AI Agent Cross-Project Access Token Generation |
查看 JSON 範例 |
Privilege Escalation: AI Agent Cross-Project OpenID Token Generation |
查看 JSON 範例 |
Privilege Escalation: AI Agent Token Generation Using Implicit Delegation |
查看 JSON 範例 |
Privilege Escalation: AI Agent Token Generation Using signJwt |
查看 JSON 範例 |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables |
查看 JSON 範例 |
Privilege Escalation: AlloyDB Over-Privileged Grant |
查看 JSON 範例 |
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity |
查看 JSON 範例 |
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity |
查看 JSON 範例 |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity |
查看 JSON 範例 |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity |
查看 JSON 範例 |
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access |
查看 JSON 範例 |
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access |
查看 JSON 範例 |
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity |
查看 JSON 範例 |
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity |
查看 JSON 範例 |
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access |
查看 JSON 範例 |
Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
查看 JSON 範例 |
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects |
查看 JSON 範例 |
Privilege Escalation: Create Kubernetes CSR for master cert |
查看 JSON 範例 |
Privilege Escalation: Creation of sensitive Kubernetes bindings |
查看 JSON 範例 |
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy |
查看 JSON 範例 |
Privilege Escalation: Dormant Service Account Granted Sensitive Role |
查看 JSON 範例 |
Privilege Escalation: External Member Added To Privileged Group |
查看 JSON 範例 |
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
查看 JSON 範例 |
Privilege Escalation: Impersonation Role Granted For Dormant Service Account |
查看 JSON 範例 |
Privilege Escalation: Launch of privileged Kubernetes container |
查看 JSON 範例 |
Privilege Escalation: Privileged Group Opened To Public |
查看 JSON 範例 |
Privilege Escalation: Sensitive Role Granted To Hybrid Group |
查看 JSON 範例 |
後續步驟
- 進一步瞭解 Event Threat Detection 的運作方式。
- 瞭解如何調查威脅並制定應變計畫。