Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Event Threat Detection

Apa itu Event Threat Detection?

Event Threat Detection adalah layanan bawaan untuk paket Security Command Center Premium yang terus memantau organisasi atau project Anda dan mengidentifikasi ancaman dalam sistem Anda hampir secara real time. Event Threat Detection diperbarui secara rutin dengan detektor baru untuk mengidentifikasi ancaman baru pada skala cloud.

Cara kerja Event Threat Detection

Event Threat Detection memantau aliran Cloud Logging untuk organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi, Event Threat Detection akan menggunakan log untuk project Anda saat log dibuat dan Event Threat Detection dapat memantau Log Google Workspace. Cloud Logging berisi entri log panggilan API dan tindakan lain yang membuat, membaca, atau mengubah konfigurasi atau metadata resource Anda. Log Google Workspace melacak login pengguna ke domain Anda dan memberikan catatan tindakan yang dilakukan di Konsol Admin Google Workspace Anda.

Entri log berisi informasi status dan peristiwa yang digunakan Event Threat Detection untuk mendeteksi ancaman dengan cepat. Event Threat Detection menerapkan logika deteksi dan inteligensi ancaman eksklusif, termasuk pencocokan indikator tripwire, pembuatan profil berjendela, pembuatan profil tingkat lanjut, machine learning, dan deteksi anomali, untuk mengidentifikasi ancaman hampir secara real-time.

Saat mendeteksi ancaman, Event Threat Detection akan menulis temuan ke Security Command Center. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Security Command Center dapat menulis temuan ke project Cloud Logging. Dari Cloud Logging dan logging Google Workspace, Anda dapat mengekspor temuan ke sistem lain dengan Pub/Sub dan memprosesnya dengan fungsi Cloud Run.

Jika mengaktifkan paket Premium Security Command Center di level organisasi, Anda juga dapat menggunakan Google Security Operations untuk menyelidiki beberapa temuan. Google SecOps adalah layanan yang memungkinkan Anda menyelidiki ancaman dan melakukan pivot melalui entitas terkait dalam linimasa terpadu. Google Cloud Untuk mengetahui petunjuk tentang cara mengirimkan temuan ke Google SecOps, lihat Menyelidiki temuan di Google SecOps.

Kemampuan Anda untuk melihat dan mengedit temuan dan log ditentukan oleh peran Identity and Access Management (IAM) yang diberikan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran IAM Security Command Center, lihat Kontrol akses.

Aturan Event Threat Detection

Aturan menentukan jenis ancaman yang dideteksi Event Threat Detection dan jenis log yang harus diaktifkan agar detektor dapat berfungsi. Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi atau menonaktifkannya.

Event Threat Detection mencakup aturan default berikut:

Nama tampilan	Nama API	Jenis sumber log	Deskripsi
Pemindaian Aktif: Log4j Rentan terhadap RCE	Tidak tersedia	Log Cloud DNS	Pemindai kerentanan Log4j memulai dan mengidentifikasi kueri DNS untuk domain yang tidak di-obfuscate. Kerentanan ini dapat menyebabkan eksekusi kode jarak jauh (RCE). Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Dampak: Host Pencadangan dan DR Google Cloud dihapus	`BACKUP_HOSTS_DELETE_HOST`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR Service	Host dihapus dari konsol pengelolaan Backup dan DR. Aplikasi yang terkait dengan host yang dihapus mungkin tidak dilindungi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Gambar habis masa berlaku Google Cloud Backup and DR	`BACKUP_EXPIRE_IMAGE`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Pengguna meminta penghapusan image cadangan dari konsol pengelolaan Cadangan dan DR. Penghapusan gambar cadangan tidak mencegah pencadangan di masa mendatang. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Dampak: Rencana penghapusan Pencadangan dan DR Google Cloud	`BACKUP_REMOVE_PLAN`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Paket pencadangan dengan beberapa kebijakan untuk aplikasi telah dihapus dari Pencadangan dan DR. Penghapusan paket pencadangan dapat mencegah pencadangan di masa mendatang. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Dampak: Google Cloud Backup and DR menghentikan masa berlaku semua image	`BACKUP_EXPIRE_IMAGES_ALL`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Pengguna meminta penghapusan semua gambar cadangan untuk aplikasi yang dilindungi dari konsol pengelolaan Pencadangan dan DR. Penghapusan gambar cadangan tidak mencegah pencadangan mendatang. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Dampak: Template penghapusan Pencadangan dan DR Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Template pencadangan yang telah ditentukan sebelumnya, yang digunakan untuk menyiapkan pencadangan beberapa aplikasi, dihapus dari konsol pengelolaan Backup and DR. Kemampuan untuk menyiapkan cadangan pada masa mendatang mungkin terpengaruh. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Dampak: Kebijakan penghapusan Pencadangan dan DR Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Kebijakan Pencadangan dan DR, yang menentukan cara pencadangan dilakukan dan tempat penyimpanannya, telah dihapus dari konsol pengelolaan Pencadangan dan DR. Pencadangan mendatang yang menggunakan kebijakan tersebut mungkin gagal. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Menghapus profil Backup and DR Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Profil Backup and DR, yang menentukan kumpulan penyimpanan mana yang harus digunakan untuk menyimpan cadangan, telah dihapus dari konsol pengelolaan Backup and DR. Pencadangan mendatang yang menggunakan profil tersebut mungkin gagal. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Penghapusan appliance Pencadangan dan DR Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Perangkat cadangan dihapus dari konsol pengelolaan Backup and DR. Aplikasi yang terkait dengan perangkat cadangan yang dihapus mungkin tidak dilindungi. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Dampak: Penghapusan pool penyimpanan Backup and DR Google Cloud	`BACKUP_STORAGE_POOLS_DELETE`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Kumpulan penyimpanan, yang mengaitkan bucket Cloud Storage dengan Backup and DR, dihapus dari konsol pengelolaan Backup and DR. Pencadangan mendatang ke target penyimpanan ini akan gagal. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Pencadangan dan DR Google Cloud mengurangi masa berlaku pencadangan	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Tanggal habis masa berlaku untuk cadangan yang dilindungi oleh Backup and DR dikurangi melalui konsol pengelolaan Backup and DR. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Jadwal pencadangan Backup and DR diubah untuk mengurangi frekuensi pencadangan melalui konsol pengelolaan Backup and DR. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Vault Pencadangan dan DR Google Cloud yang dihapus	`BACKUP_DELETE_VAULT`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Vault cadangan telah dihapus. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Dampak: Cadangan Layanan Pencadangan dan DR Google Cloud yang Dihapus	`BACKUP_DELETE_VAULT_BACKUP`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Cadangan yang disimpan di backup vault dihapus secara manual. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Dampak: Penghapusan asosiasi paket Pencadangan dan DR Google Cloud	`BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION`	Cloud Audit Logs: Log audit Aktivitas Admin Backup and DR	Rencana cadangan dari Backup and DR dihapus dari beban kerja. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
SSH Brute Force	`BRUTE_FORCE_SSH`	authlog	Aktor berhasil mendapatkan akses SSH di host melalui teknik brute force. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Cloud IDS: `THREAT_IDENTIFIER`	`CLOUD_IDS_THREAT_ACTIVITY`	Log Cloud IDS	Cloud IDS mendeteksi peristiwa ancaman. Cloud IDS mendeteksi serangan layer 7 dengan menganalisis paket yang di-mirror dan, saat peristiwa ancaman terdeteksi, mengirimkan temuan kelas ancaman ke Security Command Center. Nama kategori temuan dimulai dengan "Cloud IDS", diikuti dengan ID ancaman Cloud IDS. Integrasi Cloud IDS dengan Event Threat Detection tidak mencakup deteksi kerentanan Cloud IDS. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default. Untuk mempelajari lebih lanjut deteksi Cloud IDS, lihat Informasi Logging Cloud IDS.
Peningkatan Hak Istimewa: Anggota Eksternal Ditambahkan ke Grup dengan Hak Istimewa	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Log Google Workspace: Audit Login Izin: `DATA_READ`	Anggota eksternal ditambahkan ke Grup Google istimewa (grup yang diberi peran atau izin sensitif). Temuan hanya dibuat jika grup belum berisi anggota eksternal lain dari organisasi yang sama dengan anggota yang baru ditambahkan. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
Eskalasi Hak Istimewa: Grup dengan Hak Istimewa Dibuka untuk Publik	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Audit Admin Izin: `DATA_READ`	Grup Google istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
Peningkatan Hak Istimewa: Peran Sensitif Diberikan kepada Grup Hybrid	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Peran sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk mempelajari lebih lanjut, lihat Perubahan Google Grup yang tidak aman. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang terkait dengan perubahan grup. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
Penghindaran Pertahanan: Deployment Beban Kerja Breakglass Dibuat (Pratinjau)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Cloud Audit Logs: Log Aktivitas Admin	Workload di-deploy menggunakan flag break-glass untuk menggantikan kontrol Otorisasi Biner. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Deployment Beban Kerja Breakglass Diperbarui (Pratinjau)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Cloud Audit Logs: Log Aktivitas Admin	Beban kerja diperbarui menggunakan flag break-glass untuk menggantikan kontrol Otorisasi Biner. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Pemfilteran IP Bucket GCS Diubah	`GCS_BUCKET_IP_FILTERING_MODIFIED`	Cloud Audit Logs: Log Aktivitas Admin	Akun pengguna atau akun layanan mengubah konfigurasi pemfilteran IP untuk bucket Cloud Storage. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Mengubah Kontrol Layanan VPC	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud Audit Logs Log audit Kontrol Layanan VPC	Perimeter Kontrol Layanan VPC yang ada diubah sehingga menyebabkan berkurangnya perlindungan yang ditawarkan oleh perimeter tersebut. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Pemblokiran Kebijakan HTTP Project Dinonaktifkan	`PROJECT_HTTP_POLICY_BLOCK_DISABLED`	Cloud Audit Logs: Log Aktivitas Admin	Pengguna atau akun layanan berhasil memicu tindakan untuk menonaktifkan storage.secureHttpTransport di project. Hal ini juga berlaku saat tindakan dilakukan di tingkat organisasi atau tingkat folder karena kebijakan yang diterapkan di tingkat ini diwarisi oleh project turunan secara default. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penemuan: Dapat melakukan pemeriksaan objek Kubernetes sensitif	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud Audit Logs: Log Akses Data GKE	Pihak yang berpotensi jahat mencoba menentukan objek sensitif di GKE yang dapat mereka kueri, dengan menggunakan perintah `kubectl auth can-i get`. Secara khusus, aturan ini mendeteksi apakah aktor memeriksa akses API pada objek berikut: `` (semua) `cluster-admin` `ClusterRole` `Secret` Temuan diklasifikasikan sebagai tingkat keparahan Rendah* secara default.
Penemuan: Investigasi Mandiri Akun Layanan	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Cloud Audit Logs: Log audit Akses Data IAM Izin: `DATA_READ`	Kredensial akun layanan IAM digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama. Peran sensitif Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
Penghindaran: Akses dari Anonymizing Proxy	`ANOMALOUS_ACCESS`	Cloud Audit Logs: Log Aktivitas Admin	Modifikasi layanan Google Cloud berasal dari alamat IP yang terkait dengan jaringan Tor. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Cloud Audit Logs: Log akses data BigQueryAuditMetadata Izin: `DATA_READ`	Mendeteksi skenario berikut: Resource milik organisasi yang dilindungi disimpan di luar organisasi, termasuk operasi penyalinan atau transfer. Skenario ini ditunjukkan oleh subaturan `exfil_to_external_table` dan tingkat keparahan High. Upaya dilakukan untuk mengakses resource BigQuery yang dilindungi oleh Kontrol Layanan VPC. Skenario ini ditunjukkan oleh subaturan `vpc_perimeter_violation` dan tingkat keparahan Rendah.
Pemindahan Tidak Sah: Ekstraksi Data BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Cloud Audit Logs: Log akses data BigQueryAuditMetadata Izin: `DATA_READ`	Mendeteksi skenario berikut: Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage di luar organisasi. Resource BigQuery yang dimiliki oleh organisasi yang dilindungi disimpan, melalui operasi ekstraksi, ke bucket Cloud Storage yang dapat diakses publik yang dimiliki oleh organisasi tersebut. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Pemindahan Tidak Sah: Data BigQuery ke Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Cloud Audit Logs: Log akses data BigQueryAuditMetadata Izin: `DATA_READ`	Resource BigQuery yang dimiliki oleh organisasi terlindungi disimpan, melalui operasi ekstraksi, ke folder Google Drive. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eksfiltrasi: Pindah ke resource BigQuery Publik	`DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE`	Cloud Audit Logs: Log akses data BigQueryAuditMetadata Izin: `DATA_READ`	Resource BigQuery disimpan ke resource publik yang dimiliki oleh organisasi Anda. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Pemindahan Tidak Sah: Pemindahan Tidak Sah Data Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud Audit Logs: Log akses data MySQL Log akses data PostgreSQL Log akses data SQL Server	Mendeteksi skenario berikut: Data instance aktif diekspor ke bucket Cloud Storage di luar organisasi. Data instance aktif diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik. Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eksfiltrasi: Pemulihan Cadangan Cloud SQL ke Organisasi Eksternal	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud Audit Logs: Log aktivitas admin MySQL Log aktivitas admin PostgreSQL Log aktivitas admin SQL Server	Cadangan instance Cloud SQL dipulihkan ke instance di luar organisasi. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Pemindahan Tidak Sah: Pemberian Hak Istimewa Berlebih Cloud SQL	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Log Audit Cloud: Log akses data PostgreSQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.	Pengguna atau peran Cloud SQL untuk PostgreSQL diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam skema. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Superuser Database Menulis ke Tabel Pengguna	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs: Log akses data Cloud SQL untuk PostgreSQL Log akses data Cloud SQL untuk MySQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk PostgreSQL atau audit database untuk MySQL agar dapat menggunakan aturan ini.	Superuser Cloud SQL (`postgres` untuk server PostgreSQL atau `root` untuk pengguna MySQL) menulis ke tabel non-sistem. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Hak Istimewa: Pemberian Hak Istimewa Berlebih di AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Cloud Audit Logs: Log akses data AlloyDB untuk PostgreSQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.	Pengguna atau peran AlloyDB untuk PostgreSQL diberi semua hak istimewa ke database, atau ke semua tabel, prosedur, atau fungsi dalam skema. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Hak Istimewa: Pengguna Super Database AlloyDB Menulis ke Tabel Pengguna	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud Audit Logs: Log akses data AlloyDB untuk PostgreSQL Catatan: Anda harus mengaktifkan ekstensi pgAudit untuk menggunakan aturan ini.	Pengguna super AlloyDB untuk PostgreSQL (`postgres`) menulis ke tabel non-sistem. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Tindakan Akun Layanan Yang Tidak Aktif	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Peningkatan Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Akun layanan yang dikelola pengguna yang tidak aktif diberi satu atau beberapa peran IAM sensitif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. Peran sensitif Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif.
Peningkatan Hak Istimewa: Peran Peniruan Identitas Diberikan Untuk Akun Layanan yang Tidak Aktif	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Entity utama diberi izin untuk meniru identitas akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Cloud Audit Logs: Log Aktivitas Admin	Kunci dibuat untuk akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Awal: Kunci Akun Layanan yang Bocor Digunakan	`LEAKED_SA_KEY_USED`	Cloud Audit Logs: Log Aktivitas Admin Log Akses Data	Kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Awal: Tindakan Penolakan Izin yang Berlebihan	`EXCESSIVE_FAILED_ATTEMPT`	Cloud Audit Logs: Log Aktivitas Admin	Principal berulang kali memicu error permission denied dengan mencoba melakukan perubahan di beberapa metode dan layanan. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Persistensi: Autentikasi Kuat Dinonaktifkan	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Audit Admin	Verifikasi 2 langkah dinonaktifkan untuk organisasi. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Persistensi: Verifikasi Dua Langkah Dinonaktifkan	`2SV_DISABLE`	Log Google Workspace: Audit Login Izin: `DATA_READ`	Pengguna menonaktifkan verifikasi 2 langkah. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Akun yang Dinonaktifkan karena Dibajak	`ACCOUNT_DISABLED_HIJACKED`	Log Google Workspace: Audit Login Izin: `DATA_READ`	Akun pengguna ditangguhkan karena aktivitas mencurigakan. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Akses Awal: Kebocoran Sandi yang Dinonaktifkan	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Log Google Workspace: Audit Login Izin: `DATA_READ`	Akun pengguna dinonaktifkan karena kebocoran sandi terdeteksi. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Serangan yang Didukung Pemerintah	`GOV_ATTACK_WARNING`	Log Google Workspace: Audit Login Izin: `DATA_READ`	Penyerang yang didukung pemerintah mungkin mencoba menyusupi akun atau komputer pengguna. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Awal: Upaya Penyusupan Log4j	Tidak tersedia	Log Cloud Load Balancing: Cloud HTTP Load Balancer Catatan: Anda harus mengaktifkan logging Load Balancer Aplikasi eksternal untuk menggunakan aturan ini.	Pencarian Java Naming and Directory Interface (JNDI) dalam header atau parameter URL terdeteksi. Pencarian ini mungkin menunjukkan upaya eksploitasi Log4Shell. Temuan ini memiliki tingkat keparahan rendah, karena hanya menunjukkan upaya deteksi atau eksploitasi, bukan kerentanan atau pembobolan. Aturan ini selalu aktif. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Login Mencurigakan Diblokir	`SUSPICIOUS_LOGIN`	Log Google Workspace: Audit Login Izin: `DATA_READ`	Login mencurigakan ke akun pengguna telah terdeteksi dan diblokir. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Malware Log4j: Domain Buruk	`LOG4J_BAD_DOMAIN`	Log Cloud DNS	Traffic eksploitasi Log4j terdeteksi berdasarkan koneksi ke, atau pencarian, domain yang diketahui digunakan dalam serangan Log4j. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Malware Log4j: IP Buruk	`LOG4J_BAD_IP`	VPC flow logs Log Aturan Firewall Log Cloud NAT	Traffic eksploitasi Log4j terdeteksi berdasarkan koneksi ke alamat IP yang diketahui digunakan dalam serangan Log4j. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Malware: domain buruk	`MALWARE_BAD_DOMAIN`	Log Cloud DNS	Malware terdeteksi berdasarkan koneksi ke, atau pencarian, domain buruk yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Malware: IP buruk	`MALWARE_BAD_IP`	VPC flow logs Log Aturan Firewall Log Cloud NAT	Malware terdeteksi berdasarkan koneksi ke alamat IP jahat yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Malware: Domain Buruk Cryptomining	`CRYPTOMINING_POOL_DOMAIN`	Log Cloud DNS	Penambangan kripto terdeteksi berdasarkan koneksi ke, atau pencarian, domain penambangan yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Malware: IP Buruk Cryptomining	`CRYPTOMINING_POOL_IP`	VPC flow logs Log Aturan Firewall Log Cloud NAT	Penambangan kripto terdeteksi berdasarkan koneksi ke alamat IP penambangan yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Admin GCE Menambahkan Kunci SSH	`GCE_ADMIN_ADD_SSH_KEY`	Cloud Audit Logs: Log audit Aktivitas Admin Compute Engine	Nilai kunci SSH metadata instance Compute Engine diubah pada instance yang sudah dibuat (lebih lama dari 1 minggu). Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Admin GCE Menambahkan Skrip Startup	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Cloud Audit Logs: Log audit Aktivitas Admin Compute Engine	Nilai skrip startup metadata instance Compute Engine diubah pada instance yang sudah dibuat (lebih dari 1 minggu). Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Pemberian IAM Tidak Wajar	`IAM_ANOMALOUS_GRANT`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Temuan ini mencakup subaturan yang memberikan informasi lebih spesifik tentang setiap instance temuan ini. Daftar berikut menunjukkan semua kemungkinan subaturan: `external_service_account_added_to_policy`, `external_member_added_to_policy`: Hak istimewa diberikan kepada pengguna dan akun layanan IAM yang bukan anggota organisasi Anda atau, jika Security Command Center diaktifkan hanya di tingkat project, project Anda. Catatan: Jika Security Command Center diaktifkan di tingkat organisasi pada tingkat apa pun, detektor ini akan menggunakan kebijakan IAM organisasi yang ada sebagai konteks. Jika aktivasi Security Command Center hanya di level project, detektor hanya menggunakan kebijakan IAM project sebagai konteks. Jika pemberian IAM sensitif kepada anggota eksternal terjadi, dan ada kurang dari tiga kebijakan IAM yang ada yang serupa dengannya, detektor ini akan menghasilkan temuan. Peran sensitif Temuan diklasifikasikan sebagai tingkat keparahan Tinggi atau Sedang, bergantung pada sensitivitas peran yang diberikan. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. `external_member_invited_to_policy`: Anggota eksternal diundang sebagai pemilik project melalui `InsertProjectOwnershipInvite` API. `custom_role_given_sensitive_permissions`: Izin `setIAMPolicy` ditambahkan ke peran khusus. `service_account_granted_sensitive_role_to_member`: Peran istimewa diberikan kepada anggota melalui akun layanan. Subaturan ini dipicu oleh subset peran sensitif yang hanya mencakup peran IAM dasar dan peran penyimpanan data tertentu. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin IAM sensitif. `policy_modified_by_default_compute_service_account`: Akun layanan Compute Engine default digunakan untuk mengubah setelan IAM project.
Persistensi: Akun yang Tidak Dikelola Diberi Peran Sensitif (Pratinjau)	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Peran sensitif diberikan ke akun yang tidak dikelola. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Persistensi: Metode API Baru	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan IAM menggunakan akses anomali ke layanan Google Cloud . Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Geografi Baru	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Cloud Audit Logs: Log Aktivitas Admin	Akun pengguna dan akun layanan IAM diakses Google Cloud dari lokasi yang tidak biasa, berdasarkan geolokasi alamat IP yang membuat permintaan. Temuan ini tidak tersedia untuk aktivasi level project dan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Agen Pengguna Baru	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan IAM diakses Google Cloud dari agen pengguna yang anomali atau mencurigakan. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Tombol Pengaktifan SSO	`TOGGLE_SSO_ENABLED`	Google Workspace: Audit Admin	Setelan Aktifkan SSO (single sign-on) di akun admin dinonaktifkan. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Persistensi: Setelan SSO Diubah	`CHANGE_SSO_SETTINGS`	Google Workspace: Audit Admin	Setelan SSO untuk akun admin telah diubah. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Peningkatan Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan yang ditiru yang berpotensi anomali digunakan untuk aktivitas administratif. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Cloud Audit Logs: Log Aktivitas Admin	Permintaan yang didelegasikan multilangkah yang anomali ditemukan untuk aktivitas administratif. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Akses Data	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud Audit Logs: Log Akses Data	Permintaan yang didelegasikan multilangkah yang anomali ditemukan untuk aktivitas akses data. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Cloud Audit Logs: Log Aktivitas Admin	Pemanggil atau peniru identitas yang berpotensi anomali dalam rantai delegasi digunakan untuk aktivitas administratif. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Eskalasi Hak Istimewa: Peniru Identitas Akun Layanan yang Tidak Normal untuk Akses Data	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud Audit Logs: Log Akses Data	Pemanggil atau peniru identitas yang berpotensi anomali dalam rantai delegasi digunakan untuk aktivitas akses data. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Cloud Audit Logs: Log Aktivitas Admin GKE	Untuk meningkatkan hak istimewa, aktor yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) `ClusterRole`, `RoleBinding`, atau `ClusterRoleBinding` dari peran `cluster-admin` yang sensitif dengan menggunakan permintaan `PUT` atau `PATCH`. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Peningkatan Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud Audit Logs: Log Aktivitas Admin GKE	Aktor yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes , yang memberi mereka akses `cluster-admin`. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eskalasi Hak Istimewa: Pembuatan binding Kubernetes yang sensitif	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Untuk meningkatkan hak istimewa, pihak yang berpotensi jahat mencoba membuat objek `RoleBinding` atau `ClusterRoleBinding` baru untuk peran `cluster-admin`. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Peningkatan Hak Istimewa: Mendapatkan CSR Kubernetes dengan kredensial bootstrap yang disusupi	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud Audit Logs: Log Akses Data GKE	Pihak yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah `kubectl`, menggunakan kredensial bootstrap yang disusupi. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eskalasi Hak Istimewa: Peluncuran container Kubernetes dengan hak istimewa	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Cloud Audit Logs: Log Aktivitas Admin GKE	Aktor yang berpotensi berbahaya membuat Pod yang berisi container dengan hak istimewa atau container dengan kemampuan eskalasi hak istimewa. Container dengan hak istimewa memiliki kolom `privileged` yang ditetapkan ke `true`. Container dengan kemampuan eskalasi hak istimewa memiliki kolom `allowPrivilegeEscalation` yang ditetapkan ke `true`. Untuk mengetahui informasi selengkapnya, lihat referensi API SecurityContext v1 core dalam dokumentasi Kubernetes. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Kunci Akun Layanan Dibuat	`SERVICE_ACCOUNT_KEY_CREATION`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Kunci akun layanan telah dibuat. Kunci akun layanan adalah kredensial yang dapat digunakan untuk jangka waktu lama, sehingga meningkatkan risiko akses tidak sah ke resource Google Cloud. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Akses: Skrip Shutdown Global Ditambahkan	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Skrip shutdown global ditambahkan ke project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Skrip Startup Global Ditambahkan	`GLOBAL_STARTUP_SCRIPT_ADDED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Skrip startup global ditambahkan ke project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Peran Service Account Token Creator Tingkat Organisasi Ditambahkan	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Peran IAM Service Account Token Creator diberikan di tingkat organisasi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Peran Service Account Token Creator Tingkat Project Ditambahkan	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Peran IAM Service Account Token Creator diberikan di tingkat project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Pergerakan Lateral: Eksekusi Patch OS dari Akun Layanan	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Cloud Audit Logs. Log audit Aktivitas Admin IAM	Akun layanan menggunakan fitur Patch Compute Engine untuk memperbarui sistem operasi instance Compute Engine yang sedang berjalan. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Pergerakan Lateral: Boot Disk yang Dimodifikasi Terpasang ke Instance (Pratinjau)	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Cloud Audit Logs: Log audit Compute Engine	Boot disk dilepas dari satu instance Compute Engine dan dilampirkan ke instance lain, yang dapat mengindikasikan upaya berbahaya untuk menyusupi sistem menggunakan boot disk yang dimodifikasi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Kredensial: Secret yang Diakses di Namespace Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Cloud Audit Logs: Log Akses Data GKE	Token akun layanan atau secret diakses oleh akun layanan di namespace Kubernetes saat ini. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Pengembangan Resource: Aktivitas Distro Offensive Security	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Resource Google Cloud berhasil dimanipulasi melalui uji penetrasi yang diketahui atau distro keamanan ofensif. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Peningkatan Hak Istimewa: Akun Layanan Baru adalah Pemilik atau Editor	`SERVICE_ACCOUNT_EDITOR_OWNER`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Akun layanan baru dibuat dengan peran Editor atau Pemilik untuk suatu project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penemuan: Alat Pengumpulan Informasi yang Digunakan	`INFORMATION_GATHERING_TOOL_USED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Penggunaan ScoutSuite terdeteksi. ScoutSuite adalah alat audit keamanan cloud yang diketahui digunakan oleh pelaku ancaman. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Akses: Pembuatan Token Mencurigakan	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Izin `iam.serviceAccounts.implicitDelegation` disalahgunakan untuk membuat token akses dari akun layanan dengan hak istimewa yang lebih tinggi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Akses: Pembuatan Token Mencurigakan	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Akun layanan menggunakan metode `serviceAccounts.signJwt` untuk membuat token akses bagi akun layanan lain. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Akses: Pembuatan Token Mencurigakan	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Izin IAM `iam.serviceAccounts.getOpenIdToken` digunakan di seluruh project. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Akses: Pembuatan Token Mencurigakan	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Izin IAM `iam.serviceAccounts.getAccessToken` digunakan di seluruh project. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Hak Istimewa: Penggunaan Izin Lintas Project yang Mencurigakan	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Izin IAM `datafusion.instances.create` digunakan di seluruh project. Temuan ini tidak tersedia untuk aktivasi level project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Perintah dan Kontrol: Tunneling DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Log Cloud DNS	Handshake alat tunneling DNS Iodine terdeteksi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Upaya Penyamaran Rute VPC	`VPC_ROUTE_MASQUERADE`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Rute VPC yang menyamar sebagai rute default dibuat secara manual, sehingga memungkinkan traffic keluar ke alamat IP eksternal. Google Cloud Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Dampak: Penagihan Dinonaktifkan	`BILLING_DISABLED_SINGLE_PROJECT`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Penagihan dinonaktifkan untuk project. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Penagihan Dinonaktifkan	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Penagihan dinonaktifkan untuk beberapa project dalam organisasi dalam jangka waktu singkat. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Pemblokiran Prioritas Tinggi Firewall VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Aturan firewall VPC yang memblokir semua traffic keluar ditambahkan dengan prioritas 0. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Penghapusan Massal Aturan Firewall VPC^{Tidak tersedia untuk sementara}	`VPC_FIREWALL_MASS_RULE_DELETION`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Aturan firewall VPC dihapus secara massal oleh akun non-layanan. Aturan ini tidak tersedia untuk sementara. Untuk memantau perubahan pada aturan firewall, gunakan Cloud Audit Logs. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: API Layanan Dinonaktifkan	`SERVICE_API_DISABLED`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	API layanan Google Cloud dinonaktifkan di lingkungan produksi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Penskalaan Otomatis Grup Instance Terkelola Ditetapkan ke Maksimum	`MIG_AUTOSCALING_SET_TO_MAX`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Grup instance terkelola dikonfigurasi untuk penskalaan otomatis maksimum. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penemuan: Panggilan API Akun Layanan yang Tidak Sah	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Cloud Audit Logs: Log audit Aktivitas Admin IAM	Akun layanan melakukan panggilan API lintas-project yang tidak sah. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Sesi Anonim Diberi Akses Admin Cluster	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Cloud Audit Logs: Log Aktivitas Admin GKE	Objek kontrol akses berbasis peran (RBAC) `ClusterRoleBinding` dibuat, menambahkan perilaku `root-cluster-admin-binding` kepada pengguna anonim. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Geografi Baru untuk Layanan AI	`AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Cloud Audit Logs: Log Aktivitas Admin	Akun pengguna dan akun layanan IAM mengakses layanan AI dari lokasi yang tidak biasa, berdasarkan geolokasi alamat IP yang membuat permintaan. Google Cloud Temuan ini tidak tersedia untuk aktivasi level project dan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin AI	`AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Cloud Audit Logs: Log Aktivitas Admin	Permintaan yang didelegasikan multi-langkah yang anomali ditemukan untuk aktivitas administratif layanan AI. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Akses Data AI	`AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud Audit Logs: Log Akses Data	Permintaan yang didelegasikan multilangkah yang anomali ditemukan untuk aktivitas akses data layanan AI. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Peniru Akun Layanan yang Tidak Normal untuk Aktivitas Admin AI	`AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Cloud Audit Logs: Log Aktivitas Admin	Pemanggil atau peniru identitas yang berpotensi anomali dalam rantai delegasi digunakan untuk aktivitas administratif layanan AI. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Eskalasi Hak Istimewa: Peniru Identitas Akun Layanan yang Tidak Normal untuk Akses Data AI	`AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud Audit Logs: Log Akses Data	Pemanggil atau peniru identitas yang berpotensi anomali dalam rantai delegasi digunakan untuk aktivitas akses data layanan AI. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin AI	`AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan yang ditiru yang berpotensi anomali digunakan untuk aktivitas administratif layanan AI. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Persistensi: Metode AI API Baru	`AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan IAM menggunakan akses anomali ke layanan AI. Google Cloud Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Aktivitas Akun Layanan yang Tidak Aktif di Layanan AI	`AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan di layanan AI. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Awal: Resource GKE Anonim Dibuat dari Internet (Pratinjau)	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: Log Aktivitas Admin GKE.	Resource dibuat oleh pengguna internet yang secara efektif anonim. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Awal: Resource GKE Dimodifikasi Secara Anonim dari Internet (Pratinjau)	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Cloud Audit Logs: Log Aktivitas Admin GKE	Resource dimanipulasi oleh pengguna internet yang secara efektif anonim. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Peningkatan Hak Istimewa: Pengguna yang Secara Efektif Anonim Diberi Akses Cluster GKE	`GKE_ANONYMOUS_USERS_GRANTED_ACCESS`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut: `system:anonymous` `system:unauthenticated` `system:authenticated` Pengguna dan grup ini secara efektif bersifat anonim dan harus dihindari saat membuat ikatan peran atau ikatan peran cluster ke peran RBAC apa pun. Tinjau pengikatan untuk memastikan bahwa pengikatan diperlukan. Jika pengikatan tidak diperlukan, hapus pengikatan. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Eksekusi: Exec atau Lampirkan yang Mencurigakan ke Pod Sistem (Pratinjau)	`GKE_SUSPICIOUS_EXEC_ATTACH`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang menggunakan perintah `exec` atau `attach` untuk mendapatkan shell atau menjalankan perintah pada container yang berjalan di namespace `kube-system`. Metode ini terkadang digunakan untuk tujuan proses debug yang sah. Namun, namespace `kube-system` ditujukan untuk objek sistem yang dibuat oleh Kubernetes, dan eksekusi perintah atau pembuatan shell yang tidak terduga harus ditinjau. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Workload Dibuat dengan Pemasangan Jalur Host Sensitif (Pratinjau)	`GKE_SENSITIVE_HOSTPATH`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat workload yang berisi pemasangan volume `hostPath` ke jalur sensitif pada sistem file node host. Akses ke jalur ini di sistem file host dapat digunakan untuk mengakses informasi istimewa atau sensitif di node dan untuk keluar dari container. Jika memungkinkan, jangan izinkan volume `hostPath` apa pun di cluster Anda. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Hak Istimewa: Workload dengan shareProcessNamespace diaktifkan (Pratinjau)	`GKE_SHAREPROCESSNAMESPACE_POD`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang men-deploy workload dengan opsi `shareProcessNamespace` yang ditetapkan ke `true`, sehingga semua container dapat berbagi namespace proses Linux yang sama. Hal ini dapat memungkinkan container yang tidak tepercaya atau disusupi untuk meningkatkan hak istimewa dengan mengakses dan mengontrol variabel lingkungan, memori, dan data sensitif lainnya dari proses yang berjalan di container lain. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Hak Istimewa: ClusterRole dengan Kata Kerja Istimewa (Pratinjau)	`GKE_CLUSTERROLE_PRIVILEGED_VERBS`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat `ClusterRole` RBAC yang berisi kata kerja `bind`, `escalate`, atau `impersonate`. Subjek yang terikat ke peran dengan kata kerja ini dapat meniru pengguna lain dengan hak istimewa yang lebih tinggi, terikat ke `Roles` atau `ClusterRoles` tambahan yang berisi izin tambahan, atau mengubah izin ClusterRole mereka sendiri. Hal ini dapat menyebabkan subjek tersebut mendapatkan hak istimewa cluster-admin. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eskalasi Akses: ClusterRoleBinding ke Peran Istimewa	`GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat `ClusterRoleBinding` RBAC yang mereferensikan `system:controller:clusterrole-aggregation-controller` `ClusterRole` default. `ClusterRole` default ini memiliki kata kerja `escalate`, yang memungkinkan subjek mengubah hak istimewa perannya sendiri, sehingga memungkinkan eskalasi hak istimewa. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Permintaan Penandatanganan Sertifikat (CSR) yang Dihapus Secara Manual	`GKE_MANUALLY_DELETED_CSR`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR dihapus secara otomatis oleh pengontrol pengumpulan sampah, tetapi pelaku kejahatan mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus adalah untuk sertifikat yang disetujui dan diterbitkan, aktor yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi, bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Kubernetes tidak mendukung pencabutan sertifikat. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Credential: Upaya Gagal untuk Menyetujui Permintaan Penandatanganan Sertifikat (CSR) Kubernetes	`GKE_APPROVE_CSR_FORBIDDEN`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Kredensial: Permintaan Penandatanganan Sertifikat (CSR) Kubernetes yang Disetujui Secara Manual (Pratinjau)	`GKE_CSR_APPROVED`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi, bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang tinggi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eksekusi: Pod Kubernetes Dibuat dengan Argumen Reverse Shell yang Berpotensi	`GKE_REVERSE_SHELL_POD`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya terkait dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk menjalankan perintah arbitrer. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Penghindaran Pertahanan: Potensi Penyamaran Pod Kubernetes	`GKE_POD_MASQUERADING`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan beban kerja default yang dibuat GKE untuk operasi cluster reguler. Teknik ini disebut penyamaran. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Peningkatan Hak Istimewa: Nama Container Kubernetes yang Mencurigakan - Eksploitasi dan Escape (Pratinjau)	`GKE_SUSPICIOUS_EXPLOIT_POD`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan alat umum yang digunakan untuk pelepasan container atau untuk mengeksekusi serangan lain pada cluster. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Persistensi: Akun Layanan Dibuat di namespace sensitif	`GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat akun layanan di namespace yang sensitif. Namespace `kube-system` dan `kube-public` sangat penting untuk operasi cluster GKE, dan akun layanan yang tidak sah dapat membahayakan stabilitas dan keamanan cluster. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Dampak: Nama Container Kubernetes Mencurigakan - Penambangan Mata Uang Kripto	`GKE_SUSPICIOUS_CRYPTOMINING_POD`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan penambang koin mata uang kripto umum. Hal ini mungkin merupakan upaya oleh penyerang yang telah mendapatkan akses awal ke cluster untuk menggunakan resource cluster untuk penambangan mata uang kripto. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eksekusi: Workload dipicu di namespace sensitif	`GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang men-deploy workload (misalnya, Pod atau Deployment) di namespace `kube-system` atau `kube-public`. Namespace ini sangat penting untuk operasi cluster GKE, dan workload yang tidak sah dapat membahayakan stabilitas atau keamanan cluster. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Eksekusi: Peluncuran container dengan kemampuan berlebihan di GKE (Pratinjau)	`GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat container dengan satu atau beberapa kemampuan berikut di cluster dengan konteks keamanan yang ditingkatkan: `CAP_SYS_MODULE` `CAP_SYS_RAWIO` `CAP_SYS_PTRACE` `CAP_SYS_BOOT` `CAP_DAC_READ_SEARCH` `CAP_NET_ADMIN` `CAP_BPF` Kemampuan ini dapat digunakan untuk keluar dari container. Berhati-hatilah saat menyediakan kemampuan ini. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Persistensi: Konfigurasi Webhook GKE Terdeteksi	`GKE_WEBHOOK_CONFIG_CREATED`	Cloud Audit Logs: Log Aktivitas Admin GKE	Konfigurasi webhook terdeteksi di cluster GKE Anda. Webhook dapat mencegat dan mengubah permintaan Kubernetes API, sehingga berpotensi memungkinkan penyerang bertahan dalam cluster Anda atau memanipulasi resource. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Penghindaran Pertahanan: Pod Statis Dibuat	`GKE_STATIC_POD_CREATED`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat Pod statis di cluster GKE Anda. Pod Statis berjalan langsung di node dan melewati server Kubernetes API, yang membuatnya lebih sulit dipantau dan dikontrol. Penyerang dapat menggunakan Pod statis untuk menghindari deteksi atau mempertahankan persistensi. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Panggilan API berhasil dilakukan dari IP proxy TOR	`GKE_TOR_PROXY_IP_REQUEST`	Cloud Audit Logs: Log Aktivitas Admin GKE	Panggilan API yang berhasil dilakukan ke cluster GKE Anda dari alamat IP yang terkait dengan jaringan Tor. Tor memberikan anonimitas, yang sering kali dimanfaatkan penyerang untuk menyembunyikan identitas mereka. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Awal: Layanan GKE NodePort dibuat	`GKE_NODEPORT_SERVICE_CREATED`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang membuat layanan NodePort. Layanan NodePort mengekspos Pod secara langsung di alamat IP dan port statis node, yang membuat Pod dapat diakses dari luar cluster. Hal ini dapat menimbulkan risiko keamanan yang signifikan karena dapat memungkinkan penyerang mengeksploitasi kerentanan dalam layanan yang terekspos untuk mendapatkan akses ke cluster atau data sensitif. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Dampak: Modifikasi kube-dns GKE terdeteksi (Pratinjau)	`GKE_KUBE_DNS_MODIFICATION`	Cloud Audit Logs: Log Aktivitas Admin GKE	Seseorang mengubah konfigurasi kube-dns di cluster GKE Anda. kube-dns GKE adalah komponen penting dari jaringan cluster Anda, dan konfigurasinya yang salah dapat menyebabkan pelanggaran keamanan. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.
Dampak: Perintah Penambangan Kripto	`CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS`	Cloud Audit Logs: Log audit Peristiwa Sistem IAM	Perintah penambangan kripto tertentu dilampirkan ke tugas Cloud Run selama eksekusi. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eksekusi: Image Docker Cryptomining	`CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES`	Cloud Audit Logs: Log audit Peristiwa Sistem IAM	Image Docker buruk tertentu yang diketahui terlampir ke layanan atau tugas Cloud Run baru atau yang sudah ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eskalasi Hak Istimewa: SetIAMPolicy Akun Layanan Compute Engine Default	`CLOUD_RUN_SERVICES_SET_IAM_POLICY`	Cloud Audit Logs: Log Aktivitas Admin	Akun layanan Compute Engine default digunakan untuk menetapkan kebijakan IAM untuk layanan Cloud Run. Ini adalah potensi tindakan pasca-eksploitasi saat token Compute Engine disusupi dari layanan serverless. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Akses Awal: Login berhasil ke CloudDB dari IP Anonymizing Proxy	`CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP`	Cloud Audit Logs: Log akses data AlloyDB untuk PostgreSQL Log akses data Cloud SQL untuk PostgreSQL Log akses data Cloud SQL untuk MySQL Catatan: Anda harus mengaktifkan logging IP di PostgreSQL untuk menggunakan aturan ini untuk AlloyDB dan Postgres.	Login yang berhasil terdeteksi di instance database Anda dari alamat IP anonim yang diketahui. Hal ini dapat menunjukkan bahwa penyerang mendapatkan akses awal ke instance Anda. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Akses Kredensial: CloudDB Gagal login dari IP Anonymizing Proxy	`CLOUD_DB_LOGIN_FAILED_ANON_IP`	Cloud Audit Logs: Log akses data AlloyDB untuk PostgreSQL Log akses data Cloud SQL untuk PostgreSQL Log akses data Cloud SQL untuk MySQL Catatan: Anda harus mengaktifkan logging IP di PostgreSQL untuk menggunakan aturan ini untuk AlloyDB dan Postgres.	Login yang gagal terdeteksi di instance database Anda dari alamat IP anonim yang diketahui. Hal ini dapat menunjukkan bahwa penyerang sedang mencoba mengakses instance Anda tanpa otorisasi. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default.

Untuk aturan yang tidak digunakan lagi dan dihentikan, lihat Penghentian penggunaan.

Modul kustom untuk Event Threat Detection

Selain aturan deteksi bawaan, Event Threat Detection menyediakan template modul yang dapat Anda gunakan untuk membuat aturan deteksi kustom. Untuk informasi selengkapnya, lihat Ringkasan modul kustom untuk Event Threat Detection.

Untuk membuat aturan deteksi yang tidak memiliki template modul kustom, Anda dapat mengekspor data log ke BigQuery, lalu menjalankan kueri SQL unik atau berulang yang mencakup model ancaman Anda.

Perubahan Google Grup yang tidak aman

Bagian ini menjelaskan cara Event Threat Detection menggunakan log Google Workspace, Cloud Audit Logs, dan kebijakan IAM untuk mendeteksi perubahan tidak aman pada Google Grup. Deteksi perubahan Google Grup hanya didukung jika Anda mengaktifkan Security Command Center di tingkat organisasi.

PelangganGoogle Cloud dapat menggunakan Grup Google untuk mengelola peran dan izin bagi anggota di organisasi mereka, atau menerapkan kebijakan akses ke kumpulan pengguna. Daripada memberikan peran langsung kepada anggota, administrator dapat memberikan peran dan izin ke Grup Google, lalu menambahkan anggota ke grup tertentu. Anggota grup mewarisi semua peran dan izin grup, yang memungkinkan anggota mengakses resource dan layanan tertentu.

Meskipun Google Grup adalah cara yang mudah untuk mengelola kontrol akses dalam skala besar, Google Grup dapat menimbulkan risiko jika pengguna eksternal dari luar organisasi atau domain Anda ditambahkan ke grup istimewa—grup yang diberi peran atau izin sensitif. Peran sensitif mengontrol akses ke setelan keamanan dan jaringan, log, serta informasi identitas pribadi (PII), dan tidak direkomendasikan untuk anggota grup eksternal.

Di organisasi besar, administrator mungkin tidak mengetahui saat anggota eksternal ditambahkan ke grup istimewa. Cloud Audit Logs mencatat pemberian peran kepada grup, tetapi peristiwa log tersebut tidak berisi informasi tentang anggota grup, yang dapat mengaburkan potensi dampak dari beberapa perubahan grup.

Jika Anda membagikan log Google Workspace Anda dengan Google Cloud, Event Threat Detection akan memantau aliran logging Anda untuk anggota baru yang ditambahkan ke Google Grup organisasi Anda. Karena log berada di tingkat organisasi, Event Threat Detection hanya dapat memindai log Google Workspace jika Anda mengaktifkan Security Command Center di tingkat organisasi. Event Threat Detection tidak dapat memindai log ini saat Anda mengaktifkan Security Command Center di level project.

Event Threat Detection mengidentifikasi anggota grup eksternal dan, menggunakan Cloud Audit Logs, meninjau peran IAM setiap grup yang terpengaruh untuk memeriksa apakah grup tersebut diberi peran sensitif. Informasi tersebut digunakan untuk mendeteksi perubahan tidak aman berikut untuk Google Grup yang memiliki hak istimewa:

Anggota grup eksternal ditambahkan ke grup istimewa
Peran atau izin sensitif yang diberikan kepada grup dengan anggota grup eksternal
Grup istimewa yang diubah untuk mengizinkan siapa saja dari masyarakat umum bergabung

Event Threat Detection menulis temuan ke Security Command Center. Temuan berisi alamat email anggota eksternal yang baru ditambahkan, anggota grup internal yang memulai acara, nama grup, dan peran sensitif yang terkait dengan grup. Anda dapat menggunakan informasi tersebut untuk menghapus anggota eksternal dari grup atau mencabut peran sensitif yang diberikan kepada grup.

Untuk mengetahui informasi selengkapnya tentang temuan Event Threat Detection, lihat Aturan Event Threat Detection.

Peran dan izin IAM yang sensitif

Bagian ini menjelaskan cara Event Threat Detection menentukan peran IAM sensitif. Deteksi seperti Pemberian IAM yang Tidak Normal dan perubahan Grup Google yang Tidak Aman hanya menghasilkan temuan jika perubahan melibatkan peran dengan sensitivitas tinggi atau sedang. Sensitivitas peran memengaruhi rating tingkat keparahan yang ditetapkan untuk temuan.

Peran dengan sensitivitas tinggi mengontrol layanan penting di organisasi, termasuk penagihan, setelan firewall, dan logging. Temuan yang cocok dengan peran ini diklasifikasikan sebagai tingkat keparahan Tinggi.
Peran dengan sensitivitas sedang memiliki izin pengeditan yang memungkinkan akun utama membuat perubahan pada resource Google Cloud ; serta izin melihat dan mengeksekusi pada layanan penyimpanan data yang sering menyimpan data sensitif. Tingkat keparahan yang ditetapkan untuk temuan bergantung pada resource:
- Jika peran dengan sensitivitas sedang diberikan di tingkat organisasi, temuan diklasifikasikan sebagai tingkat keparahan Tinggi.
- Jika peran sensitivitas sedang diberikan di tingkat yang lebih rendah dalam hierarki resource Anda (folder, project, dan bucket, antara lain), temuan diklasifikasikan sebagai tingkat keparahan Sedang.

Pemberian peran sensitif ini dianggap berbahaya jika penerima adalah Anggota Eksternal atau identitas yang tidak normal, seperti akun utama yang telah tidak aktif dalam waktu yang lama.

Memberikan peran sensitif kepada anggota eksternal menimbulkan potensi ancaman karena peran tersebut dapat disalahgunakan untuk pembobolan akun dan pemindahan data yang tidak sah.

Menemukan kategori yang menggunakan peran sensitif ini meliputi:

Persistensi: Pemberian IAM Tidak Wajar
- Subaturan: external_service_account_added_to_policy
- Subaturan: external_member_added_to_policy
Peningkatan Hak Istimewa: Peran Sensitif Diberikan kepada Grup Hybrid
Peningkatan Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif

Menemukan kategori yang menggunakan subset peran sensitif meliputi:

Persistensi: Pemberian IAM Tidak Wajar
- Subaturan: service_account_granted_sensitive_role_to_member

Subaturan service_account_granted_sensitive_role_to_member menargetkan anggota eksternal dan internal secara umum, sehingga hanya menggunakan subset peran sensitif, seperti yang dijelaskan dalam aturan Event Threat Detection.

Kategori	Peran	Deskripsi
Peran dasar: berisi ribuan izin di semua layanan Google Cloud .	`roles/owner`	Peran dasar
	`roles/editor`	Peran dasar
Peran keamanan: mengontrol akses ke setelan keamanan	`roles/cloudkms.*`	Semua Peran Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Semua Peran Web Security Scanner
	`roles/dlp.*`	Semua peran Sensitive Data Protection
	`roles/iam.*`	Semua Peran IAM
	`roles/secretmanager.*`	Semua Peran Secret Manager
	`roles/securitycenter.*`	Semua peran Security Command Center
Peran logging: mengontrol akses ke log organisasi	`roles/errorreporting.*`	Semua Peran Error Reporting
	`roles/logging.*`	Semua peran Cloud Logging
	`roles/stackdriver.*`	Semua peran Cloud Monitoring
Peran informasi pribadi: mengontrol akses ke resource yang berisi informasi identitas pribadi, termasuk informasi perbankan dan kontak	`roles/billing.*`	Semua Peran Penagihan Cloud
	`roles/healthcare.*`	Semua Peran Cloud Healthcare API
	`roles/essentialcontacts.*`	Semua peran Kontak Penting
Peran jaringan: mengontrol akses ke setelan jaringan organisasi	`roles/dns.*`	Semua peran Cloud DNS
	`roles/domains.*`	Semua Peran Cloud Domains
	`roles/networkconnectivity.*`	Semua Peran Network Connectivity Center
	`roles/networkmanagement.*`	Semua Peran Network Connectivity Center
	`roles/privateca.*`	Semua Peran Certificate Authority Service
Peran layanan: mengontrol akses ke resource layanan di Google Cloud	`roles/cloudasset.*`	Semua Peran Inventaris Aset Cloud
	`roles/servicedirectory.*`	Semua Peran Direktori Layanan
	`roles/servicemanagement.*`	Semua Peran Pengelolaan Layanan
	`roles/servicenetworking.*`	Semua Peran Service Networking
	`roles/serviceusage.*`	Semua Peran Penggunaan Layanan
Peran Compute Engine: mengontrol akses ke virtual machine Compute Engine, yang menjalankan tugas yang berjalan lama dan terkait dengan aturan firewall	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Semua peran Admin dan Editor Compute Engine

Kategori Peran Deskripsi

Kategori	Peran	Deskripsi
Mengedit peran: Peran IAM yang mencakup izin untuk membuat perubahan pada Google Cloud resource	Contoh: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Nama peran biasanya diakhiri dengan judul seperti Admin, Pemilik, Editor, atau Penulis. Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang
Peran penyimpanan data: Peran IAM yang mencakup izin untuk melihat dan menjalankan layanan penyimpanan data	Contoh: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang
Semua peran dengan sensitivitas sedang Access Approval `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Tindakan `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` Gateway API `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Otorisasi Biner `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Beta Cloud Run Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Artifact Analysis `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Managed Service for Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore for Redis `roles/redis.admin` `roles/redis.editor` On-Demand Scanning API `roles/ondemandscanning.admin` Ops Config Monitoring `roles/opsconfigmonitoring.resourceMetadata.writer` Organization Policy Service `roles/axt.admin` `roles/orgpolicy.policyAdmin` Peran lainnya `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Proximity Beacon `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Rekomendasi `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Pemberi Rekomendasi `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Setelan Resource `roles/resourcesettings.admin` Akses VPC Serverless `roles/vpcaccess.admin` Service Consumer Management `roles/serviceconsumermanagement.tenancyUnitsAdmin` Storage Transfer Service `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebook Vertex AI Workbench yang dikelola pengguna `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

Mengedit peran: Peran IAM yang mencakup izin untuk membuat perubahan pada Google Cloud resource

Contoh:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Nama peran biasanya diakhiri dengan judul seperti Admin, Pemilik, Editor, atau Penulis.

Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang

Peran penyimpanan data: Peran IAM yang mencakup izin untuk melihat dan menjalankan layanan penyimpanan data

Contoh:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Luaskan node di baris terakhir tabel untuk melihat Semua peran dengan sensitivitas sedang

Semua peran dengan sensitivitas sedang

Access Approval

roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager

roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Tindakan

roles/actions.Admin

AI Platform

roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

Gateway API

roles/apigateway.admin

App Engine

roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML

roles/automl.admin
roles/automl.editor

BigQuery

roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Otorisasi Biner

roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable

roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build

roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager

roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints

roles/endpoints.portalAdmin^Beta

Cloud Run Functions

roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT

roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences

roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring

roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run

roles/run.admin
roles/run.developer

Cloud Scheduler

roles/cloudscheduler.admin

Cloud Source Repositories

roles/source.admin
roles/source.writer

Spanner

roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage

roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL

roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks

roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU

tpu.admin

Cloud Trace

roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine

roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Artifact Analysis

roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog

roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow

roles/dataflow.admin
roles/dataflow.developer

Dataproc

roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore

roles/metastore.admin
roles/metastore.editor

Datastore

roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc

roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore

roles/file.editor

Firebase

roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers

roles/gameservices.admin

Google Cloud VMware Engine

vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub

roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace

roles/gsuiteaddons.developer

Identity-Aware Proxy

roles/iap.admin
roles/iap.settingsAdmin

Managed Service for Microsoft Active Directory

roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis

roles/redis.admin
roles/redis.editor

On-Demand Scanning API

roles/ondemandscanning.admin

Ops Config Monitoring

roles/opsconfigmonitoring.resourceMetadata.writer

Organization Policy Service

roles/axt.admin
roles/orgpolicy.policyAdmin

Peran lainnya

roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon

roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub

roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite

roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA

roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Rekomendasi

roles/automlrecommendations.admin
roles/automlrecommendations.editor

Pemberi Rekomendasi

roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager

roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Setelan Resource

roles/resourcesettings.admin

Akses VPC Serverless

roles/vpcaccess.admin

Service Consumer Management

roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service

roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI

roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebook Vertex AI Workbench yang dikelola pengguna

roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows

roles/workflows.admin
roles/workflows.editor

Jenis log dan persyaratan aktivasi

Bagian ini mencantumkan log yang digunakan Event Threat Detection, beserta ancaman yang dicari Event Threat Detection di setiap log, dan tindakan yang perlu Anda lakukan untuk mengaktifkan setiap log.

Anda hanya perlu mengaktifkan log untuk Event Threat Detection jika semua hal berikut terpenuhi:

Anda menggunakan produk atau layanan yang menulis ke log.
Anda harus melindungi produk atau layanan dari ancaman yang dideteksi oleh Event Threat Detection dalam log.
Log adalah log audit akses data atau log lain yang dinonaktifkan secara default.

Ancaman tertentu dapat terdeteksi di beberapa log. Jika Event Threat Detection dapat mendeteksi ancaman dalam log yang sudah diaktifkan, Anda tidak perlu mengaktifkan log lain untuk mendeteksi ancaman yang sama.

Jika log tidak tercantum di bagian ini, Event Threat Detection tidak memindainya, meskipun diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Pemindaian log yang berpotensi berlebihan.

Seperti yang dijelaskan dalam tabel berikut, beberapa jenis log hanya tersedia di tingkat organisasi. Jika Anda mengaktifkan Security Command Center di level project, Event Threat Detection tidak akan memindai log ini dan tidak akan menghasilkan temuan apa pun.

Sumber log dasar

Event Threat Detection menggunakan sumber data dasar untuk mendeteksi potensi aktivitas berbahaya di jaringan Anda.

Jika Anda mengaktifkan Event Threat Detection tanpa VPC Flow Logs, Event Threat Detection akan segera mulai menganalisis aliran VPC Flow Logs yang independen, duplikat, dan internal. Untuk menyelidiki lebih lanjut temuan Event Threat Detection yang ada, Anda perlu mengaktifkan VPC Flow Logs dan membuka Logs Explorer serta Flow Analyzer secara manual. Jika Anda mengaktifkan Log Aliran VPC di lain waktu, hanya temuan mendatang yang akan berisi link yang relevan untuk penyelidikan lebih lanjut.
Jika Anda mengaktifkan Event Threat Detection dengan Log Alur VPC, Event Threat Detection akan langsung mulai menganalisis Log Alur VPC dalam deployment Anda dan memberikan link ke Logs Explorer dan Flow Analyzer untuk membantu Anda menyelidiki lebih lanjut.

Log untuk deteksi malware di jaringan

Event Threat Detection dapat memberikan deteksi {i>malware<i} jaringan dengan memindai salah satu log berikut:

Logging Cloud DNS
Logging Cloud NAT
Firewall Rules Logging
VPC Flow Logs

Anda tidak perlu mengaktifkan lebih dari satu jenis logging Cloud NAT, Logging Aturan Firewall, atau Log Aliran VPC.

Jika Anda sudah menggunakan logging Cloud DNS, Event Threat Detection dapat mendeteksi malware menggunakan resolusi domain. Untuk sebagian besar pengguna, log Cloud DNS sudah cukup untuk deteksi malware di jaringan.

Jika Anda memerlukan tingkat visibilitas lain di luar penyelesaian domain, Anda dapat mengaktifkan Log Aliran VPC, tetapi Log Aliran VPC dapat menimbulkan biaya. Untuk mengelola biaya ini, sebaiknya tingkatkan interval penggabungan menjadi 15 menit dan kurangi frekuensi sampel menjadi antara 5% dan 10%, tetapi ada pertukaran antara perolehan (sampel yang lebih tinggi) dan pengelolaan biaya (frekuensi sampel yang lebih rendah). Untuk mengetahui informasi selengkapnya, lihat Pengambilan sampel dan pemrosesan log.

Jika Anda sudah menggunakan Logging Aturan Firewall atau logging Cloud NAT, log ini berguna sebagai pengganti Log Aliran VPC.

Data log yang didukung dan ancaman yang terdeteksi

Bagian ini mencantumkan log Cloud Logging dan Google Workspace yang dapat Anda aktifkan atau konfigurasi untuk meningkatkan jumlah ancaman yang dapat dideteksi oleh Event Threat Detection.

Ancaman tertentu, seperti ancaman yang ditimbulkan oleh peniruan identitas atau delegasi akun layanan yang tidak normal, dapat ditemukan di sebagian besar log audit. Untuk jenis ancaman ini, Anda menentukan log mana yang perlu diaktifkan berdasarkan produk dan layanan yang Anda gunakan.

Tabel berikut menunjukkan log tertentu yang dapat Anda aktifkan dan jenis ancaman yang dapat dideteksi.

Jenis log	Ancaman terdeteksi	Diperlukan konfigurasi
Logging Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Aktifkan logging Cloud DNS Lihat juga Log untuk deteksi malware di jaringan.
Logging Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Mengaktifkan logging Cloud NAT Lihat juga Log untuk deteksi malware di jaringan.
Firewall Rules Logging	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Aktifkan Firewall Rules Logging Lihat juga Log untuk deteksi malware di jaringan.
Log audit Akses Data Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Mengaktifkan log audit Akses Data Logging untuk GKE
Log Audit Admin Google Workspace	`Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed` `Persistence: Strong Authentication Disabled` `Persistence: Two Step Verification Disabled` `Privilege Escalation: Privileged Group Opened To Public`	Membagikan log Audit Admin Google Workspace ke Cloud Logging Jenis log ini tidak dapat dipindai dalam aktivasi tingkat project.
Log Audit Login Google Workspace	`Credential Access: External Member Added To Privileged Group` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked` `Persistence: Two Step Verification Disabled`	Membagikan log Audit Login Google Workspace ke Cloud Logging Jenis log ini tidak dapat dipindai dalam aktivasi tingkat project.
Log layanan backend Load Balancer Aplikasi Eksternal	`Initial Access: Log4j Compromise Attempt`	Mengaktifkan logging Load Balancer Aplikasi eksternal
Log audit Akses Data MySQL Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration` `Initial Access: CloudDB Successful login from Anonymizing Proxy IP` `Credential Access: CloudDB Failed login from Anonymizing Proxy IP`	Mengaktifkan log audit Akses Data Logging untuk Cloud SQL untuk MySQL
Log audit Akses Data Cloud SQL PostgreSQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant` `Initial Access: CloudDB Successful login from Anonymizing Proxy IP` `Credential Access: CloudDB Failed login from Anonymizing Proxy IP`	Aktifkan log audit Akses Data Logging untuk Cloud SQL untuk PostgreSQL. Untuk mendeteksi ancaman `Exfiltration: Cloud SQL Over-Privileged Grant`, Anda juga harus mengaktifkan ekstensi pgAudit
Log audit Akses Data AlloyDB untuk PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant` `Initial Access: CloudDB Successful login from Anonymizing Proxy IP` `Credential Access: CloudDB Failed login from Anonymizing Proxy IP`	Mengaktifkan log audit Akses Data Logging untuk AlloyDB untuk PostgreSQL Untuk mendeteksi ancaman `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` dan `Privilege Escalation: AlloyDB Over-Privileged Grant`, Anda juga harus mengaktifkan ekstensi pgAudit
Log audit Akses Data IAM	`Discovery: Service Account Self-Investigation`	Mengaktifkan log audit Akses Data Logging untuk Resource Manager
Log audit Akses Data SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Mengaktifkan log audit Akses Data Logging untuk Cloud SQL untuk SQL Server
Log audit Akses Data Generik	`Initial Access: Leaked Service Account Key Used` `Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access` `Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Aktifkan log audit Akses Data Logging.
authlogs/authlog di mesin virtual	`Brute force SSH`	Instal Agen Operasional atau agen Logging lama di host VM Anda
VPC Flow Logs	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Aktifkan Log Aliran VPC Lihat juga Log untuk deteksi malware di jaringan.

Log yang selalu aktif

Tabel berikut mencantumkan log Cloud Logging yang tidak perlu Anda aktifkan atau konfigurasi. Log ini selalu aktif dan Event Threat Detection memindainya secara otomatis.

Jenis log	Ancaman terdeteksi	Diperlukan konfigurasi
Log Akses Data BigQueryAuditMetadata	Pemindahan Tidak Sah: Pemindahan Tidak Sah Data BigQuery Pemindahan Tidak Sah: Ekstraksi Data BigQuery Pemindahan Tidak Sah: Data BigQuery ke Google Drive Eksfiltrasi: Pindah ke resource BigQuery Publik (Pratinjau)	Tidak ada
Log audit Aktivitas Admin Google Kubernetes Engine (GKE)	Akses Credential: Upaya Gagal untuk Menyetujui Permintaan Penandatanganan (CSR) Sertifikat Kubernetes Akses Kredensial: Permintaan Penandatanganan Sertifikat (CSR) Kubernetes yang Disetujui Secara Manual (Pratinjau) Penghindaran Pertahanan: Sesi Anonim Diberi Akses Admin Cluster Penghindaran Pertahanan: Permintaan Penandatanganan Sertifikat (CSR) yang Dihapus Secara Manual Penghindaran Pertahanan: Potensi Penyamaran Pod Kubernetes Penghindaran Pertahanan: Pod Statis Dibuat Eksekusi: Peluncuran container yang terlalu mumpuni di GKE (Pratinjau) Eksekusi: Pod Kubernetes Dibuat dengan Potensi Reverse Shell Argumen Eksekusi: Exec atau Lampirkan yang Mencurigakan ke Pod Sistem (Pratinjau) Eksekusi: Workload dipicu di namespace sensitif Dampak: Modifikasi kube-dns GKE terdeteksi (Pratinjau) Dampak: Nama Container Kubernetes Mencurigakan - Penambangan Mata Uang Kripto Akses Awal: Resource GKE Anonim yang Dibuat dari Internet (Pratinjau) Akses Awal: Layanan GKE NodePort dibuat Akses Awal: Resource GKE Dimodifikasi Secara Anonim dari Internet (Pratinjau) Akses Awal: Panggilan API berhasil dilakukan dari IP proxy TOR Persistensi: Konfigurasi Webhook GKE Terdeteksi Persistensi: Akun Layanan Dibuat di namespace sensitif Eskalasi Hak Istimewa: Perubahan pada objek RBAC Kubernetes yang sensitif Eskalasi Hak Istimewa: ClusterRole dengan Kata Kerja Istimewa (Pratinjau) Eskalasi Akses: ClusterRoleBinding ke Peran Istimewa Peningkatan Hak Istimewa: Membuat CSR Kubernetes untuk sertifikat master Eskalasi Hak Istimewa: Pembuatan binding Kubernetes yang sensitif Peningkatan Hak Istimewa: Pengguna yang Secara Efektif Anonim Diberi Akses ke Cluster GKE Eskalasi Hak Istimewa: Peluncuran container Kubernetes dengan hak istimewa Peningkatan Hak Istimewa: Nama Container Kubernetes yang Mencurigakan - Eksploitasi dan Escape (Pratinjau) Peningkatan Hak Istimewa: Workload yang Dibuat dengan Pemasangan Jalur Host Sensitif (Pratinjau) Eskalasi Hak Istimewa: Workload dengan shareProcessNamespace diaktifkan (Pratinjau)	Tidak ada
Log audit Aktivitas Admin IAM	Persistensi: Pemberian IAM Tidak Wajar (Pratinjau) Persistensi: Akun Tidak Dikelola Diberi Peran Sensitif Eskalasi Hak Istimewa: SetIAMPolicy Akun Layanan Compute Engine Default Peningkatan Hak Istimewa: Akun Layanan Tidak Aktif Diberi Peran Sensitif Peningkatan Hak Istimewa: Peran Peniruan Identitas Diberikan Untuk Akun Layanan yang Tidak Aktif Peningkatan Hak Istimewa: Peran Sensitif Diberikan kepada Grup Hybrid	Tidak ada
Log Aktivitas Admin MySQL	Eksfiltrasi: Pemulihan Cadangan Cloud SQL ke Organisasi Eksternal	Tidak ada
Log Aktivitas Admin PostgreSQL	Eksfiltrasi: Pemulihan Cadangan Cloud SQL ke Organisasi Eksternal	Tidak ada
Log Aktivitas Admin SQL Server	Eksfiltrasi: Pemulihan Cadangan Cloud SQL ke Organisasi Eksternal	Tidak ada
Log audit Aktivitas Admin umum	Penghindaran Pertahanan: Pemfilteran IP Bucket GCS Diubah Penghindaran Pertahanan: Pemblokiran Kebijakan HTTP Project Dinonaktifkan Akses Awal: Tindakan Akun Layanan Yang Tidak Aktif Akses Awal: Aktivitas Akun Layanan yang Tidak Aktif di Layanan AI Akses Awal: Kunci Akun Layanan yang Tidak Aktif Dibuat Akses Awal: Tindakan Penolakan Izin yang Berlebihan Akses Awal: Kunci Akun Layanan yang Bocor Digunakan Pergerakan Lateral: Boot Disk yang Dimodifikasi Terpasang ke Instance (Pratinjau) Persistensi: Admin GCE Menambahkan Kunci SSH Persistensi: Admin GCE Menambahkan Skrip Startup Persistensi: Metode AI API Baru Persistensi: Metode API Baru Persistensi: Geografi Baru Persistensi: Geografi Baru untuk Layanan AI Persistensi: Agen Pengguna Baru Peningkatan Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin Peningkatan Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin AI Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin Peningkatan Hak Istimewa: Delegasi Akun Layanan Multilangkah yang Tidak Normal untuk Aktivitas Admin AI Peningkatan Hak Istimewa: Peniruan Akun Layanan yang Tidak Normal untuk Aktivitas Admin Peningkatan Hak Istimewa: Peniru Akun Layanan yang Tidak Normal untuk Aktivitas Admin AI	Tidak ada
Log audit Kontrol Layanan VPC	Penghindaran Pertahanan: Mengubah Kontrol Layanan VPC (Pratinjau)	Tidak ada
Log audit Aktivitas Admin Backup and DR	Dampak: Google Cloud Backup and DR menghentikan masa berlaku semua image Dampak: Cadangan Layanan Pencadangan dan DR Google Cloud yang Dihapus Dampak: Host Pencadangan dan DR Google Cloud dihapus Dampak: Penghapusan asosiasi paket Pencadangan dan DR Google Cloud Dampak: Vault Pencadangan dan DR Google Cloud yang dihapus Dampak: Kebijakan penghapusan Pencadangan dan DR Google Cloud Dampak: Menghapus profil Backup and DR Google Cloud Dampak: Template penghapusan Pencadangan dan DR Google Cloud Dampak: Gambar habis masa berlaku Google Cloud Backup and DR Dampak: Pencadangan dan DR Google Cloud mengurangi masa berlaku pencadangan Dampak: Pencadangan dan DR Google Cloud mengurangi frekuensi pencadangan Dampak: Penghapusan appliance Pencadangan dan DR Google Cloud Dampak: Rencana penghapusan Pencadangan dan DR Google Cloud Mencegah pemulihan sistem: Google Cloud Backup and DR menghapus kumpulan penyimpanan	Tidak ada
Log audit Peristiwa Sistem IAM	Eksekusi: Image Docker Cryptomining Dampak: Perintah Penambangan Kripto	Tidak ada

Langkah berikutnya

Pelajari cara menggunakan Event Threat Detection.
Pelajari cara menyelidiki dan menyusun rencana respons terhadap ancaman.