首次发现来自第三方应用程序的 Google Workspace OAuth 登录
编辑首次发现来自第三方应用程序的 Google Workspace OAuth 登录
编辑检测第三方应用程序首次使用 OAuth 登录和身份验证的情况。OAuth 用于授予对 Google Workspace 中特定资源和服务的权限。被入侵的凭据或服务帐户可能允许攻击者以有效用户的身份对 Google Workspace 进行身份验证,并继承其权限。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-google_workspace*
严重性: 中等
风险评分: 47
每隔: 10 分钟
搜索索引自: now-130m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考资料:
标签:
- 领域:云
- 数据源:Google Workspace
- 战术:防御规避
- 战术:初始访问
版本: 5
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
关于 Google Workspace 事件延迟时间的重要信息
- 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间与事件在 Google Workspace 管理员/审计日志中可见时间之间存在从几分钟到 3 天不等的延迟时间。
- 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
- 为了降低误报的风险,请考虑减少 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的间隔。
- 默认情况下,
var.interval设置为 2 小时 (2h)。请考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。 - 有关更多信息,请参阅以下参考资料
- https://support.google.com/a/answer/7061566
- https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html
设置
编辑Google Workspace Fleet 集成、Filebeat 模块或类似结构的数据需要与该规则兼容。
规则查询
编辑event.dataset: "google_workspace.token" and event.action: "authorize" and google_workspace.token.scope.data: *Login and google_workspace.token.client.id: *apps.googleusercontent.com
框架: MITRE ATT&CKTM
-
战术
- 名称:防御规避
- ID:TA0005
- 参考 URL:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:使用备用身份验证材料
- ID:T1550
- 参考 URL:https://attack.mitre.org/techniques/T1550/
-
子技术
- 名称:应用程序访问令牌
- ID:T1550.001
- 参考 URL:https://attack.mitre.org/techniques/T1550/001/
-
战术
- 名称:初始访问
- ID:TA0001
- 参考 URL:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考 URL:https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称:云帐户
- ID:T1078.004
- 参考 URL:https://attack.mitre.org/techniques/T1078/004/