首次发现第三方应用程序的 Google Workspace OAuth 登录
编辑首次发现第三方应用程序的 Google Workspace OAuth 登录
编辑检测第三方应用程序首次使用 OAuth 登录并进行身份验证。OAuth 用于授予对 Google Workspace 中特定资源和服务的权限。被盗用的凭据或服务帐户可能允许攻击者以合法用户的身份验证到 Google Workspace 并继承其权限。
规则类型: new_terms
规则索引:
- filebeat-*
- logs-google_workspace*
严重性: 中
风险评分: 47
运行频率: 10 分钟
搜索索引起始时间: now-130m ( Date Math 格式,另请参阅 Additional look-back time )
每次执行的最大警报数: 100
参考:
标签:
- 域: 云
- 数据源: Google Workspace
- 策略: 防御规避
- 策略: 初次访问
版本: 5
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑设置
关于 Google Workspace 事件延迟时间的重要信息
- 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间和事件在 Google Workspace 管理/审计日志中可见的时间之间存在从几分钟到 3 天不等的延迟时间。
- 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
- 为了降低误报的风险,请考虑缩短 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的间隔。
- 默认情况下,
var.interval设置为 2 小时 (2h)。请考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。 - 有关更多信息,请参阅以下参考资料
- https://support.google.com/a/answer/7061566
- https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html
设置
编辑需要 Google Workspace Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset: "google_workspace.token" and event.action: "authorize" and google_workspace.token.scope.data: *Login and google_workspace.token.client.id: *apps.googleusercontent.com
框架: MITRE ATT&CKTM
-
策略
- 名称: 防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称: 使用替代身份验证材料
- ID: T1550
- 参考 URL: https://attack.mitre.org/techniques/T1550/
-
子技术
- 名称: 应用程序访问令牌
- ID: T1550.001
- 参考 URL: https://attack.mitre.org/techniques/T1550/001/
-
策略
- 名称: 初次访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称: 有效帐户
- ID: T1078
- 参考 URL: https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称: 云帐户
- ID: T1078.004
- 参考 URL: https://attack.mitre.org/techniques/T1078/004/