从 Google Workspace 中移除封锁列表中的应用程序
编辑从 Google Workspace 中移除封锁列表中的应用程序
编辑Google Workspace 管理员可能知道 Google 市场中的恶意应用程序,并出于用户安全目的阻止这些应用程序。 具有管理权限的攻击者可能会从显式阻止列表中删除此应用程序,以允许在用户之间分发该应用程序。 这也可能表明未经授权使用先前已被具有管理员权限的用户阻止的应用程序。
规则类型: 查询
规则索引:
- filebeat-*
- logs-google_workspace*
严重性: 中
风险评分: 47
运行频率: 10 分钟
搜索索引的时间范围: now-130m (日期数学格式,另请参阅 附加回溯时间)
每次执行的最大警报数: 100
参考资料:
标签:
- 域:云
- 数据源:Google Workspace
- 用例:配置审计
- 资源:调查指南
- 策略:防御规避
版本: 107
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查 Google Workspace 中从封锁列表删除的应用程序
Google Workspace Marketplace 是一个在线商店,提供免费和付费的 Web 应用程序,这些应用程序可与 Google Workspace 服务和第三方软件配合使用。 列出的应用程序基于 Google API 或 Google Apps 脚本,由 Google 和第三方开发人员创建。
Marketplace 应用程序需要访问特定的 Google Workspace 资源。 具有适当权限的个别用户可以在其 Google Workspace 域中安装应用程序。 管理员具有其他权限,允许他们为整个 Google Workspace 域安装应用程序。 同意屏幕通常会显示用户安装应用程序所需的权限和特权。 因此,恶意的 Marketplace 应用程序可能需要比必要更多的权限或具有恶意意图。
Google 明确声明,他们不对来自非 Google 来源的任何 Marketplace 产品负责。
此规则标识 Marketplace 阻止列表更新,该更新包含具有管理权限的 Google Workspace 帐户手动删除先前阻止的应用程序。
可能的调查步骤
- 通过查看警报中的
user.name或user.email字段来识别关联的用户帐户。 - 此规则依赖于来自
google_workspace.admin的数据,因此表明关联的用户具有 Marketplace 的管理权限。 - 通过访问 Google Workspace 管理控制台,使用用户电子邮件和事件过滤器为
分配角色或更新角色来访问安全 > 调查工具,以确定最近是否更新了新的云角色。 - 在确定了相关用户帐户后,查看过去 48 小时内其他可能相关的事件。
- 重新评估 Marketplace 应用程序的权限和审查,以确定它们是否违反组织策略或引入意外风险。
- 通过访问 Google Workspace 管理控制台,访问
应用程序 > Google Workspace Marketplace 应用程序,确定应用程序是全域安装还是单独安装。
误报分析
- Google Workspace 管理员可能会由于重新评估或全域需要该应用程序而有意地从阻止列表中删除应用程序。
- 识别与此操作关联的用户帐户,并评估他们对 Google Workspace Marketplace 的管理权限。
- 联系用户以验证他们是否故意从阻止列表中删除了该应用程序以及他们的理由。
响应和补救
- 根据分类的结果启动事件响应过程。
- 在调查和响应期间禁用或限制该帐户。
- 确定事件的可能影响并相应地确定优先级;以下操作可以帮助您获得上下文
- 识别云环境中的帐户角色。
- 评估受影响的服务和服务器的关键性。
- 与您的 IT 团队合作,以识别并最大限度地减少对用户的影响。
- 确定攻击者是否在横向移动并危及其他帐户、服务器或服务。
- 确定与此活动相关的任何监管或法律后果。
- 调查攻击者入侵或使用的系统上的凭证泄露情况,以确保识别所有受损帐户。 根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。 与您的 IT 团队合作,以最大限度地减少这些操作期间对业务运营的影响。
- 审查分配给相关用户的权限,以确保遵循最小特权原则。
- 实施 Google 概述的安全最佳实践。
- 确定攻击者滥用的初始向量,并采取行动以防止通过同一向量重新感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
关于 Google Workspace 事件延迟时间的重要信息
- 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间和事件在 Google Workspace 管理/审核日志中可见的时间之间存在几分钟到 3 天的延迟时间。
- 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
- 为了降低误报的风险,请考虑减少 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的间隔。
- 默认情况下,
var.interval设置为 2 小时 (2h)。 请考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。 - 有关更多信息,请参见以下参考资料
- https://support.google.com/a/answer/7061566
- https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html
设置
编辑需要 Google Workspace Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。
规则查询
编辑event.dataset:"google_workspace.admin" and event.category:"iam" and event.type:"change" and event.action:"CHANGE_APPLICATION_SETTING" and google_workspace.admin.application.name:"Google Workspace Marketplace" and google_workspace.admin.old_value: *allowed*false* and google_workspace.admin.new_value: *allowed*true*
框架: MITRE ATT&CKTM
-
策略
- 名称:防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:损害防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
-
子技术
- 名称:禁用或修改工具
- ID: T1562.001
- 参考 URL: https://attack.mitre.org/techniques/T1562/001/