第三方应用程序首次出现 Google Workspace OAuth 登录
编辑第三方应用程序首次出现 Google Workspace OAuth 登录编辑
检测第三方应用程序首次登录并通过 OAuth 进行身份验证。OAuth 用于授予对 Google Workspace 中特定资源和服务的权限。泄露的凭据或服务帐户可能会让攻击者以有效用户的身份向 Google Workspace 进行身份验证并继承其权限。
规则类型:new_terms
规则索引:
- filebeat-*
- logs-google_workspace*
严重性:中等
风险评分: 47
运行间隔:10 分钟
搜索的索引范围:now-130m(日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:Google Workspace
- 战术:防御规避
- 战术:初始访问
版本: 3
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
设置
关于 Google Workspace 事件延迟时间的重要信息
- 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间与事件在 Google Workspace 管理/审计日志中可见时间之间存在几分钟到 3 天的延迟。
- 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
- 为了降低误报的风险,请考虑缩短 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的时间间隔。
- 默认情况下,
var.interval设置为 2 小时 (2h)。考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。 - 有关更多信息,请参阅以下参考
- https://support.google.com/a/answer/7061566
- https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html
设置编辑
Google Workspace Fleet 集成、Filebeat 模块或类似结构的数据需要与此规则兼容。
规则查询编辑
event.dataset: "google_workspace.token" and event.action: "authorize" and google_workspace.token.scope.data.scope_name: *Login and google_workspace.token.client.id: *apps.googleusercontent.com
框架:MITRE ATT&CKTM
-
战术
- 名称:防御规避
- ID:TA0005
- 参考网址:https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:使用备用身份验证材料
- ID:T1550
- 参考网址:https://attack.mitre.org/techniques/T1550/
-
子技术
- 名称:应用程序访问令牌
- ID:T1550.001
- 参考网址:https://attack.mitre.org/techniques/T1550/001/
-
战术
- 名称:初始访问
- ID:TA0001
- 参考网址:https://attack.mitre.org/tactics/TA0001/
-
技术
- 名称:有效帐户
- ID:T1078
- 参考网址:https://attack.mitre.org/techniques/T1078/
-
子技术
- 名称:云帐户
- ID:T1078.004
- 参考网址:https://attack.mitre.org/techniques/T1078/004/