通过 Google Workspace 转移 Google 云端硬盘所有权
编辑通过 Google Workspace 转移 Google 云端硬盘所有权编辑
云端硬盘和文档是 Google Workspace 的一项服务,允许用户利用 Google 云端硬盘和 Google 文档。 对文件的访问权限基于用户所属子级组织单位的继承权限,该权限由管理员设置。 通常,如果用户被删除,管理员可以将其文件转移给另一个用户。 攻击者也可以滥用此服务,将文件转移到攻击者帐户以进行潜在的数据窃取。
规则类型:查询
规则索引:
- filebeat-*
- logs-google_workspace*
严重程度:中等
风险评分: 47
运行频率:10 分钟
搜索索引的时间范围:now-130m(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:Google Workspace
- 策略:收集
- 资源:调查指南
版本: 106
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南编辑
分类和分析
调查通过 Google Workspace 转移 Google 云端硬盘所有权
Google 云端硬盘是一种云存储服务,允许用户存储和访问文件。 拥有 Google Workspace 帐户的用户可以使用它。
Google Workspace 管理员在为文件或共享云端硬盘分配权限时,会考虑用户的角色和组织单位。 敏感文件和文件夹的所有者可以向发出内部或外部访问请求的用户授予权限。 攻击者会滥用此信任系统,利用范围设置不当的权限和共享设置访问 Google 云端硬盘资源。 分发网络钓鱼电子邮件是另一种常见的共享恶意 Google 云端硬盘文档的方法。 通过这种方法,攻击者的目标是在外部实体授予所有权时继承收件人的 Google Workspace 权限。
此规则识别 Google Workspace 组织中共享云端硬盘的所有权何时转移给另一个内部用户。
可能的调查步骤
- 在管理控制台中,查看相关用户帐户的管理员日志。 要查找管理员日志,请转到
安全 > 报告 > 审计和调查 > 管理员日志事件。 - 确定相关用户帐户是否处于活动状态。 要查看用户活动,请转到
目录 > 用户。 - 检查相关用户帐户是否最近被禁用,然后又重新启用。
- 查看相关用户帐户是否存在权限或角色配置错误的可能性。
- 查看相关的共享云端硬盘或文件以及相关政策,以确定此操作是否预期且适当。
- 如果是共享云端硬盘,请在
应用 > Google Workspace > 云端硬盘和文档 > 管理共享云端硬盘中根据组织单位设置访问要求。 - 根据涉及的用户对可能相关的警报进行分类。 要查找警报,请转到
安全 > 警报。
误报分析
- 转移云端硬盘需要与 Google 云端硬盘相关的 Google Workspace 管理权限。 检查此操作是否是请求者计划/预期执行的,并且是否正确定向了正确的接收者。
响应和修复
- 根据分类结果启动事件响应流程。
- 在调查和响应期间禁用或限制帐户。
- 确定事件的可能影响并确定优先级;以下操作可以帮助您了解上下文
- 确定帐户在云环境中的角色。
- 评估受影响的服务和服务器的重要性。
- 与您的 IT 团队合作,确定并最大程度地减少对用户的影响。
- 确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
- 确定与此活动相关的任何监管或法律后果。
- 调查在受攻击者入侵或使用的系统上是否存在凭据泄露,以确保识别所有受入侵的帐户。 根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。 在执行这些操作期间,与您的 IT 团队合作,最大程度地减少对业务运营的影响。
- 查看分配给相关用户的权限,以确保遵循最小权限原则。
- 实施 Google 概述 的安全最佳做法。
- 确定攻击者滥用的初始途径,并采取行动防止通过同一途径再次感染。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
有关 Google Workspace 事件延迟时间的重要信息
- 根据 Google 的文档,Google Workspace 管理员可能会观察到,从事件发生到事件在 Google Workspace 管理员/审计日志中可见之间存在几分钟到 3 天不等的延迟时间。
- 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
- 为了降低漏报的风险,请考虑缩短 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的时间间隔。
- 默认情况下,
var.interval设置为 2 小时 (2h)。 考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。 - 有关详细信息,请参阅以下参考资料
- https://support.google.com/a/answer/7061566
- https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html
设置编辑
必须使用 Google Workspace Fleet 集成、Filebeat 模块或类似的结构化数据才能与此规则兼容。
规则查询编辑
event.dataset:"google_workspace.admin" and event.action:"CREATE_DATA_TRANSFER_REQUEST" and event.category:"iam" and google_workspace.admin.application.name:Drive*
框架:MITRE ATT&CKTM
-
策略
- 名称:收集
- ID:TA0009
- 参考网址:https://attack.mitre.org/tactics/TA0009/
-
技术
- 名称:已暂存数据
- ID:T1074
- 参考网址:https://attack.mitre.org/techniques/T1074/
-
子技术
- 名称:远程数据暂存
- ID:T1074.002
- 参考网址:https://attack.mitre.org/techniques/T1074/002/