Чем грозит открытие ип на себя: Предлагают открыть ИП на мое имя за деньги: чем мне это грозит?

Содержание

Что делать, если на ваше имя открыли фирму-однодневку?

Что делать, если вы вдруг узнаете, что на ваше имя оформлена какая-то фирма, либо, допустим, окажется, что вы входите в число учредителей компании, о которой впервые слышите. На первый взгляд кажется, что эта ситуация невозможна, однако судебная практика показывает, что такое случается. Естественно, речь идет о фирмах-однодневках, специально созданных для проведения каких-то мошеннических схем, например, обналичивания денег. Разбираться с этой ситуацией нужно сразу, чтобы потом не пришлось отвечать в суде за тех, кто использовал ваше имя. Итак, рассказываем по порядку — кто виноват, и что делать.

Как можно оформить фирму на человека, да так, что он об этом и не догадается? Все очень просто – мошенникам достаточно завладеть персональными данными, а именно – оригиналом, копией или фото вашего паспорта. Аналогично можно незаконно включить владельца паспортных данных в число соучредителей компании или назначить директором фирмы.

Что же делать, если мошенники втихую использовали ваши персональные данные для незаконного создания юридического лица?

  • Во-первых, обращайтесь за юридической помощью к адвокату. Он подскажет – как составить заявления, жалобы и другие документы, а также сориентирует, что нужно будет говорить;

  • Во-вторых, пишите заявление. В нем необходимо подробно рассказать – как вам стало известно о том, что вы являетесь учредителем или директором какой-то фирмы. Если вы теряли паспорт, то не забудьте упомянуть об этом. Обязательно подтвердите, что никогда не имели ни желания, ни возможности участвовать в деятельности данной фирмы. Заявление лучше всего распечатать в нескольких экземплярах, подписав в правом верхнем углу: «По месту требования» и заверить все экземпляры у нотариуса. Далее документы нужно направить в налоговую и в банк, где у компании открыт счет. Кроме того, заявление или его заверенная копия понадобится в полиции и может пригодиться при обращении в другие госорганы;

  • В-третьих, обращайтесь в ближайший отдел МВД с адвокатом и требуйте возбуждения уголовного дела. К заявлению необходимо будет приложить доказательства утери паспорта, если этот факт имел место, такую справку можно получить в МФЦ. Скорее всего, в полиции по вашему обращению проведут проверку, сделают запрос в налоговую, после чего вас могут «отправить», сказав, что ответа из налоговой нет, и оснований для возбуждения дела маловато. Вот здесь вам и понадобится адвокат – чтобы юридическим языком потребовать процессуального решения по вашему заявлению. В отделе МВД вы должны либо получить постановление о возбуждении уголовного дела, либо об отказе. Если это будет все-таки отказ, то готовьтесь его обжаловать.

  • В-четвёртых, необходимо обратиться в налоговую инспекцию. Приходить в ИФНС лично особой нужды нет – скачайте на сайте ведомства форму заявления физического лица о недостоверности сведений о нем в реестре, заполните документ, заверьте его у нотариуса и отправьте документ в ближайшем отделении почты письмом с описью и с заказным уведомлением о вручении. Официальный ответ от ведомства должен поступить в течение 30 дней.
  • Далее следите за развитием ситуации. Ваша цель – запись о совсем не вашей фирме в реестре о недостоверных данных, что в конечном итоге приведет к ликвидации данного юрлица. Если реакции нет, или из ИФНС приходит отписка, необходимо это обжаловать — в прокуратуре или вышестоящей инстанции.

Советуем учесть важный момент при обращении в налоговую, полицию или прокуратуру: ни в коем случае не пишите, что вы являетесь «подставным», «номинальным» или «фиктивным» руководителей компании. Дело в том, что юридический смысл этих понятий как раз-таки говорит о вашей причастности к деятельности мошеннической фирмы. А вам нужно доказать обратное – вы никакого отношения к ООО не имеете и не имели. Из этих же соображений не надо самостоятельно обращаться в суд, чтобы получить решение о прекращения регистрации юридического лица от имени ее директора, также не пытайтесь выйти из состава учредителей, ликвидировать фирму-однодневку или заявлять о банкротстве.

Рекомендуем также не пересылать фото паспорта через незащищенные мессенджеры, не размещать фото своих документов на Гугл Диск, Дропбокс и другие ресурсы, которые доступны по прямой ссылке, а доступ к ним предоставлять только нужным людям по приглашению.

Помните – вы ничего не создавали, никаких документов не подписывали, ни о чем не знали и нигде не участвовали!

Открытие ИП в Казахстане

Зачем открывать ИП в Казахстане? 

Чтобы заниматься бизнесом, нужно открыть ИП – эту фразу слышат все начинающие предприниматели. Но так ли необходимо регистрировать свое дело в налоговой? Неужели нельзя избежать всех этих налогов, отчислений и отчетов? Кому хочется тратить столько времени на учет, да еще и отдавать проценты от своего дохода государству! Зачем регистрировать ИП, когда можно работать неофициально?

Мы понимаем вашу настороженность, но не все так страшно. Не все самозанятые люди обязаны регистрировать себя как индивидуального предпринимателя. Все зависит от уровня вашего дохода и масштаба вашего дела. Так кому же нужно регистрироваться в налоговой? Давайте разберемся вместе. 

Вам необязательно открывать ИП, если:

  • Вы работаете на самого себя и ваш годовой доход не превышает 510 000 тг
  • Вы сдаете в аренду недвижимость, но в этом случае нужно уплачивать имущественный налог
  • Вы являетесь плательщиком ЕСП (подходит фермерам и домашнему ателье)
  • Ваш доход облагается налогом со стороны ваших партнеров
  • Вы являетесь фрилансером и получаете доход из-за границы

По закону Вам необходимо зарегистрировать ИП, если:

  • У вас есть сотрудники
  • Ваш годовой доход выше 12 МЗП или 510 000 тг
  • Вы сотрудничаете с юридическими лицами


Предположим, у вас семейный бизнес (магазинчик у дома) или инстаграм-магазин, и вы не используете труд наемных работников. Нужно ли вам открывать ИП? Да, если вы продаете подакцизную продукцию и за год ваш бизнес зарабатывает больше 510 000 тг.

Однако вам не нужно оформлять ИП, если вы самостоятельно выращиваете и продаете сельскохозяйственную продукцию исключительно физическим лицам. В этом случае вы можете стать плательщиком Единого совокупного платежа. Также этот вариант подходит самозанятым людям, предоставляющим услуги на дому: швеям, репетиторам, массажистам, визажистам. Использовать ЕСП могут и арендодатели, сдающие имущество физическим лицам. Доход плательщиков ЕСП не должен превышать 3 427 475 тенге.

Преимущества ИП

Став индивидуальным предпринимателем, вы сможете рассчитывать на правовую защиту и финансовую поддержку от государства. В частности, государственные фонды помогают малому и среднему бизнесу получать льготное кредитование на развитие предприятия по сниженным ставкам. Предоставляются регулярные субсидии, выделяются гранты на старт бизнеса, проходят консультативные и обучающие работы с начинающими предпринимателями.

Открыв ИП, вы сможете развивать свое дело и увеличивать прибыль, сотрудничая с крупными компаниями, которые работают исключительно на официальном уровне. Заключение договоров с партнерами обезопасит и вас самих. В случае возникновения спорной ситуации официальный договор станет вашим союзником. 

К сожалению, многие начинающие предприниматели работают с партнерами «на словах». Обязательства и условия сотрудничества не прописываются в бумажном соглашении, в результате чего неосторожный бизнесмен рискует потерять свою часть прибыли или столкнуться с некачественным обслуживанием со стороны партнера. Свою правоту без официального договора не доказать. Как выход — открыть ИП и работать безопасно.

Помимо этого, ИП позволит вам фиксировать собственный трудовой стаж и самостоятельно совершать пенсионные и социальные отчисления. Индивидуальные предприниматели оплачивают налоги по минимальным ставкам (от 2% до 10%). 

Величина процента подоходного налога зависит от выбранного режима налогообложения, который в свою очередь отталкивается от суммы годового дохода предпринимателя.

Что грозит незарегистрированным бизнесменам?

Важно отметить, что предпринимателю нужно встать на налоговый учет еще и за тем, чтобы избежать штрафов и административной ответственности, тем самым сохранив свою репутацию и честно заработанный доход. В Кодексе административных правонарушений РК в статьях 269 и 270 прописаны штрафы за несоблюдение налогового режима.

Так, например, за занятие незарегистрированной предпринимательской деятельностью физическому лицу грозит штраф в 15 МРП или 43 755 тг, в то время как субъект малого предпринимательства будет оштрафован уже на 25 МРП или 72 925 тг. За повторное нарушение сумма штрафа удваивается. 

Занимаясь бизнесом в соответствии с требованиями законодательства РК, вы сможете сосредоточиться на развитии своего дела и отпустить страх внезапного визита налоговой инспекции.

Что нужно, чтобы открыть ИП в Казахстане?

Процесс оформления ИП не отнимет у вас много времени. Сейчас у вас есть возможность пройти быструю регистрацию как в налоговом управлении по месту жительства, так и на интернет-портале elisence.kz. Всю подробную информацию об открытии ИП вы найдете на сайте egov.kz

Для оформления ИП в налоговом управлении нужно представить удостоверение личности и заполнить уведомление о начале предпринимательской деятельности.

При онлайн-регистрации, помимо удостоверения личности, вам понадобится и ЭЦП (электронная подпись), которую можно оформить в ЦОНе или на портале электронного правительства. Далее нужно лишь выбрать один из режимов налогообложения и вперед к успеху!

Важно знать: 20 апреля 2020 года правительство РК издало постановление, согласно которому «ИП и ТОО, применяющие СНР (специальные налоговые режимы) на основе упрощенной декларации, освобождаются от уплаты налога 3% в период с 1 января 2020 года до 1 января 2023 года». Под эту программу попадают 29 видов малого и среднего бизнеса – полный список ищите на сайте primeminister.kz.

Kassa24 Business с вами

Бизнес – это океан, в котором ловкий и удачливый предприниматель может поймать золотую рыбку, но этот океан таит в себе и подводные камни.

Никто не отберет ваш улов, если вы будете вести предпринимательскую деятельность в соответствии с законом. Только работая официально, вы сможете стать «большой рыбой» в океане торговли и предоставления услуг. Ведь не зря успешных предпринимателей называют акулами бизнеса.

Команда Kassa24 Business желает вам попутного ветра!

Можно ли снова открыть закрытое ИП

Непростая экономическая ситуация в стране и несовершенство законодательной базы приводят к тому, что предприниматели пытаются при помощи закрытия ИП и повторной его регистрации решить некоторые свои проблемы. При этом многие предприниматели интересуются, как скоро они имеют право повторно открыть ИП после закрытия. Чтобы ответить на этот вопрос, необходимо разобраться в причинах, по которым ИП было ликвидировано, и как происходил процесс ликвидации.

Почему предприниматели закрывают и сразу открывают ИП

Причина, по которой граждане решают заняться предпринимательской деятельностью, понятна всем. Она заключается в желании организовать свой бизнес. А вот причин для закрытия ИП может быть множество:

  • Экономическая несостоятельность
  • Отсутствие доходов
  • Желание сменить род деятельности
  • Переход на другую систему налогообложения

Количество желающих узнать, как прекратить коммерческую деятельность, постоянно растёт. Некоторые из них на самом деле не желают больше заниматься предпринимательством, а другие хотят продолжить свою коммерческую деятельность, но на более выгодных для себя условиях. Именно последние интересуются,можно ли открыть ип после закрытия  и разрешены ли подобные действия по закону.

Любые действия, связанные с началом или прекращением деятельности, фиксируются документально. Все физические лица-предприниматели и юридические лица обязаны пройти регистрацию в налоговом органе.

Важно! С юридической точки зрения такого понятия как «закрытие ИП» не существует. Налоговая служба процесс прекращения деятельности юридических лиц называет ликвидацией, а физическими лицами-предпринимателями – аннулированием регистрации. Термин «закрытие ИП» употребляется потому, что он более удобен. Он подразумевает полную или частичную остановку деятельности индивидуального предпринимателя.

Действительно, законом предусмотрена возможность открыть закрытое ИП. К физическим лицам, осуществляющим коммерческую деятельность, государство относится достаточно лояльно. ИП находятся в самом низу пирамиды частного бизнеса. К ним относятся, как правило, небольшие производственные цеха, торговые точки на рынках, предприятия сферы услуг. Нельзя сказать, чтобы они обладали значительными имущественными или денежными ресурсами. Поэтому ИП наиболее чувствительны к переменам в сфере экономики. Одни предприятия не выдерживают конкуренции, другие хотят заняться новым бизнесом. Гибкость закона позволяет ИП быстро изменить направление развития бизнеса и занять более выгодную нишу.

Через сколько времени можно повторно открыть ИП после закрытия?

Аннулирование регистрации происходит как в добровольном порядке, так и по решению суда. Это является ключевым моментом для тех, кто разбирается с вопросом, когда он снова сможет открыть закрытое ИП. При повторном открытии ИП очень важно добровольно ли физическое лицо прекратило свою коммерческую деятельность или по решению суда. Судебные тяжбы по поводу аннулирования регистрации ИП проводятся в таких случаях:

  • Предприниматель не в состоянии уплатить в бюджет необходимые суммы налогов и сборов
  • Состояние бизнеса не позволяет погасить долги

Если в результате судебного разбирательства будет принято решение о том, что ИП ликвидируется, то снова зарегистрироваться физическое лицо сможет только по истечении 12 месяцев. Когда срок на запрет ведения коммерческой деятельности истечёт, можно будет повторно пройти процедуру регистрации и открыть закрытое ИП.

Важно! Если ИП было ликвидировано добровольно, то вновь зарегистрировать его можно в тот же день. Прибегать к такой мере удобно тем, кто хочет сменить вид деятельности или форму собственности.

В этом случае достаточно пройти стандартную процедуру аннулирования ИП, а затем повторную регистрацию. Конечно, это касается только тех ИП, которые не имеют долгов перед:

  • Государственным бюджетом
  • Поставщиками
  • Посредниками
  • Подрядчиками
  • Заказчиками товаров
  • Потребителями услуг

Особенности открытия ИП после закрытия

Важно! Когда физическое лицо прошло процедуру аннулирования регистрации ИП, оно имеет право по закону приступить к оформлению документов, нужных для регистрации. Поскольку вы проходите регистрацию не в первый раз, то уже знаете, что её проводит орган налоговой службы, к которому вы относитесь по месту прописки.

Перечень документов, который вы подготавливаете, соответствует перечню тех документов, которые вы предоставляли для первичной регистрации. Он включает в себя паспорт и его ксерокопию, справку об отсутствии задолженности, квитанцию об оплате государственной пошлины и заявление.

Точно так же, как и при первичном открытии ИП, вы можете пройти эту процедуру самостоятельно или при помощи доверенных лиц. Ими могут быть ваши знакомые, на которых оформлена доверенность, или представители юридической компании. Обычно к помощи профессионалов прибегают те, кто не уверен в правильности своих действий.

Иногда предприниматели интересуются, нельзя ли пройти повторную регистрацию по упрощённой схеме. К сожалению, подобных процедур не предусмотрено. Вне зависимости от того, в какой раз вы регистрируете ИП, все действия нужно повторять заново.

Таким образом, чтобы вновь открыть закрытое ИП, никаких специальных разрешений не нужно. Но и ускоренная регистрация для тех, кто уже проходил её ранее, не предусмотрена. Процедура повторного оформления ИП полностью совпадает с первичной регистрацией.

Если вы не имеете долгов, то сделать это можно сразу после того, как предыдущая регистрация будет аннулирована. Исключение составляют физические лица, которым запрещено заниматься коммерческой деятельностью по решению суда.

Юрий Муранов

Главный редактор #ВЗО. Работает на сайте с момента основания. Через Юрия проходят все тексты перед размещением на сайте. Быстро вникает в темы, на которые пишут авторы, включая финансовую, и следит за качеством публикуемых материалов.

yurimuranov@vsezaimyonline.ru

(21 оценок, среднее: 4.3 из 5)

ИП после банкротства физического лица

Как вести бизнес, если был признан банкротом? Можно ли открыть ИП после банкротства? Через какой срок?

Ответы на эти вопросы в интернете есть, но они противоречивы. Где-то говорится про один год, где-то про пять лет.

В этой статье вы найдёте ответы на вопросы о том, можно ли зарегистрироваться как ИП после банкротства физического лица, что там со сроками и что происходит с «предпринимательскими» и «обычными» долгами ИП в процедуре банкротства.

Банкротство индивидуального предпринимателя: интересный юридический казус, который знают не все

У человека, который зарегистрирован как ИП, могут быть «обычные» долги (например, потребительский кредит или долг по коммунальным платежам) и долги, связанные с предпринимательской деятельностью (получил товар, но не расплатился с поставщиком). Из-за этого иногда возникает путаница.

Но когда человек со статусом ИП идёт на банкротство, то разницы между его «ПЫшными» и «обычными» долгами нет. Списаны будут и те и другие. Кроме некоторых, например, алиментов или долгов из-за причинения вреда. Но эти долги опять же не имеют отношения к тому, имеет человек статус предпринимателя или нет.

Когда Арбитражный суд признаёт предпринимателя банкротом и начинает реализацию его имущества, статус ИП прекращается. То есть предприниматель «превращается» в человека без статуса ИП (п.1 ст.216 закона «О несостоятельности (банкротстве)».

Арбитражный суд направляет копию решения о признании предпринимателя банкротом в налоговую, а та вносит в ЕГРИП запись, что такой-то такой-то больше не предприниматель.

Но есть интересный момент. Предприниматель может сам, до обращения в Арбитражный суд, отказаться от статуса предпринимателя. И обратиться за самобанкротством, будучи уже «обычным» человеком без статуса ИП.

Получается, у предпринимателя есть выбор:

  • обратиться в АС за банкротством, будучи предпринимателем;
  • отказаться от статуса ИП и обратиться в АС за банкротством, будучи «просто» гражданином.

Что лучше? Мы считаем, что лучше банкротиться без статуса ИП. Почему? Об этом ниже.

Можно ли открыть ИП, если гражданин был признан банкротом?

Можно. Последствия признания банкротом гражданина без статуса ИП прописаны в ст. 213.30 Закона «О несостоятельности (банкротстве)». Запрета на регистрацию ИП после банкротства физического лица в законе нет. Поэтому хоть на следующий день после завершения реализации имущества можно отправлять в налоговую документы на регистрацию предпринимателем.

Что нельзя, так это становиться директором юридического лица или членом совета директоров. А предпринимателем — можно. То есть на вопрос «через сколько после банкротства можно открыть ИП» ответ чёткий и однозначный — сразу. При условии, что гражданин банкротился, не имея статуса ИП.

Можно ли открыть ИП, если гражданин был признан банкротом, как предприниматель?

Тоже можно, но только через 5 лет после завершения реализации имущества. Так сказано в ст. 216 Закона.

Иными словами:

  • если человек заявляет о своём банкротстве, будучи предпринимателем, то предпринимательский статус он теряет, а снова зарегистрировать как ИП можно будет только через 5 лет;
  • если человек заявляет о своём банкротстве, будучи «просто» гражданином, то есть без статуса ИП, то он может регистрировать как ИП хоть на следующий день после завершения процедуры банкротства.

Вот поэтому мы считаем, что есть смысл сначала добровольно лишиться статуса предпринимателя, а потом только заявлять о своём банкротстве. Если вы, конечно, планируете заниматься предпринимательством после банкротства.

В интернете пишут про запрет становиться предпринимателем после банкротства. Только сроки называют разные — то ли 5 лет, то ли 1 год

Действительно, путаница есть. В каких-то статьях пишут, что запрет становиться ИП после банкротства предпринимателя — 5 лет, где-то — что один год. На самом деле эти сроки — про разные вещи. Сейчас поясним.

Сначала процитируем закон «О государственной регистрации юридических лиц и индивидуальных предпринимателей»:

В течение года со дня признания индивидуального предпринимателя банкротом не допускается его повторная госрегистрация в качестве ИП.

Что это значит? Когда Арбитражный суд понимает, что предпринимателю нечем платить по долгам, он объявляет предпринимателя банкротом. Именно об этом и сказано в статье выше. После объявления банкротства начинается реализация имущества уже бывшего предпринимателя.

Но процедура реализации имущества (продажи имущества с молотка) только начинается. При признании ИП банкротом он перестаёт быть ИП. Поэтому статья выше нужна, чтобы предприниматель, ставший банкротом (и переставший быть предпринимателем) не смог тут же зарегистрироваться как предприниматель опять.

А статья про 5-летний запрет быть ИП — это когда реализация имущества завершена:

В течение пяти лет с даты завершения в отношении индивидуального предпринимателя процедуры реализации имущества или прекращения производства по делу о банкротстве в ходе такой процедуры он не вправе осуществлять предпринимательскую деятельность.

То есть сначала предпринимателя признают банкротом, и начинает течь годичный срок запрета регистрировать ИП, а потом, когда завершается реализация его имущества, начинает течь уже 5-летний срок запрета регистрировать как ИП. Эти сроки перетекают один в другой.

Выводы

Если гражданин со статусом предпринимателя заявляет в АС о своём банкротстве, то он перестаёт быть предпринимателем, когда АС признаёт его банкротом. В таком случае в течение 5-ти лет этот человек не сможет снова стать ИП.

Если на банкротство идёт человек без статуса предпринимателя, то, став банкротом и завершив реализацию имущества, этот человек может зарегистрироваться предпринимателем хоть на следующий день.

Долги ИП после банкротства списываются точно так же, как и долги гражданина без статуса ИП. Не имеет значения, «предпринимательские» это долги или нет.

статьи, оценки, аналитика мирового финансового рынка, котировки валют и котировки акций в реальном времени на finanz.ru

Основные биржевые котировки

Индекс ММВБ

3 546,62

0,00%

23:59:59

Индекс PTC

1 470,10

-4,96%

18:50:00

DOW.J

34 707,30

-0,09%

00:00:06

S&P 500

4 413,37

-0,12%

00:00:06

NIKKEI

26 949,30

-2,76%

00:00:06

DAX

15 166,50

-1,68%

00:00:06

ESTX50

4 075,42

-1,92%

00:00:06

EUR/RUB

87,0763

-0,73%

15:28:31

USD/RUB

76,7530

-0,05%

15:28:31

CHF/RUB

82,8526

-0,08%

15:28:31

GBP/RUB

104,0617

-0,09%

15:28:31

BTC/USD

42 552,19

0,74%

15:12:50

BCC/USD

326,7131

-0,56%

15:12:50

ETH/USD

2 935,13

0,47%

15:12:50

Золото

1 861,61

0,16%

23:57:54

Серебро

23,62

0,21%

23:57:54

Медь

4,47

-99,96%

00:00:06

Нефть

94,99

-0,12%

00:00:06

Обзор обнаружения угроз события  | Центр управления безопасностью  | Облако Google

Важно: Эта функция доступна только для Центр управления безопасностью уровня Premium.

Что такое обнаружение угроз событий?

Event Threat Detection — это встроенная служба уровня Premium Центра управления безопасностью, которая постоянно отслеживает вашу организацию и выявляет угрозы в вашей системы в режиме, близком к реальному времени. Event Threat Detection регулярно пополняется новыми детекторы для выявления возникающих угроз в облачном масштабе.

Как работает обнаружение угроз событиями

Event Threat Detection отслеживает Поток облачного ведения журналов и Журналы рабочей области Google, и потребляет журналы для ваших проектов по мере их появления. Cloud Logging содержит записи журнала вызовов API и других действий, которые создавать, читать или изменять конфигурацию или метаданные ваших ресурсов. Журналы Google Workspace отслеживают вход пользователей в ваш домен и предоставляют запись действий, выполненных в консоли администратора Google Workspace.

Записи журнала содержат информацию о состоянии и событиях, которую функция обнаружения угроз использует для быстро обнаруживать угрозы. Event Threat Detection применяет логику обнаружения и проприетарная аналитика угроз, включая сопоставление индикаторов натяжения, оконный профилирование, расширенное профилирование, машинное обучение и обнаружение аномалий, чтобы выявлять угрозы практически в реальном времени.

Когда Event Threat Detection обнаруживает угрозу, она записывает вывод в Центр управления безопасностью и в проект Cloud Logging.Из облачного ведения журнала и Google Workspace, вы можете экспортировать результаты в другие системы с помощью Pub/Sub и обрабатывать их с помощью облачных функций.

Кроме того, вы можете использовать Хронику для исследовать некоторые выводы. Хроника — это Google Cloud служба, которая позволяет вам исследовать угрозы и перемещаться по связанным сущностям в единая временная шкала. Для получения инструкций по отправке результатов в Хроника, см. Расследование находок в Хронике.

Возможность просмотра и редактирования результатов и журналов определяется Роли управления идентификацией и доступом (IAM), которые вам предоставлены.Для получения дополнительной информации о Роли IAM Центра управления безопасностью см. в разделе Управление доступом.

Правила обнаружения угроз событий

Правила определяют тип угроз, которые обнаруживает обнаружение угроз по событию, и типы журналов, которые должны быть включены для работы детекторов. Действия администратора аудит логи пишутся всегда; вы не можете настроить или отключить их.

Event Threat Detection включает следующие правила по умолчанию:

Отображаемое имя Имя API Типы источников журналов Описание
Активное сканирование: Log4j уязвим для RCE Недоступно Журналы Cloud DNS
Примечание: Вы должны включить ведение журнала Cloud DNS использовать это правило.
Обнаруживает активные уязвимости Log4j, идентифицируя DNS-запросы для необфусцированные домены, инициированные поддерживаемой уязвимостью Log4j сканеры.
Брутфорс SSH BRUTE_FORCE_SSH системный журнал Обнаружение успешного перебора SSH на хосте.
Доступ к учетным данным: внешний член добавлен в привилегированную группу EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Журналы Google Workspace:
Аудит входа
Разрешения:
DATA_READ

Обнаруживает, когда внешний член добавляется в привилегированную группу Google (группа, которой предоставлены конфиденциальные роли или разрешения).Находка создается только в том случае, если группа еще не содержит других внешних участников из той же организации, что и вновь добавленный член. Чтобы узнать больше, см. Небезопасные изменения группы Google.

Выводы классифицируются как Высокий или Средняя серьезность, в зависимости от чувствительности роли, связанные с изменением группы. Для получения дополнительной информации см. Чувствительный IAM роли и разрешения.

Доступ к учетным данным: привилегированная группа открыта для всех PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Аудит администратора
Разрешения:
DATA_READ

Обнаруживает, когда привилегированная группа Google (группа, которой предоставлены конфиденциальные роли или разрешения) изменен, чтобы быть доступным для широкой публики.К узнать больше, см. Небезопасные изменения группы Google.

Выводы классифицируются как Высокий или Средняя серьезность, в зависимости от чувствительности роли, связанные с изменением группы. Для получения дополнительной информации см. Чувствительный IAM роли и разрешения.

Доступ к учетным данным: конфиденциальная роль предоставлена ​​гибридной группе SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Журналы облачного аудита:
Журналы действий администратора

Обнаруживает, когда конфиденциальные роли предоставляются группе Google с внешними члены.Чтобы узнать больше, см. Небезопасные изменения группы Google.

Выводы классифицируются как Высокий или Средняя серьезность, в зависимости от чувствительности роли, связанные с изменением группы. Для получения дополнительной информации см. Чувствительный IAM роли и разрешения.

Обнаружение: самоанализ служебной учетной записи SERVICE_ACCOUNT_SELF_INVESTIGATION Журналы облачного аудита:
Журналы доступа к данным Resource Manager
Разрешения:
DATA_READ

Обнаружение учетных данных служебной учетной записи IAM, используется для исследования ролей и разрешений, связанных с этим же сервисный счет.

Чувствительные роли Предварительный просмотр

Выводы классифицируются как Высокий или Средняя серьезность, в зависимости от чувствительности предоставленные роли. Для получения дополнительной информации см. Чувствительный IAM роли и разрешения.

Уклонение: доступ с анонимного прокси-сервера АНОМАЛЬНЫЙ_ДОСТУП Журналы облачного аудита:
Журналы действий администратора
Обнаружение модификаций службы Google Cloud, созданных из анонимные IP-адреса прокси, такие как IP-адреса Tor.
Эксфильтрация: эксфильтрация данных BigQuery ДАННЫЕ_EXFILTRATION_BIG_QUERY Журналы облачного аудита : Журналы доступа к данным BigQueryAuditMetadata
Разрешения :
DATA_READ
Обнаруживает следующие сценарии:
  • Ресурсы, принадлежащие защищенной организации, которые сохранены за пределами организации, включая копирование или передачу операции.
  • Попытки доступа к ресурсам BigQuery которые защищены VPC Service Controls.
Эксфильтрация: извлечение данных BigQuery
Предварительная версия
ДАННЫЕ_EXFILTRATION_BIG_QUERY_EXTRACTION Журналы облачного аудита : Журналы доступа к данным BigQueryAuditMetadata
Разрешения :
DATA_READ
Обнаруживает следующие сценарии:
  • Ресурс BigQuery, принадлежащий защищенному организация сохраняется посредством операций извлечения в Сегмент Cloud Storage за пределами организации.
  • Ресурс BigQuery, принадлежащий защищенному организация сохраняется посредством операций извлечения в общедоступном доступная корзина Cloud Storage, принадлежащая этой организации.
Эксфильтрация: данные BigQuery на Google Диск
Предварительный просмотр
DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Журналы облачного аудита : Журналы доступа к данным BigQueryAuditMetadata
Разрешения :
DATA_READ
Обнаруживает следующее:
  • Ресурс BigQuery, принадлежащий защищенному организация сохраняется с помощью операций извлечения на Google Диске папка.
Эксфильтрация: Эксфильтрация данных Cloud SQL
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Журналы облачного аудита : Журналы доступа к данным MySQL
Журналы доступа к данным PostgreSQL
Журналы доступа к данным SQL Server
Обнаруживает следующие сценарии:
  • Данные активного экземпляра экспортируются в корзину облачного хранилища за пределами организации.
  • Данные активного экземпляра экспортированы в корзину облачного хранилища, принадлежит организации и находится в открытом доступе.
Эксфильтрация: Cloud SQL Restore Backup во внешнюю организацию
Предварительная версия
CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Журналы облачного аудита : Журналы действий администратора MySQL
Журналы действий администратора PostgreSQL
Журналы действий администратора SQL Server

Обнаруживает, когда резервная копия экземпляра CloudSQL восстанавливается на экземпляр за пределами организации.

Ухудшение защиты: строгая аутентификация отключена ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Аудит администратора
Двухэтапная проверка отключена для организации.
Ухудшение защиты: двухэтапная проверка отключена 2SV_DISABLE Журналы Google Workspace:
Аудит входа
Разрешения:
DATA_READ
Пользователь отключил двухэтапную аутентификацию.
Первоначальный доступ: учетная запись отключена, взломана АККАУНТ_DISABLED_HIJACKED Журналы Google Workspace:
Аудит входа
Разрешения:
DATA_READ
Учетная запись пользователя была заблокирована из-за подозрительной активности.
Первоначальный доступ: отключена утечка пароля АККАУНТ_DISABLED_PASSWORD_LEAK Журналы Google Workspace:
Аудит входа
Разрешения:
DATA_READ
Учетная запись пользователя отключена, поскольку обнаружена утечка пароля.
Первоначальный доступ: правительственная атака GOV_ATTACK_WARNING Журналы Google Workspace:
Аудит входа
Разрешения:
DATA_READ
Злоумышленники, поддерживаемые правительством, могли попытаться скомпрометировать учетную запись пользователя или компьютер.
Первоначальный доступ: попытка компрометации Log4j Недоступно Журналы облачной балансировки нагрузки:
Cloud HTTP Load Balancer
Примечание: Чтобы использовать это, необходимо включить ведение журнала балансировки нагрузки HTTP(S) правило.
Обнаруживает интерфейс именования и каталогов Java (JNDI) поиски внутри заголовков или параметры URL. Эти запросы могут указывать на попытки эксплуатации Log4Shell. Эти находки имеют низкую серьезность, потому что они указывают только на обнаружение или попытка использования, а не уязвимость или компрометация.
Это правило всегда включено.
Первоначальный доступ: подозрительный вход заблокирован SUSPICIOUS_LOGIN Журналы Google Workspace:
Аудит входа
Разрешения:
DATA_READ
Обнаружен и заблокирован подозрительный вход в учетную запись пользователя.
Вредоносное ПО: плохой домен MALWARE_BAD_DOMAIN Журналы Cloud DNS:
Журнал действий администратора
Обнаружение вредоносного ПО на основе подключения к известному плохой домен.
Вредоносное ПО: неверный IP-адрес MALWARE_BAD_IP Журналы потоков VPC
Журналы правил брандмауэра
Журналы Cloud NAT
Обнаружение вредоносных программ на основе подключения к известному плохому IP-адресу адрес.
Вредоносное ПО: Плохой домен криптомайнинга CRYPTOMINING_POOL_DOMAIN Журналы Cloud DNS:
Журналы действий администратора
Обнаружение криптомайнинга на основе подключения или поиска известный майнинг-домен.
Вредоносное ПО: неверный IP-адрес криптомайнинга КРИПТОМАЙНИНГ_ПУЛ_IP Журналы потоков VPC
Журналы правил брандмауэра
Журналы Cloud NAT
Обнаружение криптомайнинга на основе подключения к известному IP-адресу майнинга адрес.
Исходящий DoS ИСХОДЯЩАЯ_ДОС Журналы потоков VPC Обнаружение исходящего трафика отказа в обслуживании.
Постоянство: администратор Compute Engine добавил SSH-ключ GCE_ADMIN_ADD_SSH_KEY Журналы облачного аудита:
Журналы действий администратора
Обнаружение модификации значения ключа ssh метаданных экземпляра Compute Engine на установленный экземпляр (старше 1 недели).
Постоянство: администратор Compute Engine добавил сценарий запуска GCE_ADMIN_ADD_STARTUP_SCRIPT Журналы облачного аудита:
Журналы действий администратора
Обнаружение изменения значения сценария запуска метаданных экземпляра Compute Engine на установленный экземпляр (старше 1 недели).
Постоянство: аномальный грант IAM IAM_ANOMALUS_GRANT Журналы облачного аудита:
Журналы действий администратора

Обнаружение привилегий, предоставленных IAM пользователи и учетные записи служб, не являющиеся членами организации. Примечание: Этот вывод срабатывает только для Пользователи Security Command Center с адресом электронной почты gmail.com.

Чувствительные роли Предварительный просмотр

Выводы классифицируются как Высокий или Средняя серьезность, в зависимости от чувствительности предоставленные роли. Для получения дополнительной информации см. Чувствительный IAM роли и разрешения.

Постоянство: новый метод API
Предварительный просмотр
АНОМАЛЬНОЕ_ПОВЕДЕНИЕ_НОВЫЙ_МЕТОД_API Журналы облачного аудита:
Журналы действий администратора
Обнаружение аномального использования сервисов Google Cloud сервисными аккаунтами IAM.
Постоянство: Новая география
IAM_ANOMALUS_BEHAVIOR_IP_GEOLOCATION Журналы облачного аудита:
Журналы действий администратора
Обнаружение учетных записей пользователей и служб IAM доступ к Google Cloud из аномальных мест, на основе геолокации запрашивающих IP-адресов.
Постоянство: новый пользовательский агент IAM_ANOMALUS_BEHAVIOR_USER_AGENT Журналы облачного аудита:
Журналы действий администратора
Обнаружение доступа к учетным записям службы IAM Google Cloud от аномальных или подозрительных пользовательских агентов.
Постоянство: Переключатель включения единого входа TOGGLE_SSO_ENABLED Google Workspace:
Аудит администратора
Параметр Включить SSO (единый вход) для учетной записи администратора отключен.
Постоянство: настройки единого входа изменены ИЗМЕНЕНИЕ_SSO_SETTINGS Google Workspace:
Аудит администратора
Настройки SSO для учетной записи администратора были изменены.

Чтобы создать собственные правила обнаружения, вы можете экспортировать данные журнала в BigQuery, а затем запустить уникальный или повторяющиеся SQL-запросы, фиксирующие ваши модели угроз.

Небезопасные изменения группы Google

В этом разделе объясняется, как функция обнаружения угроз событий использует журналы Google Workspace, Журналы Cloud Audit и политики IAM для обнаружения небезопасных групп Google. изменения.

клиентов Google Cloud могут использовать Google Группы для управления ролями и разрешения для участников в их организациях или применять политики доступа к коллекции пользователей.Вместо предоставления ролей непосредственно участникам, администраторы могут назначать роли и разрешения группам Google, а затем добавлять членов в определенные группы. Члены группы наследуют все роли группы и разрешения, которые позволяют участникам получать доступ к определенным ресурсам и службам.

Несмотря на то, что группы Google являются удобным способом управления доступом в масштабе, они может представлять риск, если внешние пользователи из-за пределов вашей организации или домена добавлено в привилегированную группу — группы, которым предоставлены конфиденциальные роли или разрешения.Конфиденциальные роли контролируют доступ к настройкам безопасности и сети, журналам и личной информации (PII) и не рекомендуются для внешних членов группы.

В крупных организациях администраторы могут не знать, когда внешние члены добавляются в привилегированные группы. Журналы Cloud Audit записывают предоставление ролей группам, но эти события журнала не содержат информации о членах группы, что может скрыть потенциальное влияние некоторых групповых изменений.

Если вы делитесь своими журналами Google Workspace с Google Cloud, Event Threat Detection отслеживает ваши потоки регистрации для новых участников добавлены в группы Google вашей организации.

Event Threat Detection идентифицирует внешних членов группы и с помощью Cloud Audit журналы, просматривает роли IAM каждой затронутой группы, чтобы проверить, группам предоставляются конфиденциальные роли. Эта информация используется для обнаружения следующие небезопасные изменения для привилегированных групп Google:

  • Внешние члены группы добавлены в привилегированные группы
  • Конфиденциальные роли или разрешения, предоставленные группам с внешними членами группы
  • Привилегированные группы, измененные таким образом, чтобы любой пользователь мог присоединиться

Событие обнаружения угроз записывает результаты в Центр управления безопасностью.Выводы содержат адреса электронной почты недавно добавленных внешних участников, внутренних участников группы, которые инициировать события, имена групп и конфиденциальные роли, связанные с группами. Вы можете использовать эту информацию для удаления внешних участников из групп или отзыва конфиденциальные роли, предоставленные группам.

Дополнительные сведения о результатах обнаружения угроз при событии см. в разделе Обнаружение угроз при событии. правила.

Конфиденциальные роли и разрешения IAM

Небезопасные изменения группы Google приводят к выводам только в том случае, если изменения связаны с роли с высокой или средней чувствительностью.Чувствительность ролей влияет на серьезность рейтинг, присвоенный выводам.

  • Роли с высоким уровнем конфиденциальности управляют критически важными службами в организации, включая выставление счетов, настройки брандмауэра и ведение журнала. Выводы, которые соответствие этим ролям классифицируется как Высокий уровень серьезности .
  • Роли со средним уровнем конфиденциальности имеют разрешения на редактирование которые позволяют руководителям вносить изменения в ресурсы Google Cloud; и просмотр и выполнение разрешений на службы хранения данных, которые часто содержат конфиденциальные данные.Серьезность, назначенная выводам, зависит от ресурса:
    • Если роли со средним уровнем конфиденциальности предоставляются на уровне организации, результаты классифицируются как высокая степень серьезности .
    • Если роли со средним уровнем конфиденциальности предоставляются на более низких уровнях вашего ресурса иерархии (папки, проекты и ведра, среди прочего), результаты классифицируется как Средняя серьезность.

Event Threat Detection обнаруживает небезопасные изменения группы Google, соответствующие после ролей высокой и средней чувствительности.

Таблица 2. Роли средней чувствительности
Категория Роль Описание
Редактирование ролей: ролей IAM, включающих разрешения на внесение изменений в ресурсы Google Cloud

Примеры:

ролей/storage.objectAdmin

ролей/файл.редактор

ролей/источник.писатель

роли/контейнер.разработчик

Имена ролей обычно заканчиваются такими заголовками, как Admin , Владелец , Редактор или Писатель .

Разверните узел в последней строке таблицы, чтобы увидеть Все роли средней чувствительности

ролей хранилища данных: ролей IAM, которые включать разрешения на просмотр и выполнение служб хранения данных

Примеры:

ролей/cloudsql.зритель

ролей/cloudsql.client

ролей/bigquery.dataViewer

ролей/bigquery.user

ролей/spanner.databaseReader

ролей/spanner.databaseUser

Разверните узел в последней строке таблицы, чтобы увидеть Все роли средней чувствительности

Все модели со средней чувствительностью

Утверждение доступа
ролей/утверждение доступа.утверждающий
roles/accessapproval.configEditor

Access Context Manager
ролей/accesscontextmanager.gcpAccessAdmin
ролей/accesscontextmanager.policyAdmin
ролей/accesscontextmanager.policyEditor

Действия
роли/действия.Администратор

AI Platform
ролей/мл.admin
ролей/мл.developer
ролей/ml.jobOwner
ролей/ml.modelOwner
ролей/ml.modelUser

Шлюз API
ролей/apigateway.admin

App Engine
ролей/appengine.appAdmin
ролей/appengine.appCreator
ролей/appengine.serviceAdmin

AutoML
ролей/automl.admin
ролей/automl.редактор

BigQuery
роли / BIGQUERY.ADMIN
роли / BIGQUERY.DATADITOR
ROLES / BIGQUERY.DATAONER
ROLES / BIGQUERY.Dataviewer
Роли / BIGQUERY.RESOURCEALMIN
ROLES / BIGQUERY.RESURECUMET
ролей/bigquery.resourceViewer
ролей/bigquery.user

Двоичная авторизация
ролей/бинарная авторизация.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
ролей/bigtable.admin
ролей/bigtable.reader
ролей/bigtable.user

Cloud Build
ролей/cloudbuild.builds.builder
ролей/cloudbuild.билды.редактор

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Облачные конечные точки
roles/endpoints.portalAdmin Бета-версия

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Облако IoT
ролей/облако.admin
ролей/cloudiot.deviceController
ролей/cloudiot.editor
ролей/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Облачный мониторинг
ролей/monitoring.admin
ролей/мониторинг.alertPolicyEditor
ролей / monitoring.dashboardEditor
ролей / monitoring.editor
ролей / monitoring.metricWriter
ролей / monitoring.notificationChannelEditor
ролей / monitoring.servicesEditor
ролей / monitoring.uptimeCheckConfigEditor

Cloud Run
ролей/run.admin
ролей/run.developer

Облачный планировщик
ролей/облачный планировщик.админ

Облачные репозитории исходного кода
ролей/source.admin
ролей/source.writer

Облачный гаечный ключ
Roles / sakner.admin
роли / гаечный ключ.backupadmin
роли / гаечный ключ.
ролей / гайв. Datatabaseadmin
Роли / SANNER.RESTOREADMIN
Roles / SANNER.DATABASEREAREADER
роликов/гаечный ключ.пользователь базы данных

Cloud Storage
Roles / Storage.Admin
Роли / Storage.hmackeyAdmin
Роли / хранение.ObjectAdmin
роли / хранение .ObjectCrator
Роли / хранение .ObjectViewer
роли / хранение.legacybucketowner
ролей/хранилище.legacyBucketWriter
ролей/хранилище.legacyBucketReader
ролей/хранилище.legacyObjectOwner
ролей/хранилище.наследиеObjectReader

Cloud SQL
ролей/cloudsql.admin
ролей/cloudsql.editor
ролей/cloudsql.client
ролей/cloudsql.instanceUser
ролей/cloudviewers/cloudsql.

Cloud Tasks
ролей/cloudtasks.admin
ролей/cloudtasks.enqueuer
ролей/cloudtasks.queueAdmin
ролей/cloudtasks.TaskDeleter

Облачный TPU
tpu.admin

Cloud Trace
ролей/cloudtrace.admin
ролей/cloudtrace.agent

Compute Engine
ролей/compute.imageUser
ролей/compute.osLoginExternalUser
ролей/osconfig.guestPolicyAdmin
ролей/osconfig.guestPolicyEditor .ososPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Container Analysis
ролей/containeranalysis.admin
ролей/containeranalysis.notes.attacher
ролей/containeranalysis.notes.editor
ролей/containeranalysis.occurrences.editor
ролей/containeranalysis.notes.editor

Каталог данных
ролей/каталог данных.admin
ролей/datacatalog.categoryAdmin
ролей/datacatalog.entryGroupCreator
ролей/datacatalog.entryGroupOwner
ролей/datacatalog.905Owner9

Поток данных
ролей/dataflow.admin
ролей/dataflow.developer

Dataproc
ролей/dataproc.admin
ролей/dataproc.editor

Dataproc Metastore
ролей/метахранилище.администратор
роли/metastore.editor

Хранилище данных
ролей/datastore.importExportAdmin
ролей/datastore.indexAdmin
ролей/datastore.owner
ролей/datastore.user

Eventarc
ролей/eventarc.admin
ролей/eventarc.developer
ролей/eventarc.eventReceiver

Хранилище файлов
ролей/файл.редактор

Firebase
ролей / firebase.admin
ролей / firebase.analyticsAdmin
ролей / firebase.developAdmin
ролей / firebase.growthAdmin
ролей / firebase.qualityAdmin
ролей / firebaseabt.admin
ролей/firebaseappcheck.admin
ролей/firebaseappdistro.admin
ролей/firebaseauth.admin
ролей/firebasecrashlytics.администратора
ролей / firebasedatabase.admin
ролей / firebasedynamiclinks.admin
роли / firebasehosting.admin
ролей / firebaseinappmessaging.admin
ролей / firebaseml.admin
ролей / firebasenotifications.admin
ролей/firebaseperformance.admin
ролей/firebasepredictions.admin
ролей/firebaserules.admin
ролей/firebasestorage.admin
ролей/cloudconfig.администратор
роли/cloudtestservice.testAdmin

Игровые серверы
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
ролей/container.admin
ролей/container.clusterAdmin
ролей/container.developer

Google Kubernetes Engine Hub
ролей/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
ролей/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Управляемая служба для Microsoft Active Directory
ролей/управляемых идентичностей.admin
ролей/управляемых идентичностей.domainAdmin
roles/managedidentities.viewer

Хранилище памяти для Redis
ролей/redis.admin
ролей/redis.editor

API сканирования по требованию
roles/ondemandscanning.admin

Мониторинг конфигурации Ops
roles/opsconfigmonitoring.resourceMetadata.writer

Служба политики организации
ролей/доп.admin
roles/orgpolicy.policyAdmin

Другие роли
ролей / autoscaling.metricsWriter
ролей / autoscaling.sitesAdmin
ролей / autoscaling.stateWriter
ролей / chroniclesm.admin
ролей / dataprocessing.admin
роли / earlyaccesscenter.admin
ролей/firebasecrash.symbolMappingsAdmin
ролей/identityplatform.admin
ролей/identitytoolkit.admin
ролей/oauthconfig.editor
ролей/retail.admin
ролей/retail.editor
ролей/runtimeconfig.admin

Proximity Beacon
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
ролей/pubsub.admin
ролей/pubsub.editor

Pub/Sub Lite
ролей/pubsublite.администратор
ролей/pubsublite.editor
ролей/pubsublite.publisher

reCAPTCHA Enterprise
ролей/recaptchaenterprise.admin
ролей/recaptchaenterprise.agent

Рекомендации AI
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Рекомендатель
ролей/рекомендатель.billingAccountCudAdmin
ролей / recommender.cloudAssetInsightsAdmin
ролей / recommender.cloudsqlAdmin
ролей / recommender.computeAdmin
ролей / recommender.firewallAdmin
ролей / recommender.iamAdmin
ролей / recommender.productSuggestionAdmin
ролей/recommender.projectCudAdmin

Менеджер ресурсов
ролей/диспетчер ресурсов.folderAdmin
ролей / resourcemanager.folderCreator
ролей / resourcemanager.folderEditor
ролей / resourcemanager.folderIamAdmin
ролей / resourcemanager.folderMover
ролей / resourcemanager.lienModifier
ролей / resourcemanager.organizationAdmin
ролей/resourcemanager.projectCreator
ролей/resourcemanager.projectDeleter
ролей/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Параметры ресурсов
roles/resourcesettings.admin

Бессерверный доступ к VPC
ролей/vpcaccess.admin

Управление потребителями услуг
roles/serviceconsumermanagement.tenancyUnitsAdmin

Служба передачи хранилища
ролей/перенос хранилища.администратор
роли/storagetransfer.user

Vertex AI
ролей/aiplatform.admin
ролей/aiplatform.featurestoreAdmin
ролей/aiplatform.migrator
ролей/aiplatform.user

Управляемые пользователем блокноты Vertex AI Workbench
roles/notebooks.admin
roles/notebooks.legacyAdmin

Рабочие процессы
ролей/рабочих процессов.администратор
роли/рабочие процессы.редактор

Типы бревен

Event Threat Detection опирается на журналы, созданные Google Cloud и Рабочая область Google. Большинство журналов отключены по умолчанию, что позволяет вам решать, какие журналы должны быть созданы и какие продукты могут получить к ним доступ. Однако для использования Event Threat Detection, вы должны включить журналы для вашей организации, папок и проекты, в которых вы хотите, чтобы обнаружение угроз событиями имело полную видимость.

Совет: Чтобы помочь вам определить, какие журналы экспортировать и анализировать в удовлетворить ваши потребности в безопасности и соответствии требованиям, используйте Google Cloud Инструмент оценки журнала.

Event Threat Detection автоматически потребляет активность администратора журналы, которые являются частью Cloud Audit Журналы. Вам не нужно настраивать журналы действий администратора, они генерируются автоматически.

Кроме того, обнаружение угроз событиями лучше всего работает при включении дополнительных журналов, которые служба использует для обнаружения конкретных угроз.Чтобы включить журналы для каждого из следующие источники, используйте следующие руководства:

журнала аудита Google Workspace включены и хранятся в вашем Среда Google Workspace. Тем не менее, вы должны поделиться ими с Google Cloud для того, чтобы Event Threat Detection имел доступ и обнаруживал Угрозы Google Workspace. Инструкции по совместному использованию Журналы Google Workspace см. в следующих руководствах:

.

Что дальше

Что такое IP-спуфинг и как его предотвратить

Спуфинг — это особый тип кибератаки, при которой кто-то пытается использовать компьютер, устройство или сеть, чтобы обмануть другие компьютерные сети, маскируясь под законную сущность.Это один из многих инструментов, которые хакеры используют для получения доступа к компьютерам для извлечения из них конфиденциальных данных, превращения их в зомби (компьютеры, захваченные для злонамеренного использования) или запуска атак типа «отказ в обслуживании» (DoS). Из нескольких типов спуфинга IP-спуфинг является наиболее распространенным.

Как работает спуфинг

Для начала немного информации об Интернете. Данные, передаваемые через Интернет, сначала разбиваются на несколько пакетов, которые передаются независимо и в конце снова собираются.Каждый пакет имеет заголовок IP (протокола Интернета), который содержит информацию о пакете, включая исходный IP-адрес и IP-адрес назначения.

При спуфинге IP-адреса хакер использует инструменты для изменения исходного адреса в заголовке пакета, чтобы принимающая компьютерная система думала, что пакет получен из надежного источника, например другого компьютера в законной сети, и принимала его. Поскольку это происходит на сетевом уровне, внешние признаки взлома отсутствуют.

Этот тип атаки распространен в атаках типа «отказ в обслуживании» (DoS), которые могут перегружать компьютерные сети трафиком.При DoS-атаке хакеры используют поддельные IP-адреса, чтобы перегрузить компьютерные серверы пакетами данных и отключить их. Для отправки пакетов часто используются географически рассредоточенные ботнеты — сети скомпрометированных компьютеров. Каждый ботнет потенциально содержит десятки тысяч компьютеров, способных подделывать несколько исходных IP-адресов. В результате автоматизированную атаку трудно отследить.

Вариант этого подхода использует тысячи компьютеров для отправки сообщений с одним и тем же поддельным исходным IP-адресом огромному количеству получателей.Принимающие машины автоматически передают подтверждение на поддельный IP-адрес и затопляют целевой сервер.

Другой вредоносный метод подмены IP-адресов использует атаку «Человек посередине» для прерывания связи между двумя компьютерами, изменения пакетов и последующей их передачи без ведома исходного отправителя или получателя. Со временем хакеры собирают огромное количество конфиденциальной информации, которую они могут использовать или продать.

В системах, основанных на доверительных отношениях между сетевыми компьютерами, спуфинг IP-адреса может использоваться для обхода проверки подлинности IP-адреса.Идея защиты «замок и ров» проста: те, кто находится за пределами сети, считаются угрозой, а тем, кто находится внутри замка, доверяют. Как только хакер взламывает сеть и проникает внутрь, исследовать систему несложно. Учитывая эту уязвимость, использование простой аутентификации в качестве стратегии защиты заменяется более надежными подходами к обеспечению безопасности, такими как многоэтапная аутентификация.

шагов, чтобы избежать спуфинга

Большинство стратегий, используемых для предотвращения спуфинга IP-адресов, должны разрабатываться и внедряться ИТ-специалистами.Варианты защиты от спуфинга IP включают мониторинг сетей на предмет нетипичной активности, развертывание фильтрации пакетов для обнаружения несоответствий (например, исходящие пакеты с исходными IP-адресами, которые не совпадают с IP-адресами в сети организации), использование надежных методов проверки (даже среди сетевых компьютеров). , аутентификацию всех IP-адресов и использование блокировщика сетевых атак. Размещение хотя бы части вычислительных ресурсов за брандмауэром также является хорошей идеей.

Веб-дизайнерам рекомендуется перевести сайты на IPv6, новейший интернет-протокол.Это затрудняет спуфинг IP, включая этапы шифрования и аутентификации. Большая часть мирового интернет-трафика по-прежнему использует предыдущий протокол IPv4. Сиэтлская интернет-биржа (одна из двух в мире, показывающая статистику трафика IPv6) указывает, что по состоянию на середину ноября 2017 года только около 11% трафика перешло на более новый и безопасный протокол.

Для конечных пользователей обнаружение спуфинга IP практически невозможно. Однако они могут свести к минимуму риск других типов спуфинга, используя безопасные протоколы шифрования, такие как HTTPS, и просматривая только те сайты, которые их также используют.

Связанные статьи:

Что такое IP-спуфинг?

Kaspersky

Спуфинг — это тип кибератаки, которую хакеры могут использовать для получения доступа к компьютерам и извлечения из них конфиденциальных данных. Узнайте, как избежать спуфинга IP-адресов.

IP-адрес

IP-адрес — это идентификатор устройства, подключенного к сети с использованием TCP/IP — протокола, который направляет сетевой трафик на основе IP-адреса пункта назначения. IP-адреса могут быть либо 32-битными IPv4-адресами, состоящими из четырех чисел с основанием 10, разделенных точками, представляющими восьмизначные двоичные числа (с основанием 2), называемые «октетами» (т.е. от 0.0.0.0 до 255.255.255.255), или 128-битные IPv6-адреса, состоящие из восьми шестнадцатеричных (с основанием 16) чисел, разделенных двоеточиями, представляющих шестнадцатизначные двоичные (с основанием 2) числа (т. е. 0000:0000:0000:0000:0000: 0000:0000:0000 до FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF, где последовательные группы из четырех нулей заменены двойным двоеточием).

Когда Интернет впервые стал популярным, IPv4 с его 32-битными адресами предлагал 232 или примерно 4,3 x 109 уникальных адресов. Поскольку количество подключенных к Интернету устройств начало значительно расти, люди беспокоились, что протокол IPv4 не будет содержать достаточно адресов для удовлетворения растущего спроса на новые уникальные адреса — вот почему IPv4 в конечном итоге будет массово заменен IPv6 (IPv6 уже официально запущен в июне 2012 года), который содержит 2128 или примерно 3.4 x 1038 уникальных адресов.

Протокол динамической конфигурации хоста (DHCP), работающий на специальных устройствах (обычно маршрутизаторах), позволяет назначать IP-адреса в локальной сети (LAN). DHCP назначает IP-адреса на основе временной «аренды»; по истечении срока аренды IP-адреса устройства DHCP-сервер назначит ему новый (возможно, другой). Поэтому IP-адреса, автоматически назначаемые сервером DHCP, называются «динамическими IP-адресами», поскольку устройство с IP-адресом, назначенным DHCP, может в конечном итоге получить IP-адрес, отличный от исходного.

DHCP-серверы

не будут назначать устройствам любой IP-адрес из максимального диапазона IPv4-адресов (от 0.0.0.0 до 255.255.255.255), поскольку некоторые IP-адреса зарезервированы для специальных целей. К таким адресам относятся:

  • 0.0.0.0 — представляет сеть «по умолчанию», то есть любое соединение
  • 255.255.255.255 — представляет широковещательный адрес или место для маршрутизации сообщений для отправки на каждое устройство в сети
  • 127.0.0.1 — представляет «localhost» или «петлевой адрес», позволяя устройству ссылаться на себя, независимо от того, к какой сети оно подключено
  • .
  • 169.254.X.X — представляет собой «самостоятельно назначенный IP-адрес», который устройство назначит себе, если оно не сможет получить IP-адрес от DHCP-сервера
  • .

Назначаемые пользователями DHCP IP-адреса в локальной сети не совпадают с их «внешними» IP-адресами или IP-адресами в Интернете. Этот адрес будет одинаковым для всех пользователей, подключенных к DHCP-серверу, который сам получает IP-адрес от интернет-провайдера (ISP), к которому он подключен.

Поскольку IP-адреса могут использоваться в качестве уникальных идентификаторов для машин пользователей (а впоследствии и самих пользователей), знание внешнего IP-адреса злоумышленника в Интернете может позволить сотрудникам правоохранительных органов заблокировать, определить местонахождение и в конечном итоге арестовать его или ее.В результате более продвинутые инструменты атаки и хакеры будут использовать методы анонимизации, такие как использование прокси-серверов, VPN или сети маршрутизации, такой как Tor или I2P, которые могут создать впечатление, что они используют другой IP-адрес, отличный от свои собственные, расположенные где-то в другом месте в мире. Инструмент атаки под названием Low Orbit Ion Cannon (LOIC) прославился тем, что не скрывал IP-адреса своих пользователей; это привело к аресту различных пользователей LOIC по всему миру за их участие в распределенных атаках типа «отказ в обслуживании» (DDoS).

Что такое риск? Защита идентификации Azure AD

  • Статья
  • 10 минут на чтение
Полезна ли эта страница?

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Обнаружения рисков в Azure AD Identity Protection включают любые выявленные подозрительные действия, связанные с учетными записями пользователей в каталоге. Обнаружения рисков (связанные как с пользователем, так и со входом в систему) влияют на общую оценку риска пользователя, которую можно найти в отчете о рискованных пользователях.

Identity Protection предоставляет организациям доступ к мощным ресурсам для наблюдения и быстрого реагирования на эти подозрительные действия.

Примечание

Identity Protection генерирует обнаружение рисков только при использовании правильных учетных данных. Если при входе используются неверные учетные данные, это не представляет риска компрометации учетных данных.

Типы рисков и обнаружение

Риск может быть обнаружен на уровне пользователя и входа и двух типов обнаружения или расчета в режиме реального времени и в автономном режиме .

Обнаружения в реальном времени могут не отображаться в отчетах в течение пяти-десяти минут.Обнаружения в автономном режиме могут не отображаться в отчетах в течение 48 часов.

Примечание

Наша система может обнаружить, что событие риска, которое повлияло на оценку риска пользователя риска, было ложным срабатыванием или риск пользователя был устранен с применением политики, такой как выполнение запроса MFA или безопасное изменение пароля. Поэтому наша система отклонит состояние риска, и появится информация о риске «AI подтвердил безопасный вход в систему», и это больше не будет способствовать риску пользователя.

Обнаружения, связанные с пользователем

Для пользователя может быть обнаружена рискованная активность, связанная не с конкретным вредоносным входом в систему, а с самим пользователем.

Эти риски рассчитываются в автономном режиме с использованием внутренних и внешних источников информации об угрозах Microsoft, включая исследователей безопасности, специалистов правоохранительных органов, группы безопасности Microsoft и другие надежные источники.

Обнаружение риска Описание
Утечка учетных данных Этот тип обнаружения риска указывает на утечку действительных учетных данных пользователя. Когда киберпреступники компрометируют действительные пароли законных пользователей, они часто делятся этими учетными данными.Этот обмен обычно осуществляется путем публичной публикации в темной сети, вставки сайтов или путем торговли и продажи учетных данных на черном рынке. Когда служба учетных данных с утечкой Microsoft получает учетные данные пользователя из даркнета, сайтов вставки или других источников, они проверяются на соответствие текущим действительным учетным данным пользователей Azure AD, чтобы найти допустимые совпадения. Дополнительные сведения об утечке учетных данных см. в разделе Общие вопросы.
Аналитика угроз Azure AD Этот тип обнаружения риска указывает на активность пользователя, которая является необычной для данного пользователя или согласуется с известными шаблонами атак, основанными на внутренних и внешних источниках информации об угрозах Microsoft.

Риск входа в систему

Риск входа представляет собой вероятность того, что данный запрос проверки подлинности не авторизован владельцем удостоверения.

Эти риски можно рассчитать в режиме реального времени или в автономном режиме с использованием внутренних и внешних источников информации об угрозах Microsoft, включая исследователей безопасности, специалистов правоохранительных органов, группы безопасности Microsoft и другие надежные источники.

Обнаружение риска Тип обнаружения Описание
Анонимный IP-адрес В режиме реального времени Этот тип обнаружения риска указывает на вход с анонимного IP-адреса (например, браузера Tor или анонимного VPN).Эти IP-адреса обычно используются субъектами, которые хотят скрыть свою телеметрию входа в систему (IP-адрес, местоположение, устройство и т. д.) для потенциально злонамеренных действий.
Нестандартное путешествие Не в сети Этот тип обнаружения риска идентифицирует два входа в систему из географически удаленных мест, где по крайней мере одно из местоположений также может быть нетипичным для пользователя, учитывая прошлое поведение. Среди нескольких других факторов этот алгоритм машинного обучения учитывает время между двумя входами в систему и время, которое потребовалось бы пользователю для перехода из первого места во второе, что указывает на то, что другой пользователь использует те же учетные данные. .

Алгоритм игнорирует очевидные «ложные срабатывания», приводящие к невозможным условиям перемещения, такие как виртуальные частные сети и местоположения, регулярно используемые другими пользователями в организации. Система имеет начальный период обучения, который составляет 14 дней или 10 входов в систему, в течение которых она изучает поведение нового пользователя при входе в систему.

Аномальный жетон Не в сети Это обнаружение указывает на ненормальные характеристики маркера, такие как необычное время жизни маркера или маркер, воспроизводимый из незнакомого места.Это обнаружение охватывает токены сеанса и токены обновления. ПРИМЕЧАНИЕ. Маркер аномалии настроен так, чтобы вызывать больше шума, чем другие обнаружения с тем же уровнем риска. Этот компромисс выбран для повышения вероятности обнаружения воспроизведенных токенов, которые в противном случае могут остаться незамеченными. Поскольку это обнаружение с высоким уровнем шума, вероятность того, что некоторые из сеансов, помеченных этим обнаружением, являются ложными срабатываниями, выше, чем обычно. Мы рекомендуем исследовать сеансы, отмеченные этим обнаружением, в контексте других входов пользователя.Если расположение, приложение, IP-адрес, пользовательский агент или другие характеристики являются неожиданными для пользователя, администратор арендатора должен рассматривать это как индикатор потенциального воспроизведения токена .
Аномалия эмитента токена Не в сети Это обнаружение риска указывает на то, что эмитент токена SAML для связанного токена SAML потенциально скомпрометирован. Утверждения, включенные в токен, являются необычными или соответствуют известным шаблонам злоумышленников.
IP-адрес, связанный с вредоносным ПО Не в сети Этот тип обнаружения риска указывает на входы с IP-адресов, зараженных вредоносными программами, которые, как известно, активно взаимодействуют с бот-сервером.Это обнаружение определяется путем сопоставления IP-адресов устройства пользователя с IP-адресами, которые были в контакте с бот-сервером, когда бот-сервер был активен.

Это обнаружение устарело . Identity Protection больше не будет генерировать новые обнаружения «IP-адрес, связанный с вредоносным ПО». Клиенты, которые в настоящее время имеют обнаружение «IP-адрес, связанный с вредоносным ПО» в своем клиенте, по-прежнему смогут просматривать, исправлять или отклонять их до тех пор, пока не истечет 90-дневный срок хранения обнаружения.

Подозрительный браузер Не в сети Обнаружение подозрительного браузера указывает на аномальное поведение, основанное на подозрительной активности входа в систему нескольких клиентов из разных стран в одном и том же браузере.
Незнакомые свойства входа В режиме реального времени Этот тип обнаружения риска учитывает прошлую историю входов (IP, Широта/Долгота и ASN) для поиска аномальных входов. Система хранит информацию о предыдущих местоположениях, которые использовал пользователь, и считает эти местоположения «знакомыми».Обнаружение риска срабатывает, когда вход происходит из местоположения, которого еще нет в списке знакомых местоположений. Вновь созданные пользователи некоторое время будут находиться в «режиме обучения», когда обнаружение риска незнакомых свойств входа будет отключено, пока наши алгоритмы изучают поведение пользователя. Продолжительность режима обучения является динамической и зависит от того, сколько времени требуется алгоритму для сбора достаточной информации о шаблонах входа пользователя. Минимальная продолжительность — пять дней. Пользователь может вернуться в режим обучения после длительного периода бездействия.Система также игнорирует входы в систему со знакомых устройств и мест, географически близких к знакомому местоположению.

Мы также запускаем это обнаружение для базовой проверки подлинности (или устаревших протоколов). Поскольку эти протоколы не имеют современных свойств, таких как идентификатор клиента, телеметрия ограничена для уменьшения ложных срабатываний. Мы рекомендуем нашим клиентам перейти на современную аутентификацию.

Незнакомые свойства входа могут быть обнаружены как при интерактивном, так и при неинтерактивном входе.Когда это обнаружение обнаруживается при неинтерактивном входе в систему, оно заслуживает более пристального внимания из-за риска атак с повторным воспроизведением маркеров.

Администратор подтвердил, что пользователь скомпрометирован Не в сети Это обнаружение указывает, что администратор выбрал «Подтвердить компрометацию пользователя» в пользовательском интерфейсе пользователей с риском или с помощью API RiskyUsers. Чтобы узнать, какой администратор подтвердил, что этот пользователь скомпрометирован, проверьте историю рисков пользователя (через пользовательский интерфейс или API).
Вредоносный IP-адрес Не в сети Это обнаружение указывает на вход с вредоносного IP-адреса.IP-адрес считается вредоносным из-за высокой частоты отказов из-за недействительных учетных данных, полученных с IP-адреса или других источников репутации IP.
Правила манипулирования подозрительными почтовыми ящиками Не в сети Это обнаружение обнаруживается Microsoft Defender для облачных приложений. Это обнаружение профилирует вашу среду и запускает оповещения, когда в почтовом ящике пользователя устанавливаются подозрительные правила, которые удаляют или перемещают сообщения или папки. Это обнаружение может указывать на то, что учетная запись пользователя скомпрометирована, что сообщения намеренно скрыты и что почтовый ящик используется для распространения спама или вредоносных программ в вашей организации.
Спрей для пароля Не в сети Атака с распылением паролей — это атака с несколькими именами пользователей с использованием общих паролей унифицированным методом грубой силы для получения несанкционированного доступа. Это обнаружение риска срабатывает, когда была выполнена атака распылением пароля.
Невозможное путешествие Не в сети Это обнаружение обнаруживается Microsoft Defender для облачных приложений. Это обнаружение идентифицирует два действия пользователя (один или несколько сеансов), происходящие из географически удаленных мест в течение периода времени, меньшего, чем время, которое потребовалось бы пользователю для перемещения из первого места во второе, что указывает на то, что другой пользователь использует те же удостоверения.
Новая страна Не в сети Это обнаружение обнаруживается Microsoft Defender для облачных приложений. Это обнаружение учитывает прошлые местоположения активности, чтобы определить новые и нечастые местоположения. Механизм обнаружения аномалий хранит информацию о предыдущих местоположениях, используемых пользователями в организации.
Активность с анонимного IP-адреса Не в сети Это обнаружение обнаруживается Microsoft Defender для облачных приложений.Это обнаружение определяет, что пользователи были активны с IP-адреса, который был идентифицирован как IP-адрес анонимного прокси-сервера.
Переадресация подозрительных входящих сообщений Не в сети Это обнаружение обнаруживается Microsoft Defender для облачных приложений. Это обнаружение ищет подозрительные правила пересылки электронной почты, например, если пользователь создал правило для папки «Входящие», которое пересылает копии всех электронных писем на внешний адрес.
Аналитика угроз Azure AD Не в сети Этот тип обнаружения риска указывает на активность входа, которая является необычной для данного пользователя или согласуется с известными шаблонами атак, основанными на внутренних и внешних источниках информации об угрозах Microsoft.

Обнаружение других рисков

Обнаружение риска Тип обнаружения Описание
Обнаружен дополнительный риск В режиме реального времени или в автономном режиме Это обнаружение указывает на то, что было обнаружено одно из вышеперечисленных обнаружений Premium. Поскольку обнаружения уровня "Премиум" видны только клиентам Azure AD Premium P2, они называются "обнаруженными дополнительными рисками" для клиентов без лицензий Azure AD Premium P2.

Общие вопросы

Уровни риска

Identity Protection подразделяет риски на три уровня: низкий, средний и высокий. При настройке настраиваемых политик защиты личных данных вы также можете настроить их на срабатывание при уровне без риска . Отсутствие риска означает, что нет активных указаний на то, что личность пользователя была скомпрометирована.

Хотя Microsoft не предоставляет конкретных сведений о том, как рассчитывается риск, мы скажем, что каждый уровень повышает уверенность в том, что пользователь или вход в систему скомпрометированы.Например, что-то вроде одного экземпляра незнакомых свойств входа для пользователя может быть не таким опасным, как утечка учетных данных для другого пользователя.

Синхронизация хэша пароля

Для обнаружения рисков, таких как утечка учетных данных, требуется наличие хэшей паролей. Дополнительные сведения о синхронизации хэшей паролей см. в статье Реализация синхронизации хэшей паролей с помощью синхронизации Azure AD Connect.

Почему для отключенных учетных записей пользователей генерируются обнаружения рисков?

Отключенные учетные записи пользователей можно снова включить.Если учетные данные отключенной учетной записи будут скомпрометированы, а учетная запись снова активируется, злоумышленники могут использовать эти учетные данные для получения доступа. Вот почему Identity Protection генерирует обнаружение рисков для подозрительных действий с отключенными учетными записями пользователей, чтобы предупредить клиентов о потенциальной компрометации учетной записи. Если учетная запись больше не используется и не будет повторно активирована, клиентам следует рассмотреть возможность ее удаления во избежание компрометации. Для удаленных учетных записей не создаются обнаружения рисков.

Утечка учетных данных

Где Microsoft находит украденные учетные данные?

Microsoft находит утечку учетных данных в разных местах, в том числе:

  • Общедоступные сайты вставки, такие как pastebin.com и paste.ca, где злоумышленники обычно размещают такие материалы. Это место является первой остановкой самых плохих актеров в их охоте за украденными учетными данными.
  • Правоохранительные органы.
  • Другие группы Microsoft проводят исследования темной сети.
Почему я не вижу никаких утекших учетных данных?

Утечка учетных данных обрабатывается каждый раз, когда Microsoft находит новую общедоступную партию. Из-за конфиденциального характера просочившиеся учетные данные удаляются вскоре после обработки.Только новые просочившиеся учетные данные, обнаруженные после включения синхронизации хэшей паролей (PHS), будут обрабатываться для вашего клиента. Проверка ранее найденных пар учетных данных не выполняется.

Я уже давно не видел никаких событий, связанных с утечкой учетных данных?

Если вы не видели никаких событий, связанных с утечкой учетных данных, это происходит по следующим причинам:

  • Для вашего арендатора не включен PHS.
  • Корпорация Майкрософт не обнаружила утекших пар учетных данных, соответствующих вашим пользователям.
Как часто корпорация Майкрософт обрабатывает новые учетные данные?

Учетные данные обрабатываются сразу же после их обнаружения, обычно несколькими пакетами в день.

мест

Расположение в обнаружениях рисков определяется поиском IP-адреса.

Следующие шаги

Инструмент обнаружения IP-адресов

| Солнечные ветры

Что такое обнаружение IP?

Обнаружение IP-адресов — это процесс сканирования вашей сети на наличие IP-устройств с помощью одного или нескольких методов, таких как SNMP, ICMP или сканирование окружения.Инструмент обнаружения IP-адресов может иметь решающее значение не только для настройки IP-конфигурации вашей сети, но и для мониторинга ваших IP-адресов на предмет потенциальных проблем с емкостью и отчетов об обновлениях статуса.

После настройки системы IP-адресов необходимо регулярно отслеживать IP-адреса для обнаружения новых устройств и удаления устройств для соответствующей перенастройки IP-адресов. Поскольку в больших сетях может появиться большое количество новых устройств, а также отключенных устройств, инструмент обнаружения IP-адресов может позволить вам собирать данные об устройствах, обновлять их при необходимости и более легко создавать отчеты об истории IP-адресов.

 

Как я могу увидеть IP-адреса в своей сети?

Программное обеспечение для обнаружения IP-адресов

может упростить поиск IP-адресов в сети, запуская сканирование IP-адресов с центральной платформы для автоматического сбора информации.

Из-за сложности динамических сетевых адресов использование обнаружения IP-адресов для просмотра IP-адресов в сети часто делится на более ограниченные блоки. Для больших сетей со сложными и динамическими IP-конфигурациями основная часть процесса обнаружения сетевых IP-адресов заключается в определении диапазона сканирования для просмотра ключевых частей сети.

Как работает инструмент обнаружения IP-адресов?

Инструмент обнаружения IP-адресов работает с использованием вызовов протокола SNMP, ICMP или сканирования окружения для сбора сведений об устройствах в вашей сети, отслеживания использования IP-адресов и записи IP-адресов, которые больше не используются. Единственный ручной ввод, который может потребоваться, — это ваши предпочтения: вы должны определить свой диапазон, определить свои учетные данные и определить регулярность, с которой ваш инструмент должен проводить сканирование.Оттуда ваш инструмент обнаружения IP-адресов будет сообщать данные о работоспособности и конфигурации IP-адресов, а также исторические данные об IP-адресах.

Инструмент обнаружения IP-адресов может автоматизировать процесс обнаружения IP-адресов в режиме реального времени, предоставляя отчеты и предупреждения о работоспособности IP-адресов. После запуска первого сканирования программное обеспечение для обнаружения IP-адресов может позволить вам воспроизвести его как обычное автоматическое сканирование с интервалом времени по вашему выбору. Поскольку многие IP-адреса являются динамическими, важно регулярно проводить сканирование.Программное обеспечение для обнаружения IP-адресов также может сообщать о состоянии устройства и помогать вам понимать IP-адреса в вашей сети с помощью актуальных карт, напрямую извлекая данные из конфигураций маршрутизатора и подключенных машин.

Почему обнаружение IP важно?

Существует много причин для сканирования вашей сети на предмет информации об IP-адресе. Обнаружение IP-адресов вашей сети — важный первый шаг в настройке и эффективном администрировании систем DHCP и DNS.Обнаружение IP-адресов полезно не только для поиска устройств в процессе настройки IP-адресов, но также может иметь решающее значение для поддержания работоспособности IP-адресов и подсетей.

Например, если есть конфликт IP-адресов или нехватка емкости, программное обеспечение для обнаружения IP-адресов может выделить проблемы, требующие внимания, как только они возникнут. Этот процесс сканирования вашей сети на наличие устройств также может помочь в создании подсетей, мониторинге производительности сервера и обеспечении отслеживания исторических IP-адресов, чтобы пользователям было легче находить потерянные, восстанавливать и настраивать IP-адреса.

Для крупных динамичных бизнес-сетей, особенно сетей с новыми или поддерживающими мобильные устройства пользователей, процесс обнаружения IP-адресов направлен на обнаружение любых связанных конфликтов IP-адресов и проблем с исчерпанием ресурсов. Обнаружение IP-адресов может позволить вам определить, когда устройства добавляются в вашу сеть и удаляются из нее. Это также может позволить вам отслеживать ваши динамические адреса по мере их изменения и лучше понимать структуру вашей подсети в сложной изменяющейся среде IP.

Как IPAM помогает в обнаружении IP?

Диспетчер IP-адресов SolarWinds

предназначен для устранения необходимости вручную выполнять сканирование IP-адресов в вашей сети.Сканирование вручную может быть длительным и громоздким процессом, требующим управления сложными электронными таблицами и отслеживания динамических конфигураций подсетей. Этот процесс не только неэффективен, но и подвержен человеческим ошибкам. Для больших сетей, где устройства добавляются и удаляются почти ежедневно, ручное сканирование также может быть затруднено с точки зрения логистики.

SolarWinds IPAM создан для того, чтобы вы могли легко передавать данные из электронных таблиц IP-адресов, чтобы вы могли переключиться на автоматический процесс обнаружения IP-адресов, который сканирует, документирует, создает отчеты и предупреждения.

Благодаря анализу вашей сети в реальном времени и за прошлые периоды IPAM также может предложить способы улучшения состояния вашего IP-адреса на основе диагностики сети. В дополнение к сканированию IP-адресов и сбору данных, IPAM разработан для того, чтобы предлагать в режиме реального времени понимание состояния вашего IP и общего состояния вашей сети.

Какие еще функции и инструменты есть у IPAM?

SolarWinds IPAM включает в себя инструменты, предназначенные для обеспечения эффективности и точности процесса обнаружения IP-адресов.Помимо основных функций обнаружения IP-адресов IPAM (сканирование, отслеживание IP-адресов и оповещение), IPAM также может управлять адресами DHCP и DNS и сообщать подробности на панели мониторинга производительности.

Для сетей с одновременно работающими разнородными системами IPAM может дать вам возможность распознавать разнородные системы и надлежащим образом собирать данные с различных устройств благодаря функциям простого обнаружения IP-адресов и сопоставления IP-адресов для гибридных сред. Это также означает, что для сетей, использующих комбинацию локальных, VMware и облачных устройств, IPAM предлагает интегрированное решение для мониторинга.

Еще одной ключевой особенностью SolarWinds IPAM является интуитивно понятный интерфейс. С единой панели управления IPAM упрощает идентификацию IP-адресов, групп или подсетей в вашей сети. Возможность централизации данных управления IP-адресами в одном представлении может помочь повысить прозрачность процесса обнаружения сети.

Кроме того, управление IP-адресами в SolarWinds IPAM не ограничивается одним ИТ-администратором. Если вы хотите делегировать возможности обнаружения IP-адресов другим членам вашей сети, IPAM позволяет вам легко делиться разрешениями с другими членами команды.

Страница не найдена

Моя библиотека

раз
    • Моя библиотека
    "" Настройки файлов cookie

    Сетевое обнаружение

    Если ваш Firebox работает под управлением Fireware OS v11.11 или выше и включает активную подписку на функцию Network Discovery в функциональном ключе, на странице Dashboard > Network Discovery вы можете увидеть древовидную карту всех устройств в вашей сети, которые подключены к интерфейсам на вашем Firebox. Вы можете увидеть эту подробную информацию для каждого подключенного устройства:

    • IP-адрес
    • MAC-адрес
    • Имя хоста
    • Операционная система
    • Открытые порты
    • Тип устройства (для устройств, обнаруженных Mobile Security)

    Сетевое обнаружение поддерживается только на устройствах Firebox серии M, серии T, FireboxV и XTMv.

    Когда вы включаете функцию Network Discovery в Firebox, нагрузка процесса увеличивается и потребляет дополнительную память. Это может заметно повлиять на производительность вашего Firebox, особенно если у вас большая сеть. Убедитесь, что функция Network Discovery включена только в том случае, если вы планируете ее использовать. Чтобы свести к минимуму влияние на производительность вашего Firebox, мы рекомендуем вам настроить параметры сканирования сетевого обнаружения так, чтобы сканировались только те сети, которые вы должны отслеживать.

    См. устройства в вашей сети

    Карта сети организована по интерфейсам в виде древовидной карты. Интерфейсы находятся на первом уровне, подсети — на втором уровне, а устройства — на третьем уровне. Каждый интерфейс может иметь несколько подсетей.

    Соединения между интерфейсами, подсетями и устройствами обозначены ответвлениями древовидной карты.Если к вашей сети есть удаленные сетевые подключения, они отображаются на последнем уровне за устройством и отображаются в виде пунктирной линии, что указывает на то, что может быть более одного подключения между устройством, напрямую подключенным к вашей сети, и конечными точками.

    Запустить сканирование

    Чтобы увидеть устройства в вашей сети, если вы вошли в свой Firebox с учетными данными администратора устройства, вы можете запустить сканирование, которое найдет все устройства, подключенные к вашей сети.Вы можете запланировать автоматическое сканирование или запустить сканирование по требованию. Время сканирования может варьироваться в зависимости от сетевых условий, которые могут включать размер вашей сети, количество активных хостов и количество включенных служб. Сканирование по требованию занимает больше времени, чем сканирование по расписанию.

    Сканирование по запросу состоит из трех этапов:

    • Этап быстрого обнаружения хоста — находит основную информацию о каждом устройстве для организации интерфейсов и подключенных устройств на карте
    • Фаза TCP и ОС — поиск более подробной информации, например о порте TCP и ОС на устройстве
    • .
    • Фаза UDP и версии службы — находит порт UDP и версии служб
    • .

    Чтобы запланировать сканирование, настройте параметры Network Scan , которые определяют интерфейсы, включенные в сканирование, и частоту сканирования.

    Дополнительные сведения о том, как настроить параметры сканирования по расписанию или запустить сканирование по требованию на странице Network Scan , см. в разделе Сетевое обнаружение.

    Чтобы запустить сканирование по запросу со страницы Network Discovery :

    1. В правом верхнем углу страницы Network Discovery щелкните Scan Now .
      Появится диалоговое окно "Сканировать сейчас".

    1. В раскрывающемся списке выберите вариант сканирования:
      • Сканировать по расписанию
      • Сканировать следующие интерфейсы
      • Сканировать следующие сети
      • 0 0 0 0 0
      • Если вы выбрали Сканировать следующие интерфейсы , установите флажок для каждого интерфейса для сканирования.
        Если вы выбрали Сканировать следующие сети , введите каждую сеть для сканирования и нажмите Добавить .
      • Щелкните Сканировать .
        Firebox запускает сканирование сети.

    Чтобы остановить сканирование по запросу до его завершения:

    В правом верхнем углу страницы нажмите Остановить сканирование .

    См. сведения о сканировании

    Во время сканирования сети вы можете просматривать сведения о ходе сканирования.Детали включают:

    • Тип сканирования — по запросу или по расписанию
    • Scan Started — Дата и время начала сканирования
    • Расчетное время завершения — количество времени в минутах до завершения сканирования
    • Просканировано IP-адресов — количество IP-адресов, просканированных на текущем этапе сканирования
    • .
    • Цель сканирования — сети или интерфейсы, указанные вами в настройках сканирования
    • .
    • Этап сканирования — дата и время начала, а также дата и время окончания для каждого этапа сканирования
    • .

    Для просмотра сведений о сканировании:

    1. В правом верхнем углу страницы нажмите Показать подробности .
      Появится диалоговое окно «Сведения о сканировании».

    1. Просмотр сведений о текущем сканировании.
    2. Щелкните OK .

    После завершения сканирования сети устройства появляются на вкладках Карта сети и Список устройств .Устройства остаются на карте и в списке до тех пор, пока не будут удалены, потому что:

    • Новая проверка по запросу или по расписанию не находит устройство
    • Сканирование по запросу или по расписанию не выполнялось в течение семи дней
    • Трафик для мобильного устройства не найден более двух часов; мобильное устройство удаляется с карты через семь дней без ответа

    Использование карты сети

    После завершения сканирования вручную или по расписанию вы можете использовать карту сети, чтобы просмотреть все устройства, подключенные к вашей сети, и просмотреть сведения о каждом подключенном устройстве.

    Увеличение и уменьшение масштаба

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Вы можете использовать колесо мыши для увеличения и уменьшения карты сети.

    Щелкните узлы, чтобы развернуть карту

    Вы можете щелкнуть каждый узел на карте, чтобы развернуть его и увидеть соединения с этим узлом.

    Вы можете щелкнуть каждый узел на карте, чтобы развернуть его и увидеть соединения с этим узлом.

    Вы можете щелкнуть каждый узел на карте, чтобы развернуть его и увидеть соединения с этим узлом.

    Вы можете щелкнуть каждый узел на карте, чтобы развернуть его и увидеть соединения с этим узлом.

    Увеличить до нужного размера

    Вы можете изменить масштаб развернутой карты сети, чтобы все узлы и устройства были видны на странице.

    Вы можете изменить масштаб развернутой карты сети, чтобы все узлы и устройства были видны на странице.

    Вы можете изменить масштаб развернутой карты сети, чтобы все узлы и устройства были видны на странице.

    Вы можете изменить масштаб развернутой карты сети, чтобы все узлы и устройства были видны на странице.

    Сброс представления карты

    Когда вы расширяете узлы карты, вы можете сбросить карту до исходного свернутого вида.

    Чтобы сбросить вид карты, нажмите Сбросить вид .

    Вид карты возвращается к исходному виду, в котором отображаются только интерфейсы, сети и бездействующие устройства.

    Просмотр списка устройств

    На вкладке Список устройств вы можете увидеть все устройства, подключенные к вашей сети, в виде списка.

    Список включает следующую информацию для каждого устройства:

    • Состояние — Состояние устройства при последнем сканировании и, если доступно, значок индикатора сведений о сканировании.
      • — Устройство было обнаружено в сети при последнем сканировании.
      • — Устройство отправляло трафик за последние два часа.
      • — Устройство не отправляло трафик в течение последних двух часов.
      • Если Mobile Security включена и устройство было обнаружено при сканировании Mobile Security, появляется значок для конкретного устройства.
    • Устройство — Имя устройства. Если имя устройства не может быть обнаружено, в этом столбце отображается имя хоста или IP-адрес.
    • IP-адрес — IP-адрес устройства.
    • Тип устройства — Тип устройства. Для мобильного устройства отображается тип мобильного устройства, например Android или iPhone. Если тип устройства недоступен, этот столбец пуст.
    • Версия ОС — Версия ОС на устройстве.
    • Last Seen — время последнего подключения устройства к сети во время сканирования.
    • Approved — Было ли устройство обозначено как Approved . Когда вы редактируете сведения об устройстве, вы можете указать, одобрено ли устройство. Одобренное устройство остается на карте сети, когда оно находится в автономном режиме. Утвержденные автономные устройства отображаются в ветви Idle Devices карты сети.

    Просмотр сведений об устройстве

    Подробную информацию об устройстве можно просмотреть на вкладке Карта сети или на вкладке Список устройств .

    1. На вкладке Карта сети наведите курсор на устройство.
      Появится диалоговое окно с информацией об устройстве.

    Пример устройства Android

    В диалоговом окне информации об устройстве можно быстро просмотреть основные сведения об устройстве.Вы также можете открыть FireWatch или Traffic Monitor, чтобы просмотреть сведения о подключениях устройств, или нажать Запомнить устройство , чтобы изменить информацию об устройстве.

    Пример портативного устройства Windows

    В диалоговом окне информации об устройстве можно быстро просмотреть основные сведения об устройстве.Вы также можете открыть FireWatch или Traffic Monitor, чтобы просмотреть сведения о подключениях устройств, или нажать Запомнить устройство , чтобы изменить информацию об устройстве.

    Пример устройства, найденного при сканировании сети

    В диалоговом окне информации об устройстве можно быстро просмотреть основные сведения об устройстве.Вы также можете открыть FireWatch или Traffic Monitor, чтобы просмотреть сведения о подключениях устройств, или нажать Запомнить устройство , чтобы изменить информацию об устройстве.

    Чтобы просмотреть полную информацию об устройстве, на вкладке Карта сети щелкните устройство.

    На вкладке Список устройств выберите строку устройства и щелкните Просмотр .
    Или в столбце Устройство щелкните имя устройства.

    Появится страница сведений об устройстве.

    Пример страницы Details для устройства Android

    Пример страницы сведений для портативного устройства Windows

    Пример страницы Details для устройства, обнаруженного при сканировании сети

    Отображаемые сведения зависят от типа устройства и могут включать:

    • Имя хоста — Имя хоста устройства
    • IP-адрес — IP-адрес устройства
    • MAC-адрес — MAC-адрес устройства
    • Тип устройства — Тип устройства, например Android, iPhone или Windows.Если тип устройства недоступен, эта строка пуста
    • Версия ОС — Версия ОС на устройстве
    • Last Seen — последний раз, когда устройство было подключено к сети во время сканирования
    • Discovered By — тип сканирования, при котором обнаружено устройство
    • .
    1. Чтобы узнать, членом каких групп является устройство, выберите вкладку Группы устройств .
      Появится список групп.

    Пример страницы Группы устройств для устройства Android

    Пример страницы Группы устройств для портативного устройства Windows

    Пример страницы Группы устройств для устройства, обнаруженного при сканировании сети

    1. Чтобы просмотреть сведения о том, какие порты устройство использовало для подключения к сети, выберите вкладку Scanned Port .
      Вкладка «Сканированный порт» появляется только в том случае, если устройство было обнаружено при сканировании сети.

    Сведения, отображаемые для каждого порта, включают:

    • Порт — Номер порта.
    • Протокол — Протокол, используемый на порту.Например, TCP или UDP.
    • Состояние — Текущее состояние порта.
    • Служба — Имя службы, используемой на порту.
    • Версия — Версия службы отображается только в случае ее обнаружения.

    Изменить сведения об устройстве и забыть об устройстве

    Чтобы упростить идентификацию тех устройств, которые часто появляются на карте сети, вы можете отредактировать сведения об устройствах на карте, добавив имя и описание.Вы также можете указать, является ли устройство одобренным устройством . Одобренное устройство остается на карте сети, когда оно находится в автономном режиме. Утвержденные автономные устройства отображаются в ветви Idle Devices карты сети. Детали, которые вы указываете для устройства, сохраняются в файле конфигурации устройства для вашего Firebox.

    Сведения об устройстве можно редактировать в диалоговом окне сведений об устройстве или на любой из страниц сведений об устройстве .Для утвержденного устройства вы можете изменить указанные вами сведения об устройстве или забыть об устройстве, чтобы оно больше не было одобрено.

    Чтобы изменить сведения об устройстве для неутвержденного устройства:

    1. Нажмите Запомнить устройство .

    Пример кнопки Запомнить устройство в диалоговом окне информации об устройстве.

    Пример кнопки «Запомнить устройство» на странице «Сведения».

    Появится диалоговое окно «Редактировать устройство».

    1. В текстовом поле Имя автоматически появляется имя устройства. Вы можете ввести новое понятное имя, которое поможет вам идентифицировать устройство.
    2. В текстовом поле Описание введите краткое описание устройства.
    3. Чтобы указать, что устройство утверждено, и включить его отображение в ветви Idle Devices , когда оно находится в автономном режиме, установите флажок Approved Device .
    4. Щелкните OK .

    Когда вы выбираете запоминание устройства, кнопки Изменить и Забыть появляются в диалоговом окне информации об устройстве и на странице сведений вместо кнопки Запомнить устройство .Если вы решили одобрить устройство, под значком устройства появится метка Approved Device .

    Пример диалогового окна информации об устройстве с кнопками Изменить и Забыть устройство .

    Пример страницы устройства Подробности с кнопками Редактировать и Забыть устройство .

    Чтобы изменить данные, указанные для устройства:

    1. В диалоговом окне информации об устройстве или на странице сведений об устройстве щелкните Изменить .
      Появится диалоговое окно «Редактировать устройство».

    1. Изменить настройки.
    2. Щелкните OK .

    Вы также можете удалить утвержденный статус устройства, чтобы оно больше не отображалось в ветке Idle Devices .

    Чтобы удалить одобренный статус с устройства:

    1. В диалоговом окне сведений об устройстве или на странице сведений об устройстве нажмите Забыть устройство .

    1. Нажмите Да .

    Поиск устройств

    Вы можете выполнить поиск на карте сети, чтобы найти устройства, соответствующие указанным вами параметрам.Когда вы запускаете поиск, карта обновляется и включает только те устройства, которые соответствуют вашим параметрам поиска.

    Для запуска поиска:

    1. В верхней части страницы Network Discovery нажмите Search .
      Появится диалоговое окно поиска.

    1. В раскрывающемся списке Поиск устройств по выберите категорию поиска.
      Отображаемые параметры поиска зависят от выбранной вами категории.
    2. Выберите параметры для поиска.
      Доступные параметры поиска включены в список параметров поиска.
    3. Щелкните OK .
      Карта сети обновляется и включает только те устройства, которые соответствуют указанным вами параметрам поиска.

    Список параметров поиска

    См. также

    Таблица ARP

    Список проверки подлинности

    заблокированных сайта

    Контрольная сумма

    Список компонентов

    Аренда DHCP

    Диагностика

    Динамический DNS

    FireWatch

    Передняя панель

    Беспроводной контроллер шлюза

    Мониторинг клиентов точки доступа

    Информация об интерфейсе и мониторинг SD-WAN

    Мобильная безопасность

    Процессы

    Обнаружение неавторизованной точки доступа

    Маршруты

    Подключение к серверу

    Управление трафиком

    Монитор трафика

    пользователей и роли

    Статистика VPN

    Posted in Разное

Добавить комментарий

Ваш адрес email не будет опубликован.