Controles de detección

Las funciones de detección y supervisión de amenazas se proporcionan mediante una combinación de controles de seguridad integrados de Security Command Center y soluciones personalizadas que te permiten detectar eventos de seguridad y responder a ellos.

Registro centralizado para la seguridad y la auditoría

El plano configura las capacidades de registro para realizar un seguimiento y analizar los cambios en tus recursos de Google Cloud con registros que se agregan a un solo proyecto.

En el siguiente diagrama, se muestra cómo el plano agrega registros de varias fuentes en varios proyectos a un receptor de registros centralizado.

En el diagrama, se describe lo siguiente:

• Los receptores de registros se configuran en el nodo de la organización para agregar registros de todos los proyectos en la jerarquía de recursos.
• Varios receptores de registros están configurados para enviar registros que coincidan con un filtro a diferentes destinos para el almacenamiento y las estadísticas.
• El proyecto prj-c-logging contiene todos los recursos para el almacenamiento y las estadísticas de registros.
• De manera opcional, puedes configurar herramientas adicionales para exportar registros a una SIEM.

El plano usa diferentes fuentes de registro e incluye estos registros en el filtro del receptor de registros para que los registros se puedan exportar a un destino centralizado. En la siguiente tabla, se describen las fuentes del archivo de registro.

Fuente del archivo de registro	Descripción
Registros de auditoría de actividad del administrador	No puedes configurar, inhabilitar o excluir registros de auditoría de actividad del administrador.
Registros de auditoría de eventos del sistema	No puedes configurar, inhabilitar o excluir registros de auditoría de eventos del sistema.
Registros de auditoría de política denegada	No puedes configurar o inhabilitar los registros de auditoría de política denegada, pero puedes excluirlos de forma opcional con filtros de exclusión.
Registros de auditoría de acceso a los datos	De forma predeterminada, el plano no habilita los registros de acceso a los datos, ya que el volumen y el costo de estos registros puede ser alto. Para determinar si debes habilitar los registros de acceso a los datos, evalúa dónde tus cargas de trabajo controlan los datos sensibles y considera si tienes que habilitar los registros de acceso a los datos para cada servicio y entorno que trabaja con datos sensibles.
Registros de flujo de VPC	El plano habilita los registros de flujo de VPC para cada subred. El plano configura el muestreo de registros para muestrear el 50% de los registros a fin de reducir el costo. Si creas subredes adicionales, debes asegurarte de que los registros de flujo de VPC estén habilitados para cada subred.
Registro de reglas de firewall	El plano habilita el registro de las reglas de firewall para cada regla de política de firewall. Si creas reglas de políticas de firewall adicionales para las cargas de trabajo, debes asegurarte de que el registro de reglas de firewall esté habilitado para cada regla nueva.
Registro de Cloud DNS	El plano habilita los registros de Cloud DNS para las zonas administradas. Si creas zonas administradas adicionales, debes habilitar esos registros de DNS.
Registro de auditoría de Google Workspace	Requiere un paso de habilitación único que no esté automatizado por el plano. Para obtener más información, consulta Comparte datos con los servicios de Google Cloud.
Registros de Transparencia de acceso	Requiere un paso de habilitación único que no esté automatizado por el plano. Para obtener más información, consulta Habilita la Transparencia de acceso.

En la siguiente tabla, se describen los receptores de registros y cómo se usan con destinos compatibles en el plano.

Receptor	Destino	Objetivo
sk-c-logging-la	Registros enrutados a buckets de Cloud Logging con Log Analytics y un conjunto de datos de BigQuery vinculado habilitados	Analiza los registros de forma activa. Ejecuta investigaciones ad hoc con el Explorador de registros en la consola o escribe consultas, informes y vistas de SQL con el conjunto de datos de BigQuery vinculado.
sk-c-logging-bkt	Registros enrutados a Cloud Storage	Almacena registros a largo plazo para fines de cumplimiento, auditoría y seguimiento de incidentes. De forma opcional, si tienes requisitos de cumplimiento para la retención de datos obligatoria, te recomendamos que configures el bloqueo del bucket.
sk-c-logging-pub	Registros enrutados a Pub/Sub	Exporta registros a una plataforma externa, como tu SIEM existente. Esto requiere trabajo adicional para la integración con tu SIEM, como los siguientes mecanismos: Para muchas herramientas, la integración de terceros con Pub/Sub es el método preferido para transferir registros. Para Google Chronicle, puedes transferir datos de Google Cloud a Chronicle sin aprovisionar infraestructura adicional. En Splunk, puedes transmitir registros de Google Cloud a Splunk mediante Dataflow.

Para obtener orientación sobre cómo habilitar tipos de registro adicionales y escribir filtros del receptor de registros, consulta la herramienta de alcance de registros.

Supervisión de amenazas con Security Command Center

Te recomendamos que actives Security Command Center Premium para tu organización a fin de detectar automáticamente amenazas, vulnerabilidades y configuraciones incorrectas en tus recursos de Google Cloud. Security Command Center crea resultados de seguridad a partir de varias fuentes, incluidas las siguientes:

• Security Health Analytics: Detecta vulnerabilidades comunes y configuraciones incorrectas en los recursos de Google Cloud.
• Exposición de la ruta de ataque: muestra una ruta simulada de cómo un atacante podría aprovechar tus recursos de alto valor, según las vulnerabilidades y configuraciones incorrectas que se detectan mediante Otras fuentes de Security Command Center.
• Event Threat Detection: Aplica la lógica de detección y la inteligencia de amenazas propia en tus registros para identificar amenazas casi en tiempo real.
• Container Threat Detection: detecta ataques comunes del entorno de ejecución del contenedor.
• Virtual Machine Threat Detection: detecta aplicaciones potencialmente maliciosas que se ejecutan en máquinas virtuales.
• Web Security Scanner: Analiza las vulnerabilidades de OWASP Top Ten en tus aplicaciones web en Compute Engine, App Engine o Google Kubernetes Engine.

Para obtener más información sobre las vulnerabilidades y amenazas que aborda Security Command Center, consulta Fuentes de Security Command Center.

Debes activar Security Command Center después de implementar el plano. Si deseas obtener instrucciones, consulta Activa Security Command Center para una organización.

Después de activar Security Command Center, te recomendamos exportar los resultados que produce Security Command Center a tus herramientas o procesos existentes para clasificar y responder a las amenazas. El plano crea el proyecto prj-c-scc con un tema de Pub/Sub que se usará para esta integración. Según tus herramientas existentes, usa uno de los siguientes métodos para exportar los resultados:

• Si usas la consola para administrar los resultados de seguridad directamente en Security Command Center, configura funciones a nivel de carpeta y a nivel de proyecto para Security Command Center a fin de permitir que los equipos vean y administren los resultados de seguridad solo para los proyectos de los que son responsables.

• Si usas Chronicle como tu SIEM, transfiere datos de Google Cloud a Chronicle.

• Si usas una herramienta SIEM o SOAR con integraciones en Security Command Center, comparte datos con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk o QRadar.

• Si usas una herramienta externa que puede transferir resultados de Pub/Sub, configura exportaciones continuas a Pub/Sub y configura tus herramientas existentes para transferir resultados desde el tema de Pub/Sub.

Alertas sobre métricas basadas en registros y métricas de rendimiento

Cuando comiences a implementar cargas de trabajo sobre la base, te recomendamos usar Cloud Monitoring para medir las métricas de rendimiento.

El plano crea un proyecto de supervisión como prj-p-monitoring para cada entorno. Este proyecto está configurado como un proyecto de permisos para recopilar métricas de rendimiento agregadas en varios proyectos. El plano implementa un ejemplo con métricas basadas en registros y una política de alertas para generar notificaciones por correo electrónico si hay algún cambio en la política de IAM que se aplican a los buckets de Cloud Storage. Esto ayuda a supervisar las actividades sospechosas en recursos sensibles, como el bucket en el proyecto prj-b-seed que contiene el estado de Terraform.

En términos más generales, también puedes usar Cloud Monitoring para medir las métricas de rendimiento y el estado de las aplicaciones de carga de trabajo. Según la responsabilidad operativa de la asistencia y la supervisión de las aplicaciones en tu organización, puedes crear proyectos de supervisión más detallados para diferentes equipos. Usa estos proyectos de supervisión para ver las métricas de rendimiento, crear paneles de estado de la aplicación y activar alertas cuando no se cumpla el SLO esperado.

En el siguiente diagrama, se muestra una vista de alto nivel de cómo Cloud Monitoring agrega métricas de rendimiento.

Para obtener orientación sobre cómo supervisar las cargas de trabajo de manera efectiva en busca de confiabilidad y disponibilidad, consulta el libro de ingeniería de confiabilidad de sitios de Google, en particular, el capítulo sobre la supervisión de sistemas distribuidos.

Solución personalizada para el análisis de registros automatizado

Es posible que tengas requisitos para crear alertas de eventos de seguridad basados en consultas personalizadas en los registros. Las consultas personalizadas pueden ayudar a complementar las capacidades de tu SIEM mediante el análisis de registros en Google Cloud y la exportación solo de los eventos que requieren investigación, en especial si no tienes la capacidad para exportar todos los registros en la nube a tu SIEM.

El plano ayuda a habilitar este análisis de registros mediante la configuración de una fuente centralizada de registros que puedes consultar mediante un conjunto de datos de BigQuery vinculado. Para automatizar esta capacidad, debes implementar la muestra de código en bq-log-alerting y extender las capacidades básicas. El código de muestra te permite consultar con regularidad una fuente de registro y enviar un resultado personalizado a Security Command Center.

En el siguiente diagrama, se presenta el flujo de alto nivel del análisis de registros automatizado.

En el diagrama, se muestran los siguientes conceptos del análisis de registros automatizado:

• Los registros de varias fuentes se agregan a un bucket de registros centralizado con estadísticas de registros y un conjunto de datos de BigQuery vinculado.
• Las vistas de BigQuery están configuradas para consultar registros del evento de seguridad que deseas supervisar.
• Cloud Scheduler envía un evento a un tema de Pub/Sub cada 15 minutos y activa Cloud Functions.
• Cloud Functions consulta las vistas para los eventos nuevos. Si encuentra eventos, los envía a Security Command Center como resultados personalizados.
• Security Command Center publica notificaciones sobre los resultados nuevos en otro tema de Pub/Sub.
• Una herramienta externa como una SIEM se suscribe al tema de Pub/Sub para transferir resultados nuevos.

La muestra tiene varios casos de uso para consultar comportamientos potencialmente sospechosos. Los ejemplos incluyen el acceso de una lista de administradores avanzados o de otras cuentas con muchos privilegios que especifiques, cambios en la configuración de registro o cambios en las rutas de red. Puedes extender los casos prácticos si escribes vistas de consulta nuevas para tus requisitos. Escribe tus propias consultas o consulta estadísticas de registros de seguridad para obtener una biblioteca de consultas de SQL a fin de ayudarte a analizar los registros de Google Cloud.

Solución personalizada para responder a los cambios de recursos

Para responder a eventos en tiempo real, te recomendamos usar Cloud Asset Inventory para supervisar los cambios de los elementos. En esta solución personalizada, se configura un feed de recursos para activar notificaciones en Pub/Sub sobre cambios en los recursos en tiempo real y, luego, Cloud Functions ejecuta código personalizado a fin de aplicar tu propia lógica empresarial según se debe permitir el cambio.

El plano tiene un ejemplo de esta solución de administración personalizada que supervisa los cambios de IAM que agregan funciones altamente sensibles, como administrador de la organización, propietario y editor. En el siguiente diagrama, se describe esta solución.

En el diagrama anterior, se muestran estos conceptos:

• Se realizan cambios en una política de permisos.
• El feed de Cloud Asset Inventory envía una notificación en tiempo real sobre el cambio de política de permisos a Pub/Sub.
• Pub/Sub activa una función.
• Cloud Functions ejecuta código personalizado para aplicar tu política. La función de ejemplo tiene lógica para evaluar si el cambio agregó los roles de administrador, propietario o editor de la organización a una política de permisos. Si es así, la función crea un resultado de seguridad personalizado y lo envía a Security Command Center.
• De manera opcional, puedes usar este modelo para automatizar los esfuerzos de solución. Escribe una lógica empresarial adicional en Cloud Functions para realizar acciones de forma automática sobre el resultado, como revertir la política de permisos a su estado anterior.

Además, puedes ampliar la infraestructura y la lógica que usa esta solución de muestra a fin de agregar respuestas personalizadas a otros eventos que sean importantes para tu empresa.

Próximos pasos

• Lee sobre los controles preventivos (siguiente documento de esta serie).