Security Command Center Premium para el servicio de copia de seguridad y DR

Security Command Center (SCC) es una plataforma centralizada para la visibilidad, la supervisión y las alertas en Google Cloud. SCC proporciona detección y alertas en tiempo real a través de la transferencia de registros y eventos de Google Cloud para identificar riesgos de seguridad.

Con el detector de copias de seguridad y DR, que ahora está disponible para todos los clientes de Security Command Center Premium, los administradores de seguridad pueden recibir alertas preconfiguradas sobre actividades de copia de seguridad anómalas. Cuando las copias de seguridad son un objetivo de ransomware o amenazas internas, esta integración entre las copias de seguridad y la DR y SCC muestra de inmediato los eventos de alto riesgo para permitir la investigación y la solución de posibles amenazas.

Las alertas para los clientes se presentan en forma de hallazgos generados en SCC, que proporcionan información detallada sobre el evento de riesgo, su gravedad, los recursos de copia de seguridad afectados y los flujos de trabajo para la investigación y la solución.

Antes de comenzar

Para habilitar las alertas de seguridad, activa Security Command Center Premium si aún no está habilitado.

  1. Navega a Security Command Center en la consola de Google Cloud.
  2. Selecciona el nivel Premium. Esto es necesario para habilitar la Detección de eventos de amenazas.
  3. Selecciona Servicios. BackupDR está preseleccionada de forma predeterminada.
  4. Otorga roles.

Te recomendamos que revises Cómo usar Event Threat Detection y las reglas de Event Threat Detection en Descripción general de Event Threat Detection.

Genera un resultado

Es posible que las acciones de alto riesgo que realice un usuario en el servicio de copia de seguridad y DR generen un hallazgo. Entre estas acciones, se incluyen las siguientes:

  • Cómo vencer una imagen de copia de seguridad
  • Vencimiento de todas las imágenes
  • Cómo quitar un plan de copia de seguridad
  • Borra una plantilla de copia de seguridad
  • Borra una política de copias de seguridad
  • Cómo borrar un perfil
  • Cómo quitar un dispositivo de copia de seguridad o recuperación
  • Borraste un host
  • Borra un grupo de almacenamiento
  • Reducción del vencimiento de las copias de seguridad
  • Frecuencia de copia de seguridad reducida

Hay una lista completa de los resultados de todos los productos en la documentación de Security Command Center.

Un usuario que realiza una de las acciones en el servicio de copia de seguridad y DR activa la detección de amenazas de eventos para analizar el evento y determinar si representa un riesgo de seguridad.

Cómo comprender los resultados

Cuando Security Command Center considera que una acción es un riesgo de seguridad, se genera un hallazgo. Luego, un administrador de seguridad puede analizar con mayor detalle los recursos afectados y seguir los próximos pasos recomendados. En el caso de los hallazgos de alta gravedad, es posible que se requiera una mayor investigación y solución. Los resultados incluyen detalles sobre los recursos afectados, cuándo ocurrió el evento de seguridad y qué acciones se deben realizar para solucionar una amenaza.

Obtén más información sobre los resultados de las consultas de hallazgos.

Recursos de copia de seguridad

Los resultados incluyen información sobre los recursos de copia de seguridad afectados.

  • Nombre de la plantilla: Una plantilla consta de políticas de copia de seguridad.
  • Nombre de la política: Una política define cuándo se ejecuta una copia de seguridad, la frecuencia y la retención.
  • Nombre de la aplicación: Una aplicación es una VM, una base de datos o un sistema de archivos que la consola de administración de Backup and DR Service conoce.
  • Nombre de host: Un host es una VM que aloja una base de datos o un sistema de archivos que se debe proteger.
  • Nombre del grupo de almacenamiento: Un grupo de almacenamiento es un bucket de Cloud Storage en el que se almacena una copia de seguridad de OnVault.
  • Nombre de la opción de política: Las opciones de política son configuraciones adicionales que los usuarios pueden aplicar a una política determinada.
  • Nombre del perfil: Un perfil define dónde se almacenará una copia de seguridad.
  • Tipo de copia de seguridad: Las copias de seguridad son de tres tipos: instantáneas, instantáneas remotas y OnVault.
  • Hora y fecha de la copia de seguridad: Muestran la hora y la fecha en las que se realizó la copia de seguridad afectada.

Investigación y solución

Cuando obtengas un resultado, consulta Investiga amenazas y responde a ellas. Puedes ver un ejemplo de JSON en Cómo usar Event Threat Detection.

Security Command Center ofrece herramientas de investigación integradas adicionales para los clientes. La vinculación con Cloud Logging, el indicador MITRE y los recursos afectados permite una solución rápida.

  • La integración de Cloud Logging te permite hacer clic en una consulta detallada de Cloud Logging.

  • La integración en Cloud Monitoring habilita la creación de alertas adicionales en eventos similares.

  • Las clasificaciones de MITRE indican el tipo de ataque que se indica con un hallazgo (ejemplo).