Descripción general de la categoría de amenazas en la nube

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría Cloud Threats, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloud con datos de Google Cloud y en entornos de AWS con datos de AWS.

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Cloud Threats.

La abreviatura CDIR significa Detección, investigación y respuesta en la nube.

Detecciones seleccionadas para datos de Google Cloud

Los conjuntos de reglas de Google Cloud ayudan a identificar amenazas en los entornos de Google Cloud mediante datos de eventos y contexto. Además, incluyen los siguientes conjuntos de reglas:

  • Acción del administrador: Actividad asociada con acciones administrativas que se consideran sospechosas, pero potencialmente legítimas según el uso de la organización.
  • Exfiltración mejorada de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los hallazgos del robo de Security Command Center con otras fuentes de registro, como los registros de Registros de auditoría de Cloud, el contexto de protección de datos sensibles, el contexto de BigQuery y los registros de configuración incorrecta de Security Command Center.
  • Evasión de defensa mejorada del SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la evasión de Security Command Center o de defensa con datos de otras fuentes de datos de Google Cloud, como los Registros de auditoría de Cloud.
  • Software malicioso SCC mejorado de CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de software malicioso de Security Command Center con datos como la ocurrencia de direcciones IP y dominios y sus puntuaciones de prevalencia, además de otras fuentes de datos, como los registros de Cloud DNS.
  • Persistencia mejorada de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la persistencia de Security Command Center con datos de fuentes como registros de Cloud DNS y registros de análisis de IAM.
  • Escalación de privilegios mejorados de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la elevación de privilegios de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Acceso a credenciales SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados del Acceso a credenciales de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Descubrimiento mejorado del SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la escalación del descubrimiento de Security Command Center con datos de fuentes como los servicios de Google Cloud y los Registros de auditoría de Cloud.
  • Fuerza bruta de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la derivación de fuerza bruta de Security Command Center con datos como los registros de Cloud DNS.
  • Destrucción de datos SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la elevación de la elevación de la destrucción de datos de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • CDIR SCC Inhibit System Recovery: Contiene reglas adaptadas al contexto que correlacionan los resultados de Security Command Center, con lo que inhiben los resultados de la recuperación del sistema con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Ejecución de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los resultados de la ejecución de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Acceso inicial a SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los hallazgos del Acceso inicial a Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Defensas debilitadas del SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan los hallazgos de Defensas deficientes de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Impacto del SCC del CDIR: Contiene reglas que detectan los resultados de Impacto de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • IDS de Cloud del SCC del CDIR: Contiene reglas que detectan los hallazgos del Sistema de detección de intrusiones de Cloud en Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • Cloud Armor del SCC del CDIR: Contiene reglas que detectan los resultados de Google Cloud Armor de Security Command Center.
  • Módulo personalizado del SCC del CDIR: Contiene reglas que detectan los resultados del módulo personalizado de Event Threat Detection de Security Command Center.
  • Cloud Hacktool: Actividad detectada de plataformas de seguridad ofensivas conocidas o de herramientas o software ofensivos que usan en la práctica los agentes de amenazas que apuntan específicamente a los recursos de la nube.
  • Rescate de Cloud SQL: Detecta la actividad asociada con el robo o el rescate de datos dentro de las bases de datos de Cloud SQL.
  • Herramientas sospechosas de Kubernetes: Detectan el comportamiento de reconocimiento y explotación desde las herramientas de código abierto de Kubernetes.
  • Abuso del RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de los controles de acceso basados en funciones (RBAC) que intentan la elevación de privilegios o el desplazamiento lateral.
  • Acciones sensibles de certificados de Kubernetes: Detecta acciones de certificados de Kubernetes y solicitudes de firma de certificados (CSR) que podrían usarse para establecer la persistencia o la escalación de privilegios.
  • Abuso de IAM: Actividad asociada con el abuso de funciones y permisos de IAM para aumentar los privilegios o desplazarse lateralmente en un proyecto de Cloud determinado o en una organización de Cloud.
  • Posible actividad de robo de datos: Detecta la actividad asociada con un posible robo de datos.
  • Enmascaramiento de recursos: Detecta recursos de Google Cloud creados con nombres o características de otro recurso o tipo de recurso. Esto se podría usar para enmascarar la actividad maliciosa realizada por el recurso o dentro de este, con la intención de parecer legítima.
  • Amenazas sin servidores : Detectan la actividad asociada con un posible compromiso o abuso de los recursos sin servidores en Google Cloud, como Cloud Run y Cloud Functions.
  • Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si se realizan en un entorno de producción en funcionamiento, pueden causar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en los entornos de pruebas y desarrollo.
  • Comportamiento sospechoso: Actividad que se considera poco común y sospechosa en la mayoría de los entornos.
  • Cambios sospechosos en la infraestructura: Detecta las modificaciones en la infraestructura de producción que se alinean con las tácticas de persistencia conocidas.
  • Configuración debilitada: Es la actividad asociada con el debilitamiento o degradación de un control de seguridad. Se considera sospechoso, potencialmente legítimo según el uso organizacional.
  • Posible robo de datos de usuarios con información privilegiada desde Chrome: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Chrome que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de usuarios con información privilegiada de Drive: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Drive que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos internos de Gmail: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Gmail que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible ataque de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haber estado potencialmente comprometida y puede llevar a intentos de elevación de privilegios o intentos de desplazamiento lateral dentro de una organización de Google Workspace. Esto incluiría los comportamientos considerados raros o anómalos en comparación con un modelo de referencia de 30 días.
  • Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indican posibles evasiones, cambios de seguridad a versiones anteriores o comportamientos raros y anómalos nunca vistos en los últimos 30 días de usuarios con privilegios mayores, como administradores.

La abreviatura CDIR significa Detección, investigación y respuesta en la nube.

Dispositivos y tipos de registros compatibles

En las siguientes secciones, se describen los datos obligatorios que necesitan los conjuntos de reglas de la categoría de amenazas de Cloud.

Para transferir datos desde los servicios de Google Cloud, consulta Transfiere registros de Cloud a Google Security Operations. Comunícate con tu representante de Google Security Operations si necesitas recopilar estos registros con un mecanismo diferente.

Google Security Operations proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar de los servicios de Google Cloud para crear registros de UDM con los datos que requieren estos conjuntos de reglas.

Para obtener una lista de todas las fuentes de datos compatibles con Google Security Operations, consulta Analizadores predeterminados admitidos.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recopiles registros de auditoría de Cloud de Google Cloud. Ciertas reglas requieren que los clientes habiliten los registros de Cloud DNS. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los siguientes registros:

Conjunto de reglas de rescate de Cloud SQL

Para usar el conjunto de reglas de Rescate de Cloud SQL, te recomendamos que recopiles los siguientes datos de Google Cloud:

Conjuntos de reglas mejoradas de CDIR SCC

Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan hallazgos de Security Command Center Premium contextualizados con otras fuentes de registros de Google Cloud, incluidas las siguientes:

  • Registros de auditoría de Cloud
  • Registros de Cloud DNS
  • Análisis de Identity and Access Management (IAM)
  • Contexto de la protección de datos sensibles
  • Contexto de BigQuery
  • Contexto de Compute Engine

Para usar los conjuntos de reglas del CDIR SCC Enhanced, te recomendamos que recopiles los siguientes datos de Google Cloud:

  • Los datos de registro que se muestran en la sección Todos los conjuntos de reglas.

  • Los siguientes datos de registro, enumerados por nombre del producto y etiqueta de transferencia de Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protección de datos sensibles (GCP_DLP_CONTEXT)
    • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
    • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas de Cloud DNS (GCP_DNS)

  • Las siguientes clases de hallazgos de Security Command Center, enumeradas por el identificador findingClass y la etiqueta de transferencia de Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas del CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud. Para enviar los datos requeridos a Google Security Operations, asegúrate de completar la siguiente información:

Los siguientes conjuntos de reglas crean una detección cuando se identifican los hallazgos de Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service y módulos personalizados para Event Threat Detection:

  • IDS de Cloud del SCC del CDIR
  • CDIR SCC Cloud Armor
  • Impacto del SCC del CDIR
  • Persistencia mejorada de SCC del CDIR
  • Evasión de Defensa Mejorada del CDIR SCC
  • Módulo personalizado de la SCC del CDIR

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas de las herramientas sospechosas de Kubernetes, te recomendamos que recopiles los datos que aparecen en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE).

Conjunto de reglas de abuso del RBAC de Kubernetes

Para usar el conjunto de reglas de Abuso de RBAC de Kubernetes, te recomendamos que recopiles Registros de auditoría de Cloud, que se enumeran en la sección Todos los conjuntos de reglas.

Conjunto de reglas de acciones sensibles en certificados de Kubernetes

Si deseas usar el conjunto de reglas de Acciones sensibles en los certificados de Kubernetes, te recomendamos que recopiles Registros de auditoría de Cloud, que aparecen en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionadas con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

  • Posible robo de datos de usuarios con información privilegiada desde Chrome
  • Posible robo de datos de usuarios con información privilegiada en Drive
  • Posible robo de datos privilegiados desde Gmail
  • Posible compromiso de la cuenta de Workspace
  • Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, enumerados por nombre de producto y etiqueta de transferencia de Google Security Operations:

  • Actividades de Workspace (WORKSPACE_ACTIVITY)
  • Alertas de Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
  • Usuarios de Workspace (WORKSPACE_USERS)
  • Administración en la nube para el navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros de Gmail (GMAIL_LOGS)

Para transferir los datos requeridos, haz lo siguiente:

Conjunto de reglas de amenazas sin servidores

Los registros de Cloud Run incluyen registros de solicitudes y de contenedores, que se transfieren como el tipo de registro GCP_RUN en Google Security Operations. Los registros GCP_RUN se pueden transferir mediante transferencia directa o mediante feeds y Cloud Storage. Para obtener filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a Google Security Operations. El siguiente filtro de exportación exporta los registros de Google Cloud Run (GCP_RUN), además de los registros predeterminados a través del mecanismo de transferencia directa y a través de Cloud Storage y receptores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para conjuntos de reglas de AWS

Los conjuntos de reglas de AWS en esta categoría ayudan a identificar amenazas en los entornos de AWS mediante datos de eventos y contextos, y también incluyen los siguientes conjuntos de reglas:

  • AWS - Compute: detecta actividad anómala en torno a los recursos de procesamiento de AWS, como EC2 y Lambda.
  • Datos de AWS: Detecta la actividad de AWS asociada con los recursos de datos, como instantáneas de RDS o buckets de S3 puestos a disposición del público.
  • AWS - GuardDuty: Alertas de AWS GuardDuty adaptadas al contexto para comportamiento, acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, exfiltración, impacto, acceso inicial, software malicioso, pruebas de penetración, persistencia, política, escalación de privilegios y acceso no autorizado.
  • AWS - Hacktools: Detecta el uso de Hacktools en un entorno de AWS, como escáneres, kits de herramientas y frameworks.
  • AWS: Identidad: Detecciones de la actividad de AWS asociada con la actividad de IAM y autenticación, como accesos inusuales desde varias ubicaciones geográficas, creación de funciones demasiado permisivas o actividad de IAM desde herramientas sospechosas.
  • AWS - Logging and Monitoring: Detecta la actividad de AWS relacionada con la inhabilitación de los servicios de registro y supervisión, como CloudTrail, CloudWatch y GuardDuty.
  • AWS: Network: Detecta alteraciones no seguras en la configuración de red de AWS, como grupos de seguridad y firewalls.
  • AWS - Organización: Detecta la actividad de AWS asociada con tu organización, como la adición o eliminación de cuentas, y los eventos inesperados relacionados con el uso de la región.
  • AWS: Secretos: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, como la eliminación de secretos de KMS o de Secret Manager.

Dispositivos y tipos de registros compatibles

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de Google Security Operations, que se enumeran por nombre del producto y etiqueta de transferencia.

Consulta Configura la transferencia de datos de AWS para obtener información sobre cómo configurar la transferencia de datos de AWS.

Para obtener una lista de todas las fuentes de datos admitidas, consulta Analizadores predeterminados admitidos.

En las siguientes secciones, se describen los datos requeridos que necesitan los conjuntos de reglas que identifican patrones en los datos.

Puedes transferir datos de AWS con un bucket de Amazon Simple Storage Service (Amazon S3) como tipo de fuente o, de forma opcional, con Amazon S3 con Amazon Simple Queue Service (Amazon SQS). En un nivel alto, deberás hacer lo siguiente:

Consulta Transfiere registros de AWS a Google Security Operations si quieres conocer los pasos detallados necesarios para configurar los servicios de AWS y un feed de operaciones de seguridad de Google para transferir datos de AWS.

Puedes usar las reglas de prueba de las pruebas de detección administrada de AWS para verificar que los datos de AWS se estén transfiriendo a la SIEM de Google Security Operations. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se transfieren como se espera. Después de configurar la transferencia de datos de AWS, realiza acciones en AWS que deberían activar las reglas de prueba.

Consulta Verifica la transferencia de datos de AWS para la categoría Cloud Threats a fin de obtener información sobre cómo verificar la transferencia de datos de AWS con las reglas de prueba de AWS Managed Detection Testing.

Ajusta las alertas que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento, de modo que no sea evaluado por el conjunto de reglas o por reglas específicas del conjunto de reglas. Crea una o más exclusiones de reglas para reducir el volumen de detecciones. Consulte el artículo Configurar exclusiones de reglas para obtener más información sobre cómo hacerlo.

¿Qué sigue?