Descripción general de la categoría de amenazas en la nube
Este documento brinda una descripción general de los conjuntos de reglas en la categoría Cloud Threats, el las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas generadas por cada regla establecida. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloud con datos de Google Cloud y en entornos de AWS con datos de AWS.
Descripciones de conjuntos de reglas
Los siguientes conjuntos de reglas están disponibles en la categoría Cloud Threats.
La abreviatura CDIR significa Detección, investigación y respuesta en la nube.
Detecciones seleccionadas para datos de Google Cloud
Los conjuntos de reglas de Google Cloud ayudan a identificar amenazas en los entornos de Google Cloud usando eventos y de contexto, e incluye los siguientes conjuntos de reglas:
- Acción del administrador: Actividad asociada con acciones administrativas que se consideran sospechosos pero potencialmente legítimos según el uso organizacional.
- Exfiltración mejorada del SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de robo de seguridad de Security Command Center con otras fuentes de registro, como Registros de auditoría de Cloud registros, contexto de protección de datos sensibles, contexto de BigQuery y Security Command Center Registros de configuración incorrecta.
- Evasión de defensa mejorada del SCC del CDIR: Contiene reglas contextuales que se correlacionan Hallazgos de evasión de Security Command Center o evasión de defensa con datos de otros Fuentes de datos de Google Cloud, como Registros de auditoría de Cloud
- Software malicioso mejorado SCC del CDIR: Contiene reglas contextuales que se correlacionan Hallazgos de malware de Security Command Center con datos como el caso de IP direcciones y dominios, y sus puntajes de prevalencia, además de otros datos fuentes como registros de Cloud DNS.
- Persistencia mejorada de SCC de CDIR: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de persistencia de Security Command Center con datos de fuentes como los registros de Cloud DNS y los registros de análisis de IAM.
- Escalación de privilegios mejorados del SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de escalación de privilegios de Security Command Center con datos de varias otras fuentes de datos, como Registros de auditoría de Cloud.
- Acceso a credenciales SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos del Acceso a credenciales de Security Command Center con datos de varias otras fuentes de datos, como Registros de auditoría de Cloud
- Descubrimiento mejorado del SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de la escalación de descubrimiento de Security Command Center con datos de fuentes como como los servicios de Google Cloud y los Registros de auditoría de Cloud.
- Fuerza bruta del SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de derivación de fuerza bruta con datos como los registros de Cloud DNS
- Destrucción de datos SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de la derivación de destrucción de datos con datos de muchas otras fuentes de datos, como los Registros de auditoría de Cloud.
- CDIR SCC Inhibit System Recovery: Contiene reglas contextuales que correlacionan Security Command Center. Inhibe los hallazgos de la recuperación del sistema con datos de otras fuentes de datos, como los Registros de auditoría de Cloud.
- Ejecución de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de ejecución con datos de muchas otras fuentes de datos, como los Registros de auditoría de Cloud
- CDIR SCC Initial Access: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de acceso inicial de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
- El SCC del CDIR de Defensas de Daños: Contiene reglas contextuales que correlacionan Security Command Center. Deteriora los hallazgos de Defensas con datos de otras fuentes de datos como los Registros de auditoría de Cloud.
- Impacto del SCC del CDIR: Contiene reglas que detectan los resultados de Impacto de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
- IDS de Cloud del SCC del CDIR: Contiene reglas que detectan los hallazgos del Sistema de Detección de Intrusiones de Cloud de Security Command Center. con una clasificación de gravedad crítica, alta, media y baja.
- CDIR SCC Cloud Armor: Contiene reglas que detectan los hallazgos de Google Cloud Armor desde Security Command Center.
- Módulo personalizado del SCC del CDIR: Contiene reglas que detectan los resultados del módulo personalizado de Event Threat Detection de Security Command Center.
- Cloud Hacktool: Actividad detectada en plataformas de seguridad ofensivas conocidas o de herramientas o software ofensivos utilizados en el entorno por perpetradores que se dirigen específicamente a los recursos en la nube.
- Rescate de Cloud SQL: detecta la actividad asociada con el robo o el rescate de en las bases de datos de Cloud SQL.
- Herramientas sospechosas de Kubernetes: Detecta el comportamiento de reconocimiento y explotación de abiertos herramientas de origen de Kubernetes.
- Abuso de RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de controles de acceso basados en roles (RBAC) que intentan la escalación de privilegios o el movimiento lateral.
- Acciones sensibles de certificados de Kubernetes: Detecta acciones de certificados de Kubernetes y solicitudes de firma de certificados (CSR) que podrían usarse para establecer la persistencia o la escalación de privilegios.
- Abuso de IAM: Actividad asociada con el abuso de roles y permisos de IAM para realizar las siguientes acciones: potencialmente escalada de privilegios o moverse lateralmente dentro de una nube determinada proyecto o en una organización de Cloud.
- Posible actividad de robo: detecta la actividad asociada con posibles y robo de datos.
- Enmascaramiento de recursos: Detecta recursos de Google Cloud creados con nombres o de otro recurso o tipo de recurso. Esto podría ser que se usan para enmascarar la actividad maliciosa realizada por o dentro del recurso, con las intención de parecer legítimas.
- Amenazas sin servidores : Detectan la actividad asociada con un posible compromiso o abuso de la tecnología sin servidores. recursos en Google Cloud, como Cloud Run y Cloud Run.
- Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si que se realizan en un entorno de producción en funcionamiento, pueden provocar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en entornos de prueba y desarrollo.
- Comportamiento sospechoso: Actividad que se considera poco común y sospechosa en en la mayoría de los entornos.
- Cambios sospechosos de infraestructura: Detectan modificaciones en la producción. que se alinean con tácticas de persistencia conocidas
- Configuración debilitada: Es la actividad asociada con debilitar o degradar un elemento. control de seguridad de la organización. Se considera sospechoso, potencialmente legítimo según su uso en la organización.
- Posible robo de datos de usuarios con información privilegiada desde Chrome: Detecta la actividad asociada con posibles comportamientos de amenazas de usuarios con información privilegiada, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Chrome se consideraron anómalos en comparación con un modelo de referencia de 30 días.
- Posible robo de datos de usuarios con información privilegiada en Drive: Detecta la actividad asociada. con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Drive que se consideran anómalos en comparación con un modelo de referencia de 30 días.
- Posible robo de datos de usuarios con información privilegiada en Gmail: detecta la actividad asociada con comportamientos potenciales de amenazas internas, como el robo de datos o la pérdida de datos sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Gmail que se consideran anómalos en comparación con un modelo de referencia de 30 días.
- Posible compromiso de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haber sido vulnerada y podría dar lugar a que de escalamiento o de desplazamiento lateral en una organización de Google Workspace. Esto incluiría los comportamientos considerados raros o anómalos en comparación con un modelo de referencia de 30 días.
- Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indiquen posibles acciones. evasión, cambio a una versión inferior de la seguridad o comportamientos raros y anómalos nunca vistos en la últimos 30 días a los usuarios con mayores privilegios, como los administradores.
La abreviatura CDIR significa Detección, investigación y respuesta en la nube.
Dispositivos y tipos de registros compatibles
En las siguientes secciones, se describen los datos necesarios para los conjuntos de reglas de la categoría Amenazas en la nube.
Para transferir datos desde los servicios de Google Cloud, consulta Transfiere registros de Cloud a Google Security Operations. Comunícate con tu representante de Google Security Operations si necesitas recopilar estos registros. con un mecanismo diferente.
Google Security Operations proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar desde los servicios de Google Cloud para crear registros de UDM con los datos requeridos por estos conjuntos de reglas.
Para obtener una lista de todas las fuentes de datos compatibles con Google Security Operations, consulta Analizadores predeterminados admitidos.
Todos los conjuntos de reglas
Para usar cualquier conjunto de reglas, te recomendamos que recopiles los registros de auditoría de Google Cloud. Algunas reglas requieren que los clientes habiliten Cloud DNS de los datos. Asegúrate de que los servicios de Google Cloud estén configurados para registrar a los siguientes registros:
Conjunto de reglas de rescate de Cloud SQL
Para usar el conjunto de reglas de Rescate de Cloud SQL, te recomendamos que recopiles los siguientes datos de Google Cloud:
- Los datos de registro que aparecen en la sección Todos los conjuntos de reglas.
- Registros de Cloud SQL.
Conjuntos de reglas mejoradas de CDIR SCC
Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan Security Command Center Premium contextualizados con varias otras fuentes de registros de Google Cloud, incluidas las siguientes:
- Cloud Audit Logs
- Registros de Cloud DNS
- Análisis de Identity and Access Management (IAM)
- Contexto de la protección de datos sensibles
- Contexto de BigQuery
- Contexto de Compute Engine
Para usar los conjuntos de reglas del CDIR SCC Enhanced, te recomendamos que recopiles los siguientes datos de Google Cloud:
- Los datos de registro enumerados en la columna Todas las reglas .
Los siguientes datos de registro, enumerados por nombre del producto y etiqueta de transferencia de Google Security Operations:
- BigQuery (
GCP_BIGQUERY_CONTEXT
) - Compute Engine (
GCP_COMPUTE_CONTEXT
) - IAM (
GCP_IAM_CONTEXT
) - Protección de datos sensibles (
GCP_DLP_CONTEXT
) - Registros de auditoría de Cloud (
GCP_CLOUDAUDIT
) - Actividad de Google Workspace (
WORKSPACE_ACTIVITY
) - Consultas de Cloud DNS (
GCP_DNS
)
- BigQuery (
Las siguientes clases de resultados de Security Command Center, enumeradas por identificador
findingClass
y etiqueta de transferencia de Google Security Operations:Threat
(GCP_SECURITYCENTER_THREAT
)Misconfiguration
(GCP_SECURITYCENTER_MISCONFIGURATION
)Vulnerability
(GCP_SECURITYCENTER_VULNERABILITY
)SCC Error
(GCP_SECURITYCENTER_ERROR
)
Los conjuntos de reglas del CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud. Para enviar los datos necesarios a Google Security Operations, asegúrate de completar lo siguiente:
- Habilita el registro para los productos y servicios de Google Cloud necesarios.
- Habilitar Security Command Center Premium y los servicios relacionados
- Configura la transferencia de registros de Google Cloud a Google Security Operations.
- Configurar la exportación de los resultados de Event Threat Detection a Google Security Operations. De forma predeterminada, se transfieren todos los resultados de Security Command Center. Consulta Exporta los resultados de Security Command Center. para obtener más información sobre cómo los analizadores predeterminados de Google Security Operations asignan los campos de datos.
- Habilitar los Registros de auditoría de Cloud y configurar la exportación de Registros de auditoría de Cloud a Google Security Operations Consulta Recopila registros de auditoría de Cloud para obtener más información.
- Habilita los registros de Google Workspace y envíalos a Google Security Operations. Consulta Recopila registros de Google Workspace para obtener más información.
- Configura la exportación de metadatos de recursos de Google Cloud, y datos relacionados con el contexto, a Google Security Operations. Consulta Exporta metadatos de recursos de Google Cloud a Google Security Operations. y Cómo exportar datos de Sensitive Data Protection a Google Security Operations para obtener más información.
Los siguientes conjuntos de reglas crean una detección cuando los hallazgos de Security Command Center Event Threat Detection, Se identifican Google Cloud Armor, Servicio de acciones sensibles de Security Command Center y Módulos personalizados para Event Threat Detection:
- IDS de Cloud de SCC de CDIR
- CDIR SCC Cloud Armor
- Impacto del SCC del CDIR
- Persistencia mejorada de SCC del CDIR
- Evasión de defensas mejorada de SCC de CDIR
- Módulo personalizado de la SCC del CDIR
Conjunto de reglas de herramientas sospechosas de Kubernetes
Para usar el conjunto de reglas de herramientas sospechosas de Kubernetes, te recomendamos que recopiles los datos que aparecen en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE).
Conjunto de reglas de abuso del RBAC de Kubernetes
Para usar el conjunto de reglas Abuso de RBAC de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que se enumeran en la sección Todos los conjuntos de reglas.
Conjunto de reglas de acciones sensibles en certificados de Kubernetes
Para usar el conjunto de reglas de Acciones sensibles en los certificados de Kubernetes, te recomendamos que recopiles registros de auditoría de Cloud. en la sección Todos los conjuntos de reglas.
Conjuntos de reglas relacionadas con Google Workspace
Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:
- Posible robo de datos de usuarios con información privilegiada desde Chrome
- Posible robo de datos de usuarios con información privilegiada en Drive
- Posible robo de datos privilegiados desde Gmail
- Posible compromiso de la cuenta de Workspace
- Acciones administrativas sospechosas de Workspace
Estos conjuntos de reglas requieren los siguientes tipos de registros, enumerados por nombre de producto y Etiqueta de transferencia de Google Security Operations:
- Actividades de Workspace (
WORKSPACE_ACTIVITY
) - Alertas de Workspace (
WORKSPACE_ALERTS
) - Dispositivos ChromeOS de Workspace (
WORKSPACE_CHROMEOS
) - Dispositivos móviles de Workspace (
WORKSPACE_MOBILE
) - Usuarios de Workspace (
WORKSPACE_USERS
) - Administración en la nube para el navegador Google Chrome (
CHROME_MANAGEMENT
) - Registros de Gmail (
GMAIL_LOGS
)
Para transferir los datos necesarios, haz lo siguiente:
Recopila los datos que aparecen en la sección Todos los conjuntos de reglas de este documento.
Consulta Transfiere datos de Google Workspace a Google Security Operations para recopilar registros de
WORKSPACE_ACTIVITY
,WORKSPACE_CHROMEOS
,CHROME_MANAGEMENT
yGMAIL
.Consulta Cómo recopilar registros de Google Workspace. transferir los siguientes registros:
WORKSPACE_ALERTS
WORKSPACE_MOBILE
WORKSPACE_USERS
Conjunto de reglas de amenazas sin servidores
- Recopila los datos que aparecen en la sección Todos los conjuntos de reglas de esta .
- Registros de Cloud Run (
GCP_RUN
).
Los registros de Cloud Run incluyen registros de solicitudes y de contenedores, que se transfieren como el tipo de registro GCP_RUN
en las operaciones de seguridad de Google. Los registros de GCP_RUN
se pueden transferir mediante la transferencia directa o
mediante feeds y Cloud Storage. Para filtros de registro específicos y más transferencia
consulta Exporta registros de Google Cloud a Google Security Operations. Lo siguiente
el filtro de exportación exporta los registros de Google Cloud Run (GCP_RUN
), en
a los registros predeterminados, tanto a través del mecanismo de transferencia directa como
Cloud Storage y
Receptores:
log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)
Detecciones seleccionadas para conjuntos de reglas de AWS
Los conjuntos de reglas de AWS en esta categoría ayudan a identificar amenazas en entornos de AWS usando eventos y de contexto, e incluye los siguientes conjuntos de reglas:
- AWS - Compute: detecta actividad anómala en torno al procesamiento de AWS. recursos como EC2 y Lambda.
- Datos de AWS: Detecta la actividad de AWS asociada con los recursos de datos, como Las instantáneas de RDS o los buckets de S3 se ponen a disposición del público.
- AWS - GuardDuty: Alertas de AWS GuardDuty adaptadas al contexto para comportamiento, acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, robo de información, impacto, acceso inicial, software malicioso, pruebas de penetración, persistencia, política, escalamiento de privilegios y acceso no autorizado.
- AWS - Hacktools: Detecta el uso de Hacktools en un entorno de AWS, como como escáneres, kits de herramientas y frameworks.
- Identidad de AWS: Detecciones de la actividad de AWS asociada con IAM y de autenticación, como accesos inusuales desde varias ubicaciones geográficas, la creación de roles demasiado permisivos o la actividad de IAM desde herramientas sospechosas.
- AWS: Registro y supervisión: Detecta la actividad de AWS relacionada con la inhabilitación de servicios de registro y supervisión, como CloudTrail, CloudWatch y GuardDuty.
- AWS: Red: Detecta alteraciones no seguras en la configuración de red de AWS, como grupos de seguridad y firewalls.
- AWS - Organización: Detecta la actividad de AWS asociada con tu organización. tales como la adición o eliminación de cuentas y los eventos inesperados relacionados con región.
- AWS - Secrets: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, como la eliminación de secretos de KMS o de Secret Manager.
Dispositivos y tipos de registros compatibles
Estos conjuntos de reglas se probaron y son compatibles con las siguientes Google Security Operations fuentes de datos, ordenadas por nombre del producto y etiqueta de transferencia.
- AWS CloudTrail (
AWS_CLOUDTRAIL
) - AWS GuardDuty (
GUARDDUTY
) - AWS EC2 HOSTS (
AWS_EC2_HOSTS
) - INSTANCIAS DE AWS EC2 (
AWS_EC2_INSTANCES
) - VPC de AWS EC2 (
AWS_EC2_VPCS
) - AWS Identity and Access Management (IAM) (
AWS_IAM
)
Consulta Configura la transferencia de AWS datos para obtener información. sobre cómo configurar la transferencia de datos de AWS.
Para obtener una lista de todas las fuentes de datos admitidas, consulta Analizadores predeterminados admitidos.
En las siguientes secciones, se describen los datos requeridos que necesitan los conjuntos de reglas que identificar patrones en los datos.
Puedes transferir datos de AWS con Amazon Simple Storage Service (Amazon S3) bucket como tipo de fuente o, de forma opcional, mediante Amazon S3 con Amazon Simple Queue de Google Cloud (Amazon SQS). En un nivel alto, deberás hacer lo siguiente:
- Configura Amazon S3 o Amazon S3 con Amazon SQS para recopilar datos de registro.
- Configurar un feed de operaciones de seguridad de Google para transferir datos desde Amazon S3 o Amazon SQS
Consulta Transfiere registros de AWS a Google Security Operations. para conocer los pasos detallados necesarios para configurar los servicios de AWS y establecer una Feed de operaciones de seguridad de Google para transferir datos de AWS
Puedes usar las reglas de prueba de las Pruebas de detección administrada de AWS para verificar que los datos de AWS se está transfiriendo a la SIEM de Google Security Operations. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se transfieren como se espera. Después de configurar la transferencia de AWS de prueba, realizas acciones en AWS que deben activar las reglas de prueba.
Consulta Cómo verificar la transferencia de datos de AWS para la categoría Amenazas en la nube para obtener información sobre cómo verificar la transferencia de datos de AWS con las reglas de prueba de Pruebas de detección administradas por AWS.
Ajusta las alertas que muestran los conjuntos de reglas
Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.
Una exclusión de reglas define los criterios que se usan para excluir un evento de que no sea evaluado por el conjunto de reglas o según reglas específicas en el conjunto. Cree una o más exclusiones de reglas para reducir el volumen de detecciones. Consulte el artículo Configurar exclusiones de reglas para obtener más información sobre cómo hacerlo.