Descripción general de la categoría de amenazas en la nube

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría Cloud Threats, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud mediante datos de Google Cloud y en entornos de AWS que usan datos de AWS.

Descripciones del conjunto de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Cloud Threats.

La abreviatura CDIR significa Detección, investigación y respuesta en la nube.

Detecciones seleccionadas para datos de Google Cloud

Los conjuntos de reglas de Google Cloud ayudan a identificar amenazas en los entornos de Google Cloud mediante datos de eventos y contexto. Además, incluyen los siguientes conjuntos de reglas:

  • Acción del administrador: Actividad asociada con acciones administrativas, que se considera sospechosa, pero potencialmente legítima según el uso de la organización.
  • Exfiltración mejorada de CDIR SCC: Contiene reglas contextuales que correlacionan los resultados de robos de Security Command Center con otras fuentes de registro, como registros de auditoría de Cloud, contexto de protección de datos sensibles, contexto de BigQuery y registros de configuración incorrecta de Security Command Center.
  • Evasión de defensa mejorada de CIR SCC: Contiene reglas contextuales que correlacionan los resultados de la evasión de Security Command Center o Defense con datos de otras fuentes de datos de Google Cloud, como los Registros de auditoría de Cloud.
  • Software malicioso mejorado de CIR SCC: Contiene reglas contextuales que correlacionan los resultados de software malicioso de Security Command Center con datos como el caso de direcciones IP y dominios y sus puntuaciones de prevalencia, además de otras fuentes de datos, como los registros de Cloud DNS.
  • Persistencia mejorada de CDIR SCC: Contiene reglas contextuales que correlacionan los resultados de la persistencia de Security Command Center con datos de fuentes como los registros de Cloud DNS y los registros de análisis de IAM.
  • Escalación de privilegios mejorados de CIR SCC: Contiene reglas adaptadas al contexto que correlacionan los resultados de la escalación de privilegios de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Acceso a credenciales de SCC CDIR: Contiene reglas contextuales que correlacionan los resultados del acceso a las credenciales de Security Command Center con datos de otras fuentes de datos, como los registros de auditoría de Cloud.
  • Descubrimiento mejorado de CIR SCC: Contiene reglas contextuales que correlacionan los resultados de la derivación de Security Command Center Discovery con datos de fuentes como los servicios de Google Cloud y los registros de auditoría de Cloud.
  • Brute Force de CDIR SCC: Contiene reglas adaptadas al contexto que correlacionan los resultados de la derivación de fuerza bruta de Security Command Center con datos como los registros de Cloud DNS.
  • Destrucción de datos para el CDIR SCC: Contiene reglas contextuales que correlacionan los resultados de la derivación de la destrucción de datos de Security Command Center con datos de muchas otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Inhibit System Recovery: Contiene reglas contextuales que correlacionan los resultados de Security Command Center Inhibit System Recovery con datos de otras fuentes de datos, como Registros de auditoría de Cloud.
  • Ejecución de CDR SCC: Contiene reglas contextuales que correlacionan los resultados de la ejecución de Security Command Center con datos de varias otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Acceso inicial de CIR SCC: Contiene reglas contextuales que correlacionan los resultados del acceso inicial de Security Command Center con datos de varias otras fuentes de datos, como Registros de auditoría de Cloud.
  • CDIR SCC Impair Defenses: Contiene reglas contextuales que correlacionan los hallazgos de Security Command Center Impair Defenses con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • Impacto de CIR SCC: Contiene reglas que detectan los hallazgos de impacto de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • IDS de Cloud del CDIR SCC: Contiene reglas que detectan los resultados del Sistema de detección de intrusiones de Cloud desde Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • CDIR SCC Cloud Armor: Contiene reglas que detectan los resultados de Google Cloud Armor desde Security Command Center.
  • Módulo personalizado de SCC de CIR: Contiene reglas que detectan los hallazgos del módulo personalizado de Event Threat Detection de Security Command Center.
  • Cloud Hacktool: actividad detectada desde plataformas de seguridad ofensivas conocidas o desde herramientas o software ofensivos usados en el entorno por actores de amenazas que se dirigen de forma específica a los recursos de nube.
  • Rescate de Cloud SQL: Detecta la actividad asociada con el robo o el rescate de datos dentro de las bases de datos de Cloud SQL.
  • Herramientas sospechosas de Kubernetes: detecta el comportamiento de reconocimiento y explotación de las herramientas de Kubernetes de código abierto.
  • Abuso del RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de los controles de acceso basados en funciones (RBAC) que intentan la elevación de privilegios o el desplazamiento lateral.
  • Acciones sensibles en certificados de Kubernetes: Detecta acciones de certificados de Kubernetes y solicitudes de firma de certificados (CSR) que se podrían usar para establecer la persistencia o escalar privilegios.
  • Abuso de IAM: Actividad asociada con el abuso de funciones y permisos de IAM para realizar la elevación potencial de privilegios o el desplazamiento lateral dentro de un proyecto de Cloud determinado o en una organización de Cloud.
  • Posible actividad de filtración: Detecta la actividad asociada con una posible filtración de datos.
  • Enmascaramiento de recursos: Detecta recursos de Google Cloud creados con nombres o características de otro recurso o tipo de recurso. Podría usarse para enmascarar la actividad maliciosa llevada a cabo por o dentro del recurso, con la intención de parecer legítima.
  • Amenazas sin servidores : Detectan la actividad asociada con un posible compromiso o abuso de los recursos sin servidores en Google Cloud, como Cloud Run y Cloud Functions.
  • Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si se realizan en un entorno de producción en funcionamiento, puedan causar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en los entornos de prueba y desarrollo.
  • Comportamiento sospechoso: actividad que se considera poco común y sospechosa en la mayoría de los entornos.
  • Cambio sospechoso de infraestructura: detecta modificaciones en la infraestructura de producción que se alinean con tácticas de persistencia conocidas.
  • Configuración debilitada: Actividad asociada con el debilitamiento o degradación de un control de seguridad. Se consideran sospechosos, potencialmente legítimos según el uso organizacional.
  • Posible robo de datos con información privilegiada desde Chrome: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Chrome que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos con información privilegiada de Drive: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Drive que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos internos desde Gmail: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Gmail que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible riesgo de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haberse visto potencialmente comprometida y puede generar intentos de elevación de privilegios o intentos de desplazamiento lateral dentro de una organización de Google Workspace. Esto incluye comportamientos que se consideran inusuales o anómalos en comparación con un modelo de referencia de 30 días.
  • Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indican una posible evasión, un cambio a una versión inferior de la seguridad o comportamientos inusuales y anómalos nunca vistos en los últimos 30 días por parte de usuarios con privilegios más altos, como los administradores.

La abreviatura CDIR significa Detección, investigación y respuesta en la nube.

Dispositivos y tipos de registros compatibles

En las siguientes secciones, se describen los datos obligatorios que necesitan los conjuntos de reglas en la categoría Cloud Threats.

Para transferir datos de los servicios de Google Cloud, consulta Transfiere registros de Cloud a las operaciones de seguridad de Google. Comunícate con tu representante de Operaciones de seguridad de Google si necesitas recopilar estos registros con otro mecanismo.

Las operaciones de seguridad de Google proporcionan analizadores predeterminados que analizan y normalizan los registros sin procesar de los servicios de Google Cloud para crear registros UDM con los datos que requieren estos conjuntos de reglas.

Para obtener una lista de todas las fuentes de datos compatibles con las operaciones de seguridad de Google, consulta Analizadores predeterminados compatibles.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recopiles los registros de auditoría de Cloud de Google Cloud. Algunas reglas requieren que los clientes habiliten el registro de Cloud DNS. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los siguientes registros:

Conjunto de reglas de rescate de Cloud SQL

Para usar el conjunto de reglas de rescate de Cloud SQL, te recomendamos que recopiles los siguientes datos de Google Cloud:

Conjuntos de reglas mejoradas de SCC para CDIR

Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan resultados de Security Command Center Premium contextualizados con varias otras fuentes de registro de Google Cloud, incluidas las siguientes:

  • Registros de auditoría de Cloud
  • Registros de Cloud DNS
  • Análisis de Identity and Access Management (IAM)
  • Contexto de la protección de datos sensibles
  • Contexto de BigQuery
  • Contexto de Compute Engine

Para usar los conjuntos de reglas de CDIR SCC Enhanced, te recomendamos que recopiles los siguientes datos de Google Cloud:

  • Datos de registro enumerados en la sección Todos los conjuntos de reglas.

  • Los siguientes datos de registro, ordenados por nombre del producto y etiqueta de transferencia de Operaciones de seguridad de Google:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protección de datos sensibles (GCP_DLP_CONTEXT)
    • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
    • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas de Cloud DNS (GCP_DNS)

  • Las siguientes clases de hallazgo de Security Command Center se enumeran por el identificador findingClass y la etiqueta de transferencia de las operaciones de seguridad de Google:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas de CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud. Para enviar los datos necesarios a las operaciones de seguridad de Google, asegúrate de completar lo siguiente:

Los siguientes conjuntos de reglas crean una detección cuando se identifican resultados de Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center Sensitive Actions Service y Módulos personalizados para Event Threat Detection:

  • IDS de Cloud de CDIR SCC
  • CDIR SCC Cloud Armor
  • Impacto de CDIR SCC
  • Persistencia mejorada de CDIR SCC
  • Evasión de Defensa Mejorada de CDIR SCC
  • Módulo personalizado de SCC del CDIR

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas Herramientas sospechosas de Kubernetes, te recomendamos que recopiles los datos enumerados en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE).

Conjunto de reglas de abuso de RBAC de Kubernetes

Para usar el conjunto de reglas de abuso de RBAC de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que aparecen en la sección Todos los conjuntos de reglas.

Conjunto de reglas de acciones sensibles de certificados de Kubernetes

Para usar el conjunto de reglas Acciones sensibles de certificados de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que se encuentran en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionadas con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

  • Posible robo de datos de usuarios con información privilegiada de Chrome
  • Posible robo de datos de usuarios con información privilegiada de Drive
  • Posible robo de datos por usuarios con información privilegiada de Gmail
  • Posible riesgo de la cuenta de Workspace
  • Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, enumerados por nombre del producto y etiqueta de transferencia de las operaciones de seguridad de Google:

  • Actividades en Workspace (WORKSPACE_ACTIVITY)
  • Alertas de Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
  • Usuarios de Workspace (WORKSPACE_USERS)
  • Administración en la nube para el navegador Chrome (CHROME_MANAGEMENT)
  • Registros de Gmail (GMAIL_LOGS)

Para transferir los datos necesarios, haz lo siguiente:

Conjunto de reglas de amenazas sin servidores

Los registros de Cloud Run incluyen registros de solicitudes y de contenedores, que se transfieren como el tipo de registro GCP_RUN en las operaciones de seguridad de Google. Los registros GCP_RUN se pueden transferir a través de la transferencia directa o con feeds y Cloud Storage. Para obtener filtros de registro específicos y más detalles de transferencia, consulta Exporta registros de Google Cloud a las operaciones de seguridad de Google. Con el siguiente filtro de exportación, se exportan los registros de Google Cloud Run (GCP_RUN), además de los registros predeterminados, a través del mecanismo de transferencia directa y de Cloud Storage y receptores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para conjuntos de reglas de AWS

Los conjuntos de reglas de AWS en esta categoría ayudan a identificar amenazas en los entornos de AWS mediante datos de eventos y contextos y, además, incluyen los siguientes conjuntos de reglas:

  • AWS: procesamiento: detecta la actividad anómala en torno a los recursos de procesamiento de AWS, como EC2 y Lambda.
  • AWS: datos: detecta la actividad de AWS asociada con los recursos de datos, como las instantáneas de RDS o los buckets de S3 disponibles de manera pública.
  • AWS: GuardDuty: alertas contextuales de AWS GuardDuty sobre comportamiento, acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, robo de datos, impacto, acceso inicial, software malicioso, pruebas de penetración, persistencia, política, escalación de privilegios y acceso no autorizado.
  • AWS: Hacktools: Detecta el uso de Hacktools en un entorno de AWS, como escáneres, kits de herramientas y frameworks.
  • AWS: identidad: Detecciones de la actividad de AWS asociada con IAM y actividad de autenticación, como accesos inusuales desde varias ubicaciones geográficas, creación de funciones demasiado permisivas o actividad de IAM desde herramientas sospechosas.
  • AWS: Logging and Monitoring: Detecta la actividad de AWS relacionada con la inhabilitación de los servicios de registro y supervisión, como CloudTrail, CloudWatch y GuardDuty.
  • AWS: red: detecta alteraciones no seguras en la configuración de la red de AWS, como grupos de seguridad y firewalls.
  • AWS: organización: detecta la actividad de AWS asociada con la organización, como la adición o eliminación de cuentas, y los eventos inesperados relacionados con el uso de la región.
  • AWS: Secrets: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, como la eliminación de secretos de KMS o Secrets Manager.

Dispositivos y tipos de registros compatibles

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de operaciones de seguridad de Google, que se enumeran por nombre de producto y etiqueta de transferencia.

Consulta Configura la transferencia de datos de AWS para obtener información sobre cómo configurar la transferencia de datos de AWS.

Para obtener una lista de todas las fuentes de datos admitidas, consulta Analizadores predeterminados compatibles.

En las siguientes secciones, se describen los datos requeridos que necesitan los conjuntos de reglas que identifican patrones en los datos.

Puedes transferir datos de AWS mediante un bucket de Amazon Simple Storage Service (Amazon S3) como tipo de fuente o, de forma opcional, mediante Amazon S3 con Amazon Simple Queue Service (Amazon SQS). En un nivel superior, deberás hacer lo siguiente:

Consulta Transfiere registros de AWS a las operaciones de seguridad de Google para conocer los pasos detallados necesarios para configurar los servicios de AWS y configurar un feed de operaciones de seguridad de Google para transferir datos de AWS.

Puedes usar las reglas de prueba de AWS Managed Detection Testing para verificar que los datos de AWS se transfieran a la SIEM de operaciones de seguridad de Google. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se transfieren como se espera. Después de configurar la transferencia de datos de AWS, debes realizar acciones en AWS que deben activar las reglas de prueba.

Consulta Verifica la transferencia de datos de AWS para la categoría Cloud Threats si quieres obtener más información sobre cómo verificar la transferencia de datos de AWS mediante las reglas de prueba de AWS Managed Detection Testing.

Alertas de ajuste que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de modo que el conjunto de reglas o reglas específicas del conjunto de reglas no lo evalúen. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configurar exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Qué sigue?