Descripción general de la categoría de amenazas en la nube

Este documento brinda una descripción general de los conjuntos de reglas en la categoría Cloud Threats, el las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas generadas por cada regla establecida. Estos conjuntos de reglas ayudan a identificar amenazas en Google Cloud entornos con datos de Google Cloud y en entornos de AWS con datos de AWS.

Descripciones de conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Cloud Threats.

La abreviatura CDIR significa Detección, investigación y respuesta en la nube.

Detecciones seleccionadas para datos de Google Cloud

Los conjuntos de reglas de Google Cloud ayudan a identificar amenazas en los entornos de Google Cloud usando eventos y de contexto, e incluye los siguientes conjuntos de reglas:

  • Acción del administrador: Actividad asociada con acciones administrativas que se consideran sospechosos pero potencialmente legítimos según el uso organizacional.
  • Exfiltración mejorada del SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de robo de seguridad de Security Command Center con otras fuentes de registro, como Registros de auditoría de Cloud registros, contexto de protección de datos sensibles, contexto de BigQuery y Security Command Center Registros de configuración incorrecta.
  • Evasión de defensa mejorada del SCC del CDIR: Contiene reglas contextuales que se correlacionan Hallazgos de evasión de Security Command Center o evasión de defensa con datos de otros Fuentes de datos de Google Cloud, como Registros de auditoría de Cloud
  • Software malicioso mejorado SCC del CDIR: Contiene reglas contextuales que se correlacionan Hallazgos de malware de Security Command Center con datos como el caso de IP direcciones y dominios, y sus puntajes de prevalencia, además de otros datos fuentes como registros de Cloud DNS.
  • Persistencia mejorada de SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de la persistencia de Security Command Center con datos de fuentes como Cloud DNS registros de IAM y registros de análisis de IAM.
  • Escalación de privilegios mejorados del SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de escalación de privilegios de Security Command Center con datos de varias otras fuentes de datos, como Registros de auditoría de Cloud.
  • Acceso a credenciales SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos del Acceso a credenciales de Security Command Center con datos de varias otras fuentes de datos, como Registros de auditoría de Cloud
  • Descubrimiento mejorado del SCC del CDIR: Contiene reglas contextuales que se correlacionan. Hallazgos de la escalación de descubrimiento de Security Command Center con datos de fuentes como como los servicios de Google Cloud y los Registros de auditoría de Cloud.
  • Fuerza bruta del SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de derivación de fuerza bruta con datos como los registros de Cloud DNS
  • Destrucción de datos SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de la derivación de destrucción de datos con datos de muchas otras fuentes de datos, como los Registros de auditoría de Cloud.
  • CDIR SCC Inhibit System Recovery: Contiene reglas contextuales que correlacionan Security Command Center. Inhibe los hallazgos de la recuperación del sistema con datos de otras fuentes de datos, como los Registros de auditoría de Cloud.
  • Ejecución de SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de ejecución con datos de muchas otras fuentes de datos, como los Registros de auditoría de Cloud
  • Acceso inicial a SCC del CDIR: Contiene reglas adaptadas al contexto que correlacionan Security Command Center. Hallazgos de acceso inicial con datos de muchas otras fuentes de datos, como los Registros de auditoría de Cloud
  • El SCC del CDIR de Defensas de Daños: Contiene reglas contextuales que correlacionan Security Command Center. Deteriora los hallazgos de Defensas con datos de otras fuentes de datos como los Registros de auditoría de Cloud.
  • Impacto del SCC del CDIR: Contiene reglas que detectan los resultados de Impacto de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • IDS de Cloud del SCC del CDIR: Contiene reglas que detectan los hallazgos del Sistema de Detección de Intrusiones de Cloud de Security Command Center. con una clasificación de gravedad crítica, alta, media y baja.
  • Cloud Armor del SCC del CDIR: Contiene reglas que detectan los resultados de Google Cloud Armor de Security Command Center.
  • Módulo personalizado del SCC del CDIR: Contiene reglas que detectan los resultados del módulo personalizado de Event Threat Detection de Security Command Center.
  • Cloud Hacktool: Actividad detectada en plataformas de seguridad ofensivas conocidas o de herramientas o software ofensivos utilizados en el entorno por perpetradores que se dirigen específicamente a los recursos en la nube.
  • Rescate de Cloud SQL: detecta la actividad asociada con el robo o el rescate de en las bases de datos de Cloud SQL.
  • Herramientas sospechosas de Kubernetes: Detecta el comportamiento de reconocimiento y explotación de abiertos herramientas de origen de Kubernetes.
  • Abuso del RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de y controles de acceso basados en roles (RBAC) que intentan la elevación de privilegios o el desplazamiento lateral.
  • Acciones sensibles de certificados de Kubernetes: Detecta acciones de certificados de Kubernetes y solicitudes de firma de certificados (CSR) que podrían usarse para establecer la persistencia o la escalación de privilegios.
  • Abuso de IAM: Actividad asociada con el abuso de roles y permisos de IAM para realizar las siguientes acciones: potencialmente escalada de privilegios o moverse lateralmente dentro de una nube determinada proyecto o en una organización de Cloud.
  • Posible actividad de robo: detecta la actividad asociada con posibles y robo de datos.
  • Enmascaramiento de recursos: Detecta recursos de Google Cloud creados con nombres o de otro recurso o tipo de recurso. Esto podría ser que se usan para enmascarar la actividad maliciosa realizada por o dentro del recurso, con las intención de parecer legítimas.
  • Amenazas sin servidores : Detectan la actividad asociada con un posible compromiso o abuso de la tecnología sin servidores. recursos en Google Cloud, como Cloud Run y Cloud Functions.
  • Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si que se realizan en un entorno de producción en funcionamiento, pueden provocar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en entornos de prueba y desarrollo.
  • Comportamiento sospechoso: Actividad que se considera poco común y sospechosa en en la mayoría de los entornos.
  • Cambios sospechosos de infraestructura: Detectan modificaciones en la producción. que se alinean con tácticas de persistencia conocidas
  • Configuración debilitada: Es la actividad asociada con debilitar o degradar un elemento. control de seguridad de la organización. Se considera sospechoso, potencialmente legítimo según su uso en la organización.
  • Posible robo de datos de usuarios con información privilegiada desde Chrome: Detecta la actividad asociada. con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Chrome se consideraron anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de usuarios con información privilegiada en Drive: Detecta la actividad asociada. con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Drive se consideraron anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de usuarios con información privilegiada en Gmail: detecta la actividad asociada con comportamientos potenciales de amenazas internas, como el robo de datos o la pérdida de datos sensibles fuera de una organización de Google Workspace. Esto incluye comportamientos de Gmail se consideró anómalo en comparación con una referencia de 30 días.
  • Posible compromiso de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haber sido vulnerada y podría dar lugar a que de escalamiento o de desplazamiento lateral en una organización de Google Workspace. Esto incluiría los comportamientos considerados raros o anómalos en comparación con un modelo de referencia de 30 días.
  • Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indiquen posibles acciones. evasión, cambio a una versión inferior de la seguridad o comportamientos raros y anómalos nunca vistos en la últimos 30 días a los usuarios con mayores privilegios, como los administradores.

La abreviatura CDIR significa Detección, investigación y respuesta en la nube.

Dispositivos y tipos de registros compatibles

En las siguientes secciones, se describen los datos requeridos que necesitan los conjuntos de reglas en la nube Categoría de amenazas.

Para transferir datos desde los servicios de Google Cloud, consulta Transfiere registros de Cloud a Google Security Operations. Comunícate con tu representante de Google Security Operations si necesitas recopilar estos registros. con un mecanismo diferente.

Google Security Operations proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar desde los servicios de Google Cloud para crear registros de UDM con los datos requeridos por estos conjuntos de reglas.

Para obtener una lista de todas las fuentes de datos compatibles con Google Security Operations, consulta Analizadores predeterminados admitidos.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recopiles Google Cloud Registros de auditoría de Cloud. Algunas reglas requieren que los clientes habiliten Cloud DNS de los datos. Asegúrate de que los servicios de Google Cloud estén configurados para registrar a los siguientes registros:

Conjunto de reglas de rescate de Cloud SQL

Para usar el conjunto de reglas de Rescate de Cloud SQL, te recomendamos que recopiles los siguientes datos de Google Cloud:

Conjuntos de reglas mejoradas de CDIR SCC

Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan Security Command Center Premium contextualizados con varias otras fuentes de registros de Google Cloud, incluidas las siguientes:

  • Cloud Audit Logs
  • Registros de Cloud DNS
  • Análisis de Identity and Access Management (IAM)
  • Contexto de la protección de datos sensibles
  • Contexto de BigQuery
  • Contexto de Compute Engine

Para usar los conjuntos de reglas del CDIR SCC Enhanced, te recomendamos que recopiles los siguientes datos de Google Cloud:

  • Los datos de registro enumerados en la columna Todas las reglas .

  • Los siguientes datos de registro, enumerados por nombre del producto y etiqueta de transferencia de Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protección de datos sensibles (GCP_DLP_CONTEXT)
    • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
    • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas de Cloud DNS (GCP_DNS)

  • El siguiente hallazgo de Security Command Center clases, enumeradas por el identificador findingClass y la etiqueta de transferencia de Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas del CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud. Para enviar los datos requeridos a Google Security Operations, asegúrate de completar lo siguiente:

Los siguientes conjuntos de reglas crean una detección cuando los hallazgos de Security Command Center Event Threat Detection, Se identifican Google Cloud Armor, Servicio de acciones sensibles de Security Command Center y Módulos personalizados para Event Threat Detection:

  • IDS de Cloud del SCC del CDIR
  • CDIR SCC Cloud Armor
  • Impacto del SCC del CDIR
  • Persistencia mejorada de SCC del CDIR
  • Evasión de Defensa Mejorada del CDIR SCC
  • Módulo personalizado de la SCC del CDIR

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas de herramientas sospechosas de Kubernetes, te recomendamos que recopiles los datos que aparecen en la sección Todos los conjuntos de reglas. Asegúrate de que Google Cloud servicios están configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE)

Conjunto de reglas de abuso del RBAC de Kubernetes

Para usar el conjunto de reglas de Abuso de RBAC de Kubernetes, te recomendamos que recopiles registros de auditoría de Cloud. en la sección Todos los conjuntos de reglas.

Conjunto de reglas de acciones sensibles en certificados de Kubernetes

Para usar el conjunto de reglas de Acciones sensibles en los certificados de Kubernetes, te recomendamos que recopiles registros de auditoría de Cloud. en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionadas con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

  • Posible robo de datos de usuarios con información privilegiada desde Chrome
  • Posible robo de datos de usuarios con información privilegiada en Drive
  • Posible robo de datos privilegiados desde Gmail
  • Posible compromiso de la cuenta de Workspace
  • Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, enumerados por nombre de producto y Etiqueta de transferencia de Google Security Operations:

  • Actividades de Workspace (WORKSPACE_ACTIVITY)
  • Alertas de Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
  • Usuarios de Workspace (WORKSPACE_USERS)
  • Administración en la nube para el navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros de Gmail (GMAIL_LOGS)

Para transferir los datos requeridos, haz lo siguiente:

Conjunto de reglas de amenazas sin servidores

Los registros de Cloud Run incluyen registros de solicitudes y de registro que se transfieren como el tipo de registro GCP_RUN Google Security Operations. Los registros GCP_RUN se pueden transferir mediante transferencia directa o con feeds y Cloud Storage. Para filtros de registro específicos y más transferencia consulta Exporta registros de Google Cloud a Google Security Operations. Lo siguiente el filtro de exportación exporta los registros de Google Cloud Run (GCP_RUN), en a los registros predeterminados, tanto a través del mecanismo de transferencia directa como Cloud Storage y Receptores:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para conjuntos de reglas de AWS

Los conjuntos de reglas de AWS en esta categoría ayudan a identificar amenazas en entornos de AWS usando eventos y de contexto, e incluye los siguientes conjuntos de reglas:

  • AWS - Compute: detecta actividad anómala en torno al procesamiento de AWS. recursos como EC2 y Lambda.
  • Datos de AWS: Detecta la actividad de AWS asociada con los recursos de datos, como Las instantáneas de RDS o los buckets de S3 se ponen a disposición del público.
  • AWS - GuardDuty: Alertas de AWS GuardDuty adaptadas al contexto para el comportamiento, Acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, robo de datos, Impacto, acceso inicial, malware, pruebas de penetración, persistencia, política, Elevación de privilegios y Acceso no autorizado.
  • AWS - Hacktools: Detecta el uso de Hacktools en un entorno de AWS, como como escáneres, kits de herramientas y frameworks.
  • Identidad de AWS: Detecciones de la actividad de AWS asociada con IAM y de autenticación, como accesos inusuales desde varias ubicaciones geográficas, la creación de roles demasiado permisivos o la actividad de IAM desde herramientas sospechosas.
  • AWS - Logging and Monitoring: Detecta la actividad de AWS relacionada con el inhabilitar los servicios de registro y supervisión, como CloudTrail, CloudWatch, y GuardDuty.
  • AWS: Red: Detecta alteraciones no seguras en la configuración de red de AWS, como grupos de seguridad y firewalls.
  • AWS - Organización: Detecta la actividad de AWS asociada con tu organización. tales como la adición o eliminación de cuentas y los eventos inesperados relacionados con región.
  • AWS - Secrets: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, como la eliminación de secretos de KMS o de Secret Manager.

Dispositivos y tipos de registros compatibles

Estos conjuntos de reglas se probaron y son compatibles con las siguientes Google Security Operations fuentes de datos, ordenadas por nombre del producto y etiqueta de transferencia.

Consulta Configura la transferencia de AWS datos para obtener información. sobre cómo configurar la transferencia de datos de AWS.

Para obtener una lista de todas las fuentes de datos admitidas, consulta Analizadores predeterminados admitidos.

En las siguientes secciones, se describen los datos requeridos que necesitan los conjuntos de reglas que identificar patrones en los datos.

Puedes transferir datos de AWS con Amazon Simple Storage Service (Amazon S3) bucket como tipo de fuente o, de forma opcional, mediante Amazon S3 con Amazon Simple Queue de Google Cloud (Amazon SQS). En un nivel alto, deberás hacer lo siguiente:

Consulta Transfiere registros de AWS a Google Security Operations. para conocer los pasos detallados necesarios para configurar los servicios de AWS y establecer una Feed de operaciones de seguridad de Google para transferir datos de AWS

Puedes usar las reglas de prueba de las Pruebas de detección administrada de AWS para verificar que los datos de AWS se está transfiriendo a la SIEM de Google Security Operations. Estas reglas de prueba ayudan a verificar si AWS de registro se transfieran según lo esperado. Después de configurar la transferencia de AWS de prueba, realizas acciones en AWS que deben activar las reglas de prueba.

Consulta Verifica la transferencia de datos de AWS para la categoría Cloud Threats para obtener información sobre cómo verificar la transferencia de datos de AWS con las reglas de prueba de AWS Managed Detection Testing.

Ajusta las alertas que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de que no sea evaluado por el conjunto de reglas o según reglas específicas en el conjunto. Cree una o más exclusiones de reglas para reducir el volumen de detecciones. Consulte el artículo Configurar exclusiones de reglas para obtener más información sobre cómo hacerlo.

¿Qué sigue?