Descripción general de la categoría Amenazas de nube

Se admite en los siguientes países:

En este documento, se proporciona una descripción general de los conjuntos de reglas de la categoría Amenazas de Cloud, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas que genera cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en entornos de Google Cloud con datos de Google Cloud y en entornos de AWS con datos de AWS.

Descripciones de los conjuntos de reglas

Los siguientes conjuntos de reglas están disponibles en la categoría Amenazas en la nube.

La sigla CDIR significa Detección, investigación y respuesta en la nube.

Detecciones seleccionadas para los datos de Google Cloud

Los conjuntos de reglas de Google Cloud ayudan a identificar amenazas en los entornos de Google Cloud con datos de eventos y contexto, y los siguientes conjuntos de reglas:

  • Acción de administrador: Actividad asociada con acciones administrativas que se consideran sospechosas, pero que pueden ser legítimas según el uso de la organización.
  • CDIR SCC Enhanced Exfiltration: Contiene reglas que identifican el contexto y correlacionan los resultados de robo de datos de Security Command Center con otras fuentes de registros, como los registros de Registros de auditoría de Cloud, el contexto de Sensitive Data Protection, el contexto de BigQuery y los registros de configuración incorrecta de Security Command Center.
  • Evasión de defensa mejorada de SCC de CDIR: Contiene reglas conscientes del contexto que correlacionan los resultados de evasión o defensa de Security Command Center con datos de otras fuentes de datos de Google Cloud, como los registros de auditoría de Cloud.
  • Software malicioso mejorado de SCC de CDIR: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de software malicioso de Security Command Center con datos como la ocurrencia de direcciones IP y dominios, y sus puntuaciones de prevalencia, además de otras fuentes de datos, como los registros de Cloud DNS.
  • Persistencia mejorada de SCC de CDIR: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de persistencia de Security Command Center con datos de fuentes como los registros de Cloud DNS y los registros de análisis de IAM.
  • CDIR SCC Enhanced Privilege Escalation: Contiene reglas que se adaptan al contexto y que correlacionan los resultados de la escalada de privilegios de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Credential Access: Contiene reglas que se adaptan al contexto y que correlacionan los resultados de acceso a credenciales de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • Descubrimiento mejorado de SCC de CDIR: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de la derivación de descubrimiento de Security Command Center con datos de fuentes como los servicios de Google Cloud y los registros de auditoría de Cloud.
  • CDIR SCC Brute Force: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de la derivación de ataques de fuerza bruta de Security Command Center con datos como los registros de Cloud DNS.
  • CDIR SCC Data Destruction: Contiene reglas que tienen en cuenta el contexto y que correlacionan los resultados de la derivación de destrucción de datos de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Inhibit System Recovery: Contiene reglas conscientes del contexto que correlacionan los resultados de Inhibit System Recovery de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Execution: Contiene reglas conscientes del contexto que correlacionan los resultados de la ejecución de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Initial Access: Contiene reglas que se adaptan al contexto y que correlacionan los resultados de acceso inicial de Security Command Center con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Impair Defenses: Contiene reglas conscientes del contexto que correlacionan los resultados de Security Command Center Impair Defenses con datos de varias otras fuentes de datos, como los registros de auditoría de Cloud.
  • CDIR SCC Impact: Contiene reglas que detectan los resultados de Impact de Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • IDS de Cloud de SCC de CDIR: Contiene reglas que detectan los hallazgos del sistema de detección de intrusiones de Cloud desde Security Command Center con una clasificación de gravedad crítica, alta, media y baja.
  • CDIR SCC Cloud Armor: Contiene reglas que detectan los hallazgos de Google Cloud Armor desde Security Command Center.
  • Módulo personalizado de SCC de CDIR: Contiene reglas que detectan los resultados del módulo personalizado de Event Threat Detection de Security Command Center.
  • Herramienta de hackeo en la nube: Se detectó actividad desde plataformas de seguridad ofensivas conocidas o desde herramientas o software ofensivos que usan agentes de amenazas en el mundo real y que se dirigen específicamente a recursos de la nube.
  • Extorsión de Cloud SQL: Detecta la actividad asociada con el robo o la exfiltración de datos dentro de las bases de datos de Cloud SQL.
  • Herramientas sospechosas de Kubernetes: Detecta el comportamiento de reconocimiento y explotación de las herramientas de Kubernetes de código abierto.
  • Abuso de RBAC de Kubernetes: Detecta la actividad de Kubernetes asociada con el abuso de controles de acceso basados en roles (RBAC) que intentan elevación de privilegios o realizar movimientos laterales.
  • Acciones sensibles de certificados de Kubernetes: Detecta las acciones de los certificados de Kubernetes y las solicitudes de firma de certificados (CSR) que se podrían usar para establecer persistencia o derivar privilegios.
  • Abuso de IAM: Actividad asociada con el abuso de roles y permisos de IAM para escalar privilegios o moverse lateralmente dentro de un proyecto de Cloud determinado o en una organización de Cloud.
  • Posible actividad de robo de datos: Detecta la actividad asociada con un posible robo de datos.
  • Enmascaramiento de recursos: Detecta recursos de Google Cloud creados con nombres o características de otro recurso o tipo de recurso. Esto se podría usar para enmascarar la actividad maliciosa que realiza el recurso o dentro de él, con la intención de parecer legítimo.
  • Amenazas sin servidores : Detecta la actividad asociada con un posible compromiso o abuso de los recursos sin servidores en Google Cloud, como Cloud Run y las funciones de Cloud Run.
  • Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si se realizan en un entorno de producción en funcionamiento, pueden causar una interrupción significativa. El comportamiento detectado es común y, probablemente, benigno en entornos de prueba y desarrollo.
  • Comportamiento sospechoso: Actividad que se considera poco común y sospechosa en la mayoría de los entornos.
  • Cambio de infraestructura sospechoso: Detecta modificaciones en la infraestructura de producción que se alinean con tácticas de persistencia conocidas.
  • Configuración debilitada: Actividad asociada con la debilitación o degradación de un control de seguridad. Se considera sospechoso o potencialmente legítimo según el uso de la organización.
  • Posible robo de datos de usuarios con información privilegiada desde Chrome: Detecta la actividad asociada con posibles comportamientos de amenazas de usuarios con información privilegiada, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Chrome que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de fuentes internas desde Drive: Detecta la actividad asociada con posibles comportamientos de amenazas internas, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Drive que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible robo de datos de usuarios con información privilegiada desde Gmail: Detecta la actividad asociada con posibles comportamientos de amenazas de usuarios con información privilegiada, como el robo de datos o la pérdida de datos potencialmente sensibles fuera de una organización de Google Workspace. Esto incluye los comportamientos de Gmail que se consideran anómalos en comparación con un modelo de referencia de 30 días.
  • Posible vulneración de la cuenta de Workspace: Detecta comportamientos de amenazas internas que indican que la cuenta podría haberse vulnerado y que podrían generar intentos de escalamiento de privilegios o de movimiento lateral dentro de una organización de Google Workspace. Esto incluiría comportamientos que se consideran poco frecuentes o anómalos en comparación con un modelo de referencia de 30 días.
  • Acciones administrativas sospechosas de Workspace: Detecta comportamientos que indiquen una posible evasión, una baja de seguridad o comportamientos inusuales y anómalos que nunca se hayan visto en los últimos 30 días por parte de usuarios con privilegios más altos, como administradores.

La sigla CDIR significa Detección, investigación y respuesta en la nube.

Tipos de dispositivos y registros compatibles

En las siguientes secciones, se describen los datos necesarios que requieren los conjuntos de reglas de la categoría Amenazas en la nube.

Para transferir datos de los servicios de Google Cloud, consulta Cómo transferir registros de Cloud a Google Security Operations. Comunícate con tu representante de Google Security Operations si necesitas recopilar estos registros con un mecanismo diferente.

Google Security Operations proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar de los servicios de Google Cloud para crear registros de UDM con los datos que requieren estos conjuntos de reglas.

Para obtener una lista de todas las fuentes de datos compatibles con las Operaciones de seguridad de Google, consulta Análisis predeterminados compatibles.

Todos los conjuntos de reglas

Para usar cualquier conjunto de reglas, te recomendamos que recopiles los registros de auditoría de Google Cloud. Algunas reglas requieren que los clientes habiliten el registro de Cloud DNS. Asegúrate de que los servicios de Google Cloud estén configurados para registrar los datos en los siguientes registros:

Conjunto de reglas de ransomware de Cloud SQL

Para usar el conjunto de reglas de Secuestro de Cloud SQL, te recomendamos que recopiles los siguientes datos de Google Cloud:

Conjuntos de reglas mejorados de SCC de CDIR

Todos los conjuntos de reglas que comienzan con el nombre CDIR SCC Enhanced usan los resultados de Security Command Center Premium contextualizados con varias otras fuentes de registros de Google Cloud, incluidas las siguientes:

  • Cloud Audit Logs
  • Registros de Cloud DNS
  • Análisis de Identity and Access Management (IAM)
  • Contexto de Sensitive Data Protection
  • Contexto de BigQuery
  • Contexto de Compute Engine

Para usar los conjuntos de reglas de CDIR SCC Enhanced, te recomendamos que recopiles los siguientes datos de Google Cloud:

  • Datos de registro que se muestran en la sección Todos los conjuntos de reglas

  • Los siguientes datos de registro, enumerados por nombre del producto y etiqueta de transferencia de Google Security Operations:

    • BigQuery (GCP_BIGQUERY_CONTEXT)
    • Compute Engine (GCP_COMPUTE_CONTEXT)
    • IAM (GCP_IAM_CONTEXT)
    • Protección de datos sensibles (GCP_DLP_CONTEXT)
    • Registros de auditoría de Cloud (GCP_CLOUDAUDIT)
    • Actividad de Google Workspace (WORKSPACE_ACTIVITY)
    • Consultas de Cloud DNS (GCP_DNS)

  • Las siguientes clases de resultados de Security Command Center, enumeradas por identificador findingClass y etiqueta de transferencia de Google Security Operations:

    • Threat (GCP_SECURITYCENTER_THREAT)
    • Misconfiguration (GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability (GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error (GCP_SECURITYCENTER_ERROR)

Los conjuntos de reglas de CDIR SCC Enhanced también dependen de los datos de los servicios de Google Cloud. Para enviar los datos necesarios a Google Security Operations, asegúrate de completar lo siguiente:

Los siguientes conjuntos de reglas crean una detección cuando se identifican los hallazgos de Event Threat Detection de Security Command Center, Google Cloud Armor, Security Command Center Sensitive Actions Service y módulos personalizados para Event Threat Detection:

  • IDS de Cloud de SCC de CDIR
  • CDIR SCC Cloud Armor
  • Impacto de SCC en CDIR
  • Persistencia mejorada de SCC de CDIR
  • Evasión de defensas mejorada de SCC de CDIR
  • Módulo personalizado de SCC de CDIR

Conjunto de reglas de herramientas sospechosas de Kubernetes

Para usar el conjunto de reglas Herramientas sospechosas de Kubernetes, te recomendamos que recopiles los datos que se indican en la sección Todos los conjuntos de reglas. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los registros de nodos de Google Kubernetes Engine (GKE).

Conjunto de reglas de abuso del RBAC de Kubernetes

Para usar el conjunto de reglas Abuso de RBAC de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que se enumeran en la sección Todos los conjuntos de reglas.

Conjunto de reglas de Acciones sensibles de certificados de Kubernetes

Para usar el conjunto de reglas Acciones sensibles a certificados de Kubernetes, te recomendamos que recopiles los registros de auditoría de Cloud, que se enumeran en la sección Todos los conjuntos de reglas.

Conjuntos de reglas relacionados con Google Workspace

Los siguientes conjuntos de reglas detectan patrones en los datos de Google Workspace:

  • Posible robo de datos de usuarios con información privilegiada desde Chrome
  • Posible robo de datos de usuarios con información privilegiada desde Drive
  • Posible robo de datos de fuentes internas de Gmail
  • Posible vulneración de la cuenta de Workspace
  • Acciones administrativas sospechosas de Workspace

Estos conjuntos de reglas requieren los siguientes tipos de registros, enumerados por nombre de producto y etiqueta de transferencia de Google Security Operations:

  • Actividades de Workspace (WORKSPACE_ACTIVITY)
  • Alertas de Workspace (WORKSPACE_ALERTS)
  • Dispositivos ChromeOS de Workspace (WORKSPACE_CHROMEOS)
  • Dispositivos móviles de Workspace (WORKSPACE_MOBILE)
  • Usuarios de Workspace (WORKSPACE_USERS)
  • Administración en la nube para el navegador Google Chrome (CHROME_MANAGEMENT)
  • Registros de Gmail (GMAIL_LOGS)

Para transferir los datos necesarios, haz lo siguiente:

Conjunto de reglas de amenazas sin servidores

Los registros de Cloud Run incluyen registros de solicitudes y de contenedores, que se transfieren como el tipo de registro GCP_RUN en las operaciones de seguridad de Google. Los registros de GCP_RUN se pueden transferir mediante la transferencia directa o con feeds y Cloud Storage. Para obtener filtros de registro específicos y más detalles sobre la transferencia, consulta Cómo exportar registros de Google Cloud a Google Security Operations. El siguiente filtro de exportación exporta los registros de Cloud Run (GCP_RUN) de Google Cloud, además de los registros predeterminados, a través del mecanismo de transferencia directa y a través de Cloud Storage y Sinks:

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

Detecciones seleccionadas para conjuntos de reglas de AWS

Los conjuntos de reglas de AWS de esta categoría ayudan a identificar amenazas en los entornos de AWS con datos de eventos y contexto, y los siguientes conjuntos de reglas:

  • AWS - Compute: Detecta actividad anómala en torno a los recursos de procesamiento de AWS, como EC2 y Lambda.
  • AWS - Datos: Detecta la actividad de AWS asociada con recursos de datos, como las instantáneas de RDS o los buckets de S3 que se ponen a disposición del público.
  • AWS - GuardDuty: Alertas de AWS GuardDuty adaptadas al contexto para comportamiento, acceso a credenciales, criptominería, descubrimiento, evasión, ejecución, robo de información, impacto, acceso inicial, software malicioso, pruebas de penetración, persistencia, política, escalamiento de privilegios y acceso no autorizado.
  • AWS: Hacktools: Detecta el uso de herramientas de hackeo en un entorno de AWS, como escáneres, kits de herramientas y frameworks.
  • AWS: Identidad: Detecciones de actividad de AWS asociada con IAM y actividad de autenticación, como accesos inusuales desde varias ubicaciones geográficas, creación de roles demasiado permisivos o actividad de IAM desde herramientas sospechosas.
  • AWS: Registro y supervisión: Detecta la actividad de AWS relacionada con la inhabilitación de servicios de registro y supervisión, como CloudTrail, CloudWatch y GuardDuty.
  • AWS: Red: Detecta alteraciones no seguras en la configuración de red de AWS, como grupos de seguridad y firewalls.
  • AWS: Organización: Detecta la actividad de AWS asociada con tu organización, como la adición o eliminación de cuentas, y eventos inesperados relacionados con el uso de la región.
  • AWS - Secrets: Detecta la actividad de AWS asociada con secretos, tokens y contraseñas, como la eliminación de secretos de KMS o de Secrets Manager.

Tipos de dispositivos y registros compatibles

Estos conjuntos de reglas se probaron y son compatibles con las siguientes fuentes de datos de Google Security Operations, que se enumeran por nombre del producto y etiqueta de transferencia.

Consulta Configura la transferencia de datos de AWS para obtener información sobre cómo configurar la transferencia de datos de AWS.

Para obtener una lista de todas las fuentes de datos compatibles, consulta Sintetizadores predeterminados compatibles.

En las siguientes secciones, se describen los datos necesarios que requieren los conjuntos de reglas que identifican patrones en los datos.

Puedes transferir datos de AWS con un bucket de Amazon Simple Storage Service (Amazon S3) como tipo de fuente o, de manera opcional, con Amazon S3 y Amazon Simple Queue Service (Amazon SQS). En un nivel alto, deberás hacer lo siguiente:

Consulta Cómo transferir registros de AWS a Google Security Operations para obtener los pasos detallados necesarios para configurar los servicios de AWS y un feed de Google Security Operations para transferir datos de AWS.

Puedes usar las reglas de prueba de pruebas de detección administradas por AWS para verificar que los datos de AWS se transfieran al SIEM de Google Security Operations. Estas reglas de prueba ayudan a verificar si los datos de registro de AWS se transfieren como se espera. Después de configurar la transferencia de datos de AWS, realizas acciones en AWS que deberían activar las reglas de prueba.

Consulta Cómo verificar la transferencia de datos de AWS para la categoría Amenazas en la nube si necesitas información para verificar la transferencia de datos de AWS con las reglas de prueba de Pruebas de detección administradas por AWS.

Cómo ajustar las alertas que muestran los conjuntos de reglas

Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Consulta Configura exclusiones de reglas para obtener información sobre cómo hacerlo.

¿Qué sigue?