Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Descripción general de la categoría Amenazas en la nube

En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría de amenazas de Cloud, las fuentes de datos necesarias y la configuración que puedes usar para ajustar las alertas generadas por cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud mediante los registros de auditoría de Cloud y, además, incluyen lo siguiente:

  • Acción del administrador: Actividad asociada con acciones administrativas, que se considera sospechosa pero potencialmente legítima según el uso organizativo.
  • Cloud Hacktool: actividad detectada por plataformas de seguridad ofensivas conocidas o
    por software o herramientas ofensivas que los actores de amenazas usan y que se orientan específicamente a los recursos en la nube.
  • Abuso de IAM: Actividad asociada con el abuso de funciones y permisos de IAM para
    escalar potencialmente los privilegios o moverse lateralmente dentro de un proyecto de Cloud determinado o en una organización de Cloud.
  • Actividad de posible robo: detecta la actividad asociada con el posible robo de datos.
  • Interrupción del servicio: Detecta acciones destructivas o disruptivas que, si se realizan en un entorno de producción en funcionamiento, pueden causar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en entornos de prueba y desarrollo.
  • Comportamiento sospechoso: actividad sospechosa en
    la mayoría de los entornos.
  • Configuración debilitada: Actividad asociada con el debilitamiento o la degradación de un control de seguridad. Se consideran sospechosas, potencialmente legítimas según el uso organizativo.
  • Cambio sospechoso en la infraestructura: Detecta modificaciones en la infraestructura de producción que se alinean con tácticas de persistencia conocidas

Dispositivos y tipos de registro compatibles

En la siguiente sección, se describen los datos necesarios para los conjuntos de reglas en la categoría Amenazas de la nube.

Te recomendamos que recopiles los registros de auditoría de Google Cloud. Algunas reglas requieren que los clientes habiliten Cloud DNS Logging. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los siguientes registros:

Para transferir estos registros a Chronicle, consulta Transfiere registros de Cloud a Chronicle. Comunícate con tu representante de Chronicle si necesitas recopilar estos registros con un mecanismo diferente.

Para obtener una lista de todas las fuentes de datos compatibles con Chronicle, consulta Analizadores predeterminados compatibles.

Alertas de ajuste que muestra la categoría de amenazas de Cloud

Los conjuntos de reglas en la categoría de amenazas de Cloud incluyen listas de referencia que te permiten controlar las alertas que genera cada conjunto de reglas. En cada lista de referencia, defines los criterios de un evento de UDM que excluye el evento para que no lo evalúe el conjunto de reglas.

En esta sección, se describe cada lista de referencias y se proporcionan valores de ejemplo que se pueden proporcionar en la lista de referencias.

Conjunto de reglas de acción del administrador

Este conjunto de reglas usa las siguientes listas de referencia para identificar criterios en un evento de UDM que excluye el evento de la evaluación.

Nombre genérico Descripción
Dirección de correo electrónico principal Nombre de la lista de referencia: gcticldadminaction_principal_emailaddress_exclusion_list

E-mail address associated with the flagged action, for example: foobar@google.com

Nombre del recurso de destino Nombre de la lista de referencia: gcti__cld__admin_action__target_resource_name__exclusion_list

El nombre del recurso de destino de la acción marcada, por ejemplo:

proyecto/foobar

organización/foobar

instancia/foobar

Conjunto de reglas de Hacktool de Cloud

Use las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.

Nombre genérico Descripción
Dirección de correo electrónico del usuario principal Nombre de la lista de referencia: gcti__cld__hacktls__principal_user_email_addresses__exclusion_list
Dirección de correo electrónico asociada con la acción marcada, por ejemplo: foobar@example.com
Usuario-agente de HTTP Nombre de la lista de referencia: gcti__cld__hacktls__network_http_user_agent__exclusion_list
Usuario-agente de HTTP, por ejemplo Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, como Gecko) Versión/4.0 Chrome/94.0.4606.71 Mobile Safari/53.5
ID de usuario principal Nombre de la lista de referencia: gcti__cld__hacktls__principal_user_userid__exclusion_list
ID del usuario asociado con la acción marcada, por ejemplo: "123456789012345678901" o "system:serviceaccount:foo:bar"
Proyecto de Cloud de destino Nombre de la lista de referencia: gcti__cld__hacktls__target_cloud_project_name__exclusion_list
El nombre del proyecto de Cloud asociado con la acción marcada, por ejemplo: project-foobar-123

Regla de abuso de IAM

Use las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.

Nombre genérico Descripción
Dirección de correo electrónico del usuario principal Nombre de la lista de referencia: gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list
Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo, foobar@example.com
Nombre del recurso de destino Nombre de la lista de referencia: gcti__cld__iamabuse__target_resource_name__exclusion_list
Cuenta de servicio de destino asociada con la acción marcada, por ejemplo: foobar-123@foofoo.iam.gserviceaccount.com.

Se estableció la regla Actividad posible del perfil

Usa las siguientes listas de referencias para definir criterios en un evento de UDM que excluye el evento para que no lo evalúe el conjunto de reglas.

Nombre genérico Descripción
Nombre de la respuesta Nombre de la lista de referencia: gcticldexfilanswer_nameexclusion_list

Responda a la consulta de DNS dada, por ejemplo: analytics.example.com.

Nombre de la pregunta Nombre de la lista de referencia: gcti__cld__exfil__question_name__exclusion_list

Asunto de la consulta de DNS, por ejemplo: analytics.example.com

Nombre del recurso Nombre de la lista de referencia: gcti__cld__exfil__resource_name__exclusion_list

Nombre de host o nombre de recurso de la VM que realiza las consultas de DNS.

Datos de respuesta Nombre de la lista de referencia: gcti__cld__exfil__response_data__exclusion_list

Parte de datos de la respuesta, por ejemplo: analytics.bar.com.example.net

Se estableció la regla de interrupción del servicio

Usa las siguientes listas de referencias para definir criterios en un evento de UDM que excluye el evento para que no lo evalúe el conjunto de reglas.

Nombre genérico Descripción
Dirección de correo electrónico del usuario principal Nombre de la lista de referencia: gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list.
Es la dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo: foobar@example.com.
Nombre del proyecto de Cloud de destino Nombre de la lista de referencia: gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list.
Es el nombre del proyecto de Cloud de destino asociado con la acción marcada, por ejemplo: unicorn-prod-424543.
Usuario-agente de HTTP Nombre de la lista de referencia: gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list
Usuario-agente de HTTP que puede identificar la fuente del tráfico de red, por ejemplo:
Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, como Gecko) Version/4.0 Chrome/94.0.46.360.360.360.360.360

Se estableció la regla de comportamiento sospechoso

Usa las siguientes listas de referencias para definir criterios en un evento de UDM que excluye el evento para que no lo evalúe el conjunto de reglas.

Nombre genérico Descripción
Dirección de correo electrónico del usuario principal Nombre de la lista de referencia: gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list
Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo: foobar@example.com
Dirección de correo electrónico del usuario objetivo Nombre de la lista de referencia: gcti__cld__susbehavior__target_user_email_addresses__exclusion_list.
Dirección de correo electrónico segmentada asociada con la acción marcada, por ejemplo: foobar@example.com
Nombre del recurso de destino Nombre de la lista de referencia: gcti__cld__susbehavior__target_resource_name__exclusion_list.
Corresponde al nombre del recurso al que se orientó la acción marcada. Por ejemplo, el nombre del proyecto o de la instancia.
Nombre del proyecto de Cloud de destino Nombre de la lista de referencia: gcti__cld__susbehavior__target_cloud_project_name__exclusion_list.
Nombre del proyecto de la nube orientado asociado a la acción marcada, por ejemplo: unicorn-prod-424543

Conjunto de reglas de configuración débil

Usa las siguientes listas de referencias para definir criterios en un evento de UDM que excluye el evento para que no lo evalúe el conjunto de reglas.

Nombre genérico Descripción
Nombre de la función del atributo principal Nombre de la lista de referencia: `gcti__cld__weak_config__principal_attribute_role_name__exclusion_list`

La función que el usuario principal aplicó o atribuyó a un recurso de destino, por ejemplo:

role/instance.viewer.

role/storage.owner

Dirección de correo electrónico principal Nombre de la lista de referencia: `gcti__cld__weak_config__principal_email_address__exclusion_list`

Dirección de correo electrónico asociada con la acción marcada, por ejemplo: foobar@google.com

Tipo de evento de producto Nombre de la lista de referencia: `gcti__cld__weak_config__product_event_type__exclusion_list`

Especifica el recurso y el método asociados con el evento en la acción marcada, por ejemplo:

compute.instances.setMetadata

storage.setiamPermissions

Nombre del proyecto de destino Nombre de la lista de referencia: `gcti__cld__weak_config__target_project_name__exclusion_list`

El nombre del proyecto de destino de la acción marcada, por ejemplo:

proyecto/foobar

Cambio sospechoso en la infraestructura

Use las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.

Nombre genérico Descripción
Nombre del proyecto de Cloud de destino Nombre de la lista de referencia: gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list
Nombre del proyecto de Cloud asociado a la acción marcada, por ejemplo: project-example-123456
Dirección de correo electrónico del usuario principal Nombre de la lista de referencia: gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list
Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo: alice@example.com
Usuario-agente de HTTP de la red Nombre de la lista de referencia: gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list
Nombre del usuario-agente de origen, como Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/53.0.4606.713 Safari
Nombre del recurso de destino Nombre de la lista de referencia: gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list
Es el nombre del recurso al que se orienta la acción marcada, como el nombre de una imagen o un disco de Compute.
Etiqueta de atributo de recurso objetivo Nombre de la lista de referencia: gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list
Nombre del atributo del recurso al que se orienta la acción marcada, como el nombre de una instantánea de Compute.