Descripción general de la categoría de amenazas en la nube
En este documento, se proporciona una descripción general de los conjuntos de reglas en la categoría de amenazas de Cloud, las fuentes de datos requeridas y la configuración que puedes usar para ajustar las alertas generadas por cada conjunto de reglas. Estos conjuntos de reglas ayudan a identificar amenazas en los entornos de Google Cloud mediante los registros de auditoría de Cloud y, además, incluyen lo siguiente:
- Acción de administrador: Actividad asociada con acciones administrativas, que se consideran sospechosas, pero que podrían ser legítimas según el uso organizativo.
- Cloud Hacktool: actividad detectada en plataformas de seguridad ofensivas conocidas o software o herramientas ofensivas utilizadas en la naturaleza por actores de amenazas que apuntan específicamente a los recursos de la nube.
- Abuso de IAM: Actividad asociada con el abuso de funciones y permisos de IAM para trasladar, potencialmente, privilegios o traslados laterales dentro de un proyecto de Cloud determinado o en toda una organización de Cloud.
- Posible actividad de Exfil: detecta la actividad asociada con el posible robo de datos.
- Masquerading de recursos: detecta recursos de Google Cloud creados con nombres o características de otro recurso o tipo de recurso. Esto podría usarse para enmascarar la actividad maliciosa que realiza o dentro del recurso, con la intención de parecer legítima.
- Interrupción del servicio: Detecta acciones destructivas o perjudiciales que, si se realizan en un entorno de producción en funcionamiento, pueden causar una interrupción significativa. El comportamiento detectado es común y probablemente benigno en entornos de prueba y desarrollo.
- Comportamiento sospechoso: actividad que se piensa que es inusual y sospechosa en la mayoría de los entornos.
- Cambio de infraestructura sospechoso: Detecta modificaciones de la infraestructura de producción que se alinean con tácticas de persistencia conocidas
- Configuración debilitada: Actividad asociada con el debilitamiento o la degradación de un control de seguridad. Se consideran sospechosos y potencialmente legítimos según el uso organizativo.
Dispositivos y tipos de registros compatibles
En la siguiente sección, se describen los datos necesarios para los conjuntos de reglas en la categoría de amenazas de Cloud.
Te recomendamos que recopiles los registros de auditoría de Google Cloud. Algunas reglas requieren que los clientes habiliten Cloud DNS Logging. Asegúrate de que los servicios de Google Cloud estén configurados para registrar datos en los siguientes registros:
Para transferir estos registros a Chronicle, consulta Transfiere registros de Cloud a Chronicle. Comunícate con tu representante de Chronicle si necesitas recopilar estos registros con un mecanismo diferente.
Para obtener una lista de todas las fuentes de datos compatibles con Chronicle, consulta Analizadores predeterminados admitidos.
Alertas de ajuste que muestra la categoría de amenazas de Cloud
Los conjuntos de reglas en la categoría de amenazas de Cloud incluyen listas de referencia que te permiten controlar las alertas que genera cada conjunto de reglas. En cada lista de referencia, defines los criterios de un evento de UDM que excluye el evento de la evaluación del conjunto de reglas.
En esta sección, se describe cada lista de referencias y se proporcionan valores de ejemplo que se pueden proporcionar en la lista de referencia.
Conjunto de reglas de acción del administrador
Este conjunto de reglas usa las siguientes listas de referencia para identificar los criterios en un evento de UDM que excluye el evento.
| Nombre genérico | Descripción |
|---|---|
| Usuario-agente HTTP | Nombre de la lista de referencia: gcti__cld__admin_action__network_http_user_agent__exclusion_list.
La string de usuario-agente HTTP, por ejemplo, |
| Dirección de correo electrónico principal | Nombre de la lista de referencia: gcti__cld__admin_action__principal_email_address__exclusion_list.
Dirección de correo electrónico asociada con la acción marcada, por ejemplo: |
| Nombre del recurso objetivo | Nombre de la lista de referencia: gcti__cld__admin_action__target_resource_name__exclusion_list
El nombre del recurso de destino de la acción marcada, por ejemplo:
|
Conjunto de reglas de Cloud Hacktool
Use las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Dirección de correo electrónico del usuario principal | Nombre de la lista de referencia: `gcti__cld__hacktls__principal_user_email_addresses__exclusion_list`.
Dirección de correo electrónico asociada con la acción marcada, por ejemplo: |
| Usuario-agente HTTP | Nombre de la lista de referencia: `gcti__cld__hacktls__network_http_user_agent__exclusion_list`.
La string de usuario-agente HTTP, por ejemplo, |
| ID del usuario principal | Nombre de la lista de referencia: `gcti__cld__hacktls__principal_user_userid__exclusion_list`.
ID del usuario asociado con la acción marcada, por ejemplo, |
| Proyecto de Cloud de destino | Nombre de la lista de referencia: `gcti__cld__hacktls__target_cloud_project_name__exclusion_list`.
El nombre del proyecto de Google Cloud asociado con la acción marcada (por ejemplo, |
Conjunto de reglas de abuso de IAM
Use las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Dirección de correo electrónico del usuario principal | Nombre de la lista de referencia: `gcti__cld__iamabuse__principal_user_email_addresses__exclusion_list`.
Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo, |
| Nombre del recurso objetivo | Nombre de la lista de referencia: `gcti__cld__iamabuse__target_resource_name__exclusion_list`.
Cuenta de servicio de destino asociada con la acción marcada, por ejemplo, |
| Usuario-agente HTTP | Nombre de la lista de referencia: `gcti__cld__iamabuse__network_http_user_agent__exclusion_list`.
La string de usuario-agente HTTP, por ejemplo, |
Conjunto de reglas de actividad del perfil potencial
Usa las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Nombre de la respuesta | Nombre de la lista de referencia: gcti__cld__exfil__answer_name__exclusion_list.
Responde a la consulta de DNS determinada, por ejemplo, |
| Nombre de la pregunta | Nombre de la lista de referencia: gcti__cld__exfil__question_name__exclusion_list.
El asunto de la consulta de DNS, por ejemplo, |
| Nombre del recurso | Nombre de la lista de referencia: gcti__cld__exfil__resource_name__exclusion_list.
Nombre de host o de recurso de la VM que realiza las consultas de DNS. |
| Datos de respuesta | Nombre de la lista de referencia: gcti__cld__exfil__response_data__exclusion_list.
Parte de los datos de la respuesta, por ejemplo, |
Conjunto de reglas de masquerading de recursos
Usa las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Nombre del proyecto de Cloud de destino | Nombre de la lista de referencia: “gcti__cld__res_masq__target_cloud_project_name__exclusion_list”.
Es el nombre del proyecto de Google Cloud asociado con la acción marcada, por ejemplo, project-example-123456. |
| Usuario-agente de HTTP de la red | Nombre de la lista de referencia: `gcti__cld__res_masq__network_http_user_agent__exclusion_list`.
Es el nombre del usuario-agente de origen, por ejemplo, Mozilla/5.0
(Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv)
AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0
Chrome/94.0.4606.71 Mobile Safari/537.36. |
| Nombre del recurso objetivo | Nombre de la lista de referencia: `gcti__cld__res_masq__target_resource_name__exclusion_list`
Nombre del recurso al que se orienta la acción marcada, como el nombre de una instancia de Compute Engine o un nodo de Google Kubernetes Engine. |
Se estableció la regla de interrupción del servicio
Usa las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Dirección de correo electrónico del usuario principal | Nombre de la lista de referencia: `gcti__cld__svcdisrupt__principal_user_email_addresses__exclusion_list`. Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo: foobar@example.com |
| Nombre del proyecto de Cloud de destino | Nombre de la lista de referencia: “gcti__cld__svcdisrupt__target_cloud_project_name__exclusion_list”. Nombre del proyecto de Google Cloud orientado que está asociado con la acción marcada, por ejemplo: unicorn-prod-424543 |
| Usuario-agente HTTP | Nombre de la lista de referencia: `gcti__cld__svcdisrupt__network_http_user_agent__exclusion_list`. String del usuario-agente HTTP que puede identificar la fuente del tráfico de red, por ejemplo: Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko)
Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36. |
Se configuró una regla de comportamiento sospechoso
Usa las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Dirección de correo electrónico del usuario principal | Nombre de la lista de referencia: `gcti__cld__susbehavior__principal_user_email_addresses__exclusion_list` Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo foobar@example.com |
| Dirección de correo electrónico del usuario objetivo | Nombre de la lista de referencia: `gcti__cld__susbehavior__target_user_email_addresses__exclusion_list`. Dirección de correo electrónico orientada asociada con la acción marcada, por ejemplo: foobar@example.com |
| Nombre del recurso objetivo | Nombre de la lista de referencia: `gcti__cld__susbehavior__target_resource_name__exclusion_list`. Nombre del recurso al que se orienta la acción marcada. Por ejemplo, el nombre del proyecto o de la instancia. |
| Nombre del proyecto de Cloud de destino | Nombre de la lista de referencia: `gcti__cld__susbehavior__target_cloud_project_name__exclusion_list`. Nombre del proyecto de Google Cloud orientado que se asocia con la acción marcada, por ejemplo: unicorn-prod-424543 |
Conjunto de reglas de cambio de infraestructura sospechoso
Use las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Nombre del proyecto de Cloud de destino | Nombre de la lista de referencia: `gcti__cld__infrastructurechange__target_cloud_project_name__exclusion_list` Nombre del proyecto de Google Cloud asociado con la acción marcada, por ejemplo project-example-123456 |
| Dirección de correo electrónico del usuario principal | Nombre de la lista de referencia: `gcti__cld__infrastructurechange__principal_user_email_addresses__exclusion_list` Dirección de correo electrónico de origen asociada con la acción marcada, por ejemplo alice@example.com |
| Usuario-agente de HTTP de la red | Nombre de la lista de referencia: `gcti__cld__infrastructurechange__network_http_user_agent__exclusion_list` Nombre del usuario-agente de origen, como Mozilla/5.0 (Linux; Android 12; Pixel 6 Build/SD1A.210817.023; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/94.0.4606.71 Mobile Safari/537.36
|
| Nombre del recurso objetivo | Nombre de la lista de referencia: `gcti__cld__infrastructurechange__compute_disk_image_name__exclusion_list` Nombre del recurso al que se orienta la acción marcada, como el nombre de una imagen o un disco de Compute. |
| Etiqueta de atributo de recurso objetivo | Nombre de la lista de referencia: `gcti__cld__infrastructurechange__compute_disk_snapshot_name__exclusion_list` Nombre del atributo del recurso al que se orienta la acción marcada, como el nombre de una instantánea de Compute. |
Conjunto de reglas de configuración debilitado
Usa las siguientes listas de referencia para definir criterios en un evento de UDM que excluya el evento de la evaluación del conjunto de reglas.
| Nombre genérico | Descripción |
|---|---|
| Nombre de la función del atributo principal | Nombre de la lista de referencia: `gcti__cld__weak_config__principal_attribute_role_name__exclusion_list`
La función que el usuario principal aplicó o atribuyó a un recurso de destino, por ejemplo:
|
| Dirección de correo electrónico principal | Nombre de la lista de referencia: `gcti__cld__weak_config__principal_email_address__exclusion_list`
Dirección de correo electrónico asociada con la acción marcada, por ejemplo: |
| Tipo de evento del producto | Nombre de la lista de referencia: `gcti__cld__weak_config__product_event_type__exclusion_list`
Especifica el recurso y el método asociados con el evento en la acción marcada, por ejemplo:
|
| Nombre del proyecto de destino | Nombre de la lista de referencia: `gcti__cld__weak_config__target_project_name__exclusion_list`
El nombre del proyecto de destino de la acción marcada, por ejemplo:
|