Descripción general de Event Threat Detection

¿Qué es Event Threat Detection?

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa de forma continua tu organización o proyectos y, además, identifica amenazas dentro de tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.

Cómo funciona Event Threat Detection

Event Threat Detection supervisa el flujo de Cloud Logging de la organización o los proyectos. Si activas el nivel Premium de Security Command Center a nivel de la organización, Event Threat Detection consume los registros de los proyectos a medida que se crean y Event Threat Detection puede supervisar los registros de Google Workspace. Cloud Logging contiene entradas de registro de las llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace rastrean los accesos de los usuarios a tu dominio y proporcionan un registro de las acciones realizadas en la Consola del administrador de Google Workspace.

Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentada, incluida la coincidencia de indicador de tripwire, la generación de perfiles con ventanas, la generación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.

Cuando Event Threat Detection detecta una amenaza, escribe un resultado en Security Command Center. Si activas el nivel Premium de Security Command Center a nivel de la organización, Security Command Center puede escribir los resultados en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar los resultados a otros sistemas con Pub/Sub y procesarlos con Cloud Functions.

Si activas el nivel Premium de Security Command Center a nivel de la organización, también puedes usar Chronicle para investigar algunos hallazgos. Chronicle es un servicio de Google Cloud que te permite investigar amenazas y alternar por entidades relacionadas en un cronograma unificado. Para obtener instrucciones sobre cómo enviar los resultados a Chronicle, consulta Investiga los resultados en Chronicle.

La capacidad para ver y editar hallazgos y registros se determina mediante los roles de administración de identidades y accesos (IAM). Para obtener más información sobre los roles de IAM de Security Command Center, consulta Control de acceso.

Reglas de Event Threat Detection

Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos.

Event Threat Detection incluye las siguientes reglas predeterminadas:

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Análisis activo: Log4j es vulnerable a RCE No disponible Registros de Cloud DNS Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios sin ofuscar que iniciaron los analizadores de vulnerabilidades de Log4j admitidos.
Inhibición de la recuperación del sistema: Se borró el host de DR y la copia de seguridad de Google Cloud BACKUP_HOSTS_DELETE_HOST Registros de auditoría de Cloud:
Registros de acceso a los datos del servicio de copia de seguridad y DR 		Se borró un host de la copia de seguridad y DR. Es posible que las aplicaciones asociadas con el host borrado no estén protegidas.
Destrucción de datos: imagen de vencimiento de la DR y la copia de seguridad de Google Cloud BACKUP_EXPIRE_IMAGE Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Un usuario solicitó que se borre una imagen de copia de seguridad de Copia de seguridad y DR. Esta acción no impide que se creen copias de seguridad en el futuro.
Inhibición de la recuperación del sistema: Plan de eliminación de la copia de seguridad y DR de Google Cloud BACKUP_REMOVE_PLAN Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se borró de Copia de seguridad y DR un plan de copia de seguridad con varias políticas para una aplicación. La eliminación de un plan de copia de seguridad puede evitar que se creen copias de seguridad futuras.
Destrucción de datos: la copia de seguridad y la DR de Google Cloud vencen en todas las imágenes. BACKUP_EXPIRE_IMAGES_ALL Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Un usuario solicitó que se borren todas las imágenes de copia de seguridad de una aplicación protegida de copia de seguridad y DR. La eliminación de imágenes de copia de seguridad no impide que se creen copias de seguridad en el futuro.
Inhibición de la recuperación del sistema: Plantilla de eliminación de la copia de seguridad y DR de Google Cloud BACKUP_TEMPLATES_DELETE_TEMPLATE Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se borró una plantilla de copia de seguridad predefinida, que se usa para configurar copias de seguridad para varias aplicaciones. Es posible que, en el futuro, se vea afectada la capacidad de configurar copias de seguridad.
Inhibición de la recuperación del sistema: Política de eliminación de la copia de seguridad y DR de Google Cloud BACKUP_TEMPLATES_DELETE_POLICY Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se borró una política de copia de seguridad y DR, que define cómo se realiza una copia de seguridad y dónde se almacena. Las copias de seguridad futuras que usen esta política podrían fallar.
Inhibición de la recuperación del sistema: Perfil de eliminación de la copia de seguridad y DR de Google Cloud BACKUP_PROFILES_DELETE_PROFILE Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se borró un perfil de copia de seguridad y DR, que define qué grupos de almacenamiento se deben usar para almacenar copias de seguridad. Las copias de seguridad futuras que usan el perfil pueden fallar.
Destrucción de datos: La copia de seguridad y DR de Google Cloud quitan el dispositivo BACKUP_APPLIANCES_REMOVE_APPLIANCE Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se borró un dispositivo de copia de seguridad de copia de seguridad y DR. Es posible que las aplicaciones asociadas con el dispositivo de copia de seguridad borrado no estén protegidas.
Inhibición de la recuperación del sistema: grupo de almacenamiento de eliminación de la copia de seguridad y DR de Google Cloud BACKUP_STORAGE_POOLS_DELETE Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se quitó de Copia de seguridad y DR un grupo de almacenamiento, que asocia un bucket de Cloud Storage con copias de seguridad y DR. Las copias de seguridad futuras en este destino de almacenamiento fallarán.
Impacto: La DR y la copia de seguridad de Google Cloud disminuyeron el vencimiento de la copia de seguridad BACKUP_REDUCE_BACKUP_EXPIRATION Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se redujo la fecha de vencimiento de una copia de seguridad protegida por copia de seguridad y DR.
Impacto: La copia de seguridad y DR de Google Cloud redujo la frecuencia de las copias de seguridad BACKUP_REDUCE_BACKUP_FREQUENCY Registros de auditoría de Cloud:
Registros de acceso a los datos de copia de seguridad y DR 		Se modificó el programa de copia de seguridad y DR para reducir la frecuencia de las copias de seguridad.
Ataques de fuerza bruta a SSH BRUTE_FORCE_SSH authlog Detección de fuerza bruta SSH exitosa en un host
IDS de Cloud: THREAT_IDENTIFIER Vista previa CLOUD_IDS_THREAT_ACTIVITY Registros del IDS de Cloud Eventos que detecta IDS de Cloud. El IDS de Cloud detecta ataques de capa 7 mediante el análisis de los paquetes duplicados y, cuando se detecta un evento, envía un resultado a Security Command Center. Los nombres de las categorías de resultados comienzan con “IDS de Cloud” seguido del identificador de amenaza del IDS de Cloud. Para obtener más información sobre las detecciones del IDS de Cloud, consulta la información de registro del IDS de Cloud.
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ

Detecta eventos en los que se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgan roles o permisos sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Este hallazgo no está disponible para activaciones a nivel de proyecto.
Acceso a las credenciales: Grupo privilegiado abierto al público PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Auditoría de administrador
Permisos:
DATA_READ

Detecta eventos en los que se cambia un Grupo de Google con privilegios (un grupo al que se le otorgan roles o permisos sensibles) para que sea accesible para el público general. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Este hallazgo no está disponible para activaciones a nivel de proyecto.
Acceso a las credenciales: Función sensible otorgada al grupo híbrido SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM

Detecta eventos en los que se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Este hallazgo no está disponible para activaciones a nivel de proyecto.
Evasión de defensa: Se creó la implementación de cargas de trabajo de emergenciaVista previa BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detecta la implementación de cargas de trabajo que se implementan a través de la marca de emergencia para anular los controles de Autorización Binaria.
Evasión de defensa: Actualización de la implementación de cargas de trabajo de anulación de emergenciaVista previa BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detecta cuando las cargas de trabajo se actualizan con la marca de emergencia para anular los controles de Autorización Binaria.
Defense Evasion: Modifica el Control de servicios de VPC DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Registros de auditoría de Cloud Registros de auditoría de los Controles del servicio de VPC

Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT Registros de auditoría de Cloud:
Registros de acceso a los datos de GKE

Un atacante potencialmente malicioso intentó determinar qué objetos sensibles en GKE puede consultar mediante el comando kubectl auth can-i get. Específicamente, la regla detecta si el actor verificó el acceso a la API en los siguientes objetos:
Descubrimiento: Autoinvestigación de cuentas de servicio SERVICE_ACCOUNT_SELF_INVESTIGATION Registros de auditoría de Cloud:
Registros de auditoría de acceso a los datos de IAM
Permisos:
DATA_READ

La detección de una credencial de cuenta de servicio de IAM que se usa para investigar los roles y los permisos asociados con esa misma cuenta de servicio.

Roles sensibles

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM.
Evasión: Acceso desde el proxy de anonimización ANOMALOUS_ACCESS Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detección de modificaciones del servicio de Google Cloud que se originaron en direcciones IP de proxy anónimas, como direcciones IP de Tor
Robo de datos: Robo de datos de BigQuery DATA_EXFILTRATION_BIG_QUERY Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ 		Detecta las siguientes situaciones:

  • Recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia

    Esta situación se indica mediante una subregla de exfil_to_external_table y una gravedad de HIGH.

  • Intenta acceder a recursos de BigQuery protegidos por los Controles del servicio de VPC.

    Esta situación se indica mediante una subregla de vpc_perimeter_violation y una gravedad de LOW.
Robo de datos: Extracción de datos de BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ 		Detecta las siguientes situaciones:

  • Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización.
  • Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización.

En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior.
Robo de datos: datos de BigQuery en Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ 		Detecta lo siguiente:

  • Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.
Robo de datos: Robo de datos de Cloud SQL
 CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS		 Registros de auditoría de Cloud: Registros de acceso a los datos de MySQL
Registros de acceso a datos de PostgreSQL
Registros de acceso a los datos de SQL Server 		Detecta las siguientes situaciones:

  • Los datos de la instancia publicada se exportan a un bucket de Cloud Storage fuera de la organización.
  • Datos de instancia en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y que es de acceso público.

En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en la organización superior.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Registros de auditoría de Cloud: Registros de actividad del administrador de MySQL
Registros de actividad del administrador de PostgreSQL
Registros de actividad del administrador de SQL Server

Detecta eventos en los que se restablece la copia de seguridad de una instancia de Cloud SQL en una instancia fuera de la organización.
Robo de datos: otorgamiento con exceso de privilegios de Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Registros de auditoría de Cloud: Registros de acceso a los datos de PostgreSQL
Nota: Debes habilitar la extensión pgAudit para usar esta regla.

Detecta eventos en los que a un usuario o una función de Cloud SQL para PostgreSQL se le otorgaron todos los privilegios de una base de datos o a todas las tablas, procedimientos o funciones de un esquema.

Acceso inicial: el superusuario de la base de datos escribe en las tablas de usuarios CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES Registros de auditoría de Cloud: Registros de acceso a los datos de Cloud SQL para PostgreSQL
Registros de acceso a los datos de Cloud SQL para MySQL
Nota: Debes habilitar la extensión pgAudit para PostgreSQL o la auditoría de bases de datos de MySQL para usar esta regla.

Detecta eventos en los que un superusuario de Cloud SQL (postgres para servidores PostgreSQL o root para usuarios de MySQL) escribe en tablas que no son del sistema.
Vista previaEscalación de privilegios: Otorgamiento de privilegios excesivos de AlloyDB ALLOYDB_USER_GRANTED_ALL_PERMISSIONS Registros de auditoría de Cloud: Registros de acceso a los datos de AlloyDB para PostgreSQL
Nota: Debes habilitar la extensión pgAudit para usar esta regla.

Detecta eventos en los que a un usuario o una función de AlloyDB para PostgreSQL se le otorgaron todos los privilegios de una base de datos o de todas las tablas, procedimientos o funciones de un esquema.

Vista previaEscalación de privilegios: el superusuario de la base de datos de AlloyDB escribe en las tablas de usuarios ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES Registros de auditoría de Cloud: Registros de acceso a los datos de AlloyDB para PostgreSQL
Nota: Debes habilitar la extensión pgAudit para usar esta regla.

Detecta eventos en los que un superusuario de AlloyDB para PostgreSQL (postgres) escribe en tablas que no son del sistema.
Acceso inicial: Acción de cuenta de servicio inactiva DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION Registros de auditoría de Cloud: Registros de actividad del administrador

Detecta eventos en los que una cuenta de servicio administrada por el usuario inactiva activó una acción. En este contexto, una cuenta de servicio se considera inactiva si ha estado inactiva durante más de 180 días.
Escalación de privilegios: Función sensible otorgada de cuenta de servicio inactiva DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM

Detecta eventos en los que se le otorgaron uno o más roles sensibles de IAM a una cuenta de servicio administrada por el usuario inactiva. En este contexto, una cuenta de servicio se considera inactiva si ha estado inactiva durante más de 180 días.

Roles sensibles

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Persistencia: Se otorga un rol de suplantación de identidad para una cuenta de servicio inactiva DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM

Detecta eventos en los que a una principal se le otorgan permisos para usar la identidad de una cuenta de servicio inactiva administrada por un usuario. En este contexto, una cuenta de servicio se considera inactiva si ha estado inactiva durante más de 180 días.
Acceso inicial: se creó una clave de cuenta de servicio inactiva DORMANT_SERVICE_ACCOUNT_KEY_CREATED Registros de auditoría de Cloud: Registros de actividad del administrador

Detecta eventos en los que se crea una clave para una cuenta de servicio administrada por el usuario inactiva. En este contexto, una cuenta de servicio se considera inactiva si ha estado inactiva durante más de 180 días.
Acceso inicial: se usó una clave de cuenta de servicio filtrada. LEAKED_SA_KEY_USED Registros de auditoría de Cloud: Registros de actividad del administrador
Registros de acceso a los datos

Detecta eventos en los que se usa una clave de cuenta de servicio filtrada para autenticar la acción. En este contexto, una clave de cuenta de servicio filtrada es aquella que se publicó en la Internet pública.
Acceso inicial: acciones denegadas de permisos excesivos EXCESSIVE_FAILED_ATTEMPT Registros de auditoría de Cloud: Registros de actividad del administrador

Detecta eventos en los que una principal activa de forma repetida errores de permiso denegado cuando se intentan realizar cambios en varios métodos y servicios.
Inhabilita las defensas: Autenticación segura inhabilitada ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Auditoría del administrador 		Se inhabilitó la verificación en dos pasos para la organización.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Inhabilita las defensas: Verificación en dos pasos inhabilitada 2SV_DISABLE Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ 		Un usuario inhabilitó la verificación en 2 pasos.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Acceso inicial: Usurpación de cuenta inhabilitada ACCOUNT_DISABLED_HIJACKED Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ 		Se suspendió la cuenta de un usuario debido a actividad sospechosa.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Acceso inicial: Filtrado de contraseña inhabilitada ACCOUNT_DISABLED_PASSWORD_LEAK Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ 		Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Acceso inicial: Ataque basado en el Gobierno GOV_ATTACK_WARNING Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ 		Es posible que los atacantes respaldados por el gobierno hayan intentado vulnerar una cuenta de usuario o una computadora.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Acceso inicial: Intento de compromiso de Log4j No disponible Registros de Cloud Load Balancing:
Balanceador de cargas HTTP de Cloud
Nota: Debes habilitar el registro del balanceador de cargas de aplicaciones externo para usar esta regla. 		Detecta las lookups de asignación de nombres de Java y la interfaz de directorio (JNDI) dentro de encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso.
Esta regla siempre está activada.
Acceso inicial: Acceso sospechoso bloqueado SUSPICIOUS_LOGIN Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ 		Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Software malicioso de Log4j: Error de dominio LOG4J_BAD_DOMAIN Registros de Cloud DNS Detección del tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una consulta sobre este.
Software malicioso de Log4j: IP incorrecta LOG4J_BAD_IP Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT		 Detección de tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j.
Software malicioso: error de dominio MALWARE_BAD_DOMAIN Registros de Cloud DNS Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP MALWARE_BAD_IP Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT		 Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Software malicioso: Error de criptominería en un dominio CRYPTOMINING_POOL_DOMAIN Registros de Cloud DNS Detección de criptominería basada en una conexión de, o una búsqueda de, un dominio de minería conocido
Software malicioso: Criptominería de IP incorrecta CRYPTOMINING_POOL_IP Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT		 Detección de criptominería basada en una conexión a una dirección IP de minería conocida
DoS salientes OUTGOING_DOS Registros de flujo de VPC Detección del tráfico saliente de denegación del servicio
Persistencia: Se agregó una clave SSH por parte del administrador de GCE GCE_ADMIN_ADD_SSH_KEY Registros de auditoría de Cloud:
Registros de auditoría de Compute Engine		 Detección de una modificación en el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Persistencia: El administrador de GCE agregó una secuencia de comandos de inicio GCE_ADMIN_ADD_STARTUP_SCRIPT Registros de auditoría de Cloud:
Registros de auditoría de Compute Engine		 Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM IAM_ANOMALOUS_GRANT Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM

Este resultado incluye subreglas que proporcionan información más específica sobre cada instancia de este resultado.

En la siguiente lista, se muestran todas las subreglas posibles:

  • external_service_account_added_to_policy, external_member_added_to_policy: Detección de los privilegios otorgados a cuentas de servicio y usuarios de IAM que no son miembros de tu organización o, si Security Command Center se activa solo a nivel de proyecto, a tu proyecto. Nota: Si Security Command Center se activa a nivel de la organización en cualquier nivel, este detector usa las políticas de IAM existentes de una organización como contexto. Si la activación de Security Command Center es solo a nivel de proyecto, el detector usa solo las políticas de IAM del proyecto como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado.

    Roles sensibles

    Los resultados se clasifican con gravedad Alta o Media, según la sensibilidad de los roles otorgados. Para obtener más información, consulta Roles y permisos sensibles de IAM.

  • external_member_invited_to_policy: Detecta cuándo se invita a un miembro externo como propietario del proyecto a través de la API de InsertProjectOwnershipInvite.
  • custom_role_given_sensitive_permissions: Detecta cuándo se agrega el permiso setIAMPolicy a una función personalizada.
  • service_account_granted_sensitive_role_to_member: Detecta cuándo se otorgan funciones con privilegios a los miembros a través de una cuenta de servicio. Esta subregla se activa mediante un subconjunto de roles sensibles que incluyen solo roles básicos de IAM y ciertos roles de almacenamiento de datos. Para obtener más información, consulta Permisos y roles sensibles de IAM.
  • policy_modified_by_default_compute_service_account: Detecta cuándo se usa una cuenta de servicio predeterminada de Compute Engine para modificar la configuración de IAM del proyecto.
Vista previaPersistencia: Rol sensible otorgado por cuenta no administrada
 UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detección de un rol sensible que se otorga a una cuenta no administrada.
Persistencia: Nuevo método de API
 ANOMALOUS_BEHAVIOR_NEW_API_METHOD Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía
 IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Persistencia: Usuario-agente nuevo IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Persistencia: Activación o desactivación de SSO TOGGLE_SSO_ENABLED Google Workspace:
Auditoría del administrador 		Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Persistencia: Configuración de SSO cambiada CHANGE_SSO_SETTINGS Google Workspace:
Auditoría del administrador 		Se cambió la configuración de SSO para la cuenta de administrador.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Escalación de privilegios: Suplantación de identidad anómalo de la cuenta de servicio para la actividad del administrador ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detecta cuándo se usa una cuenta de servicio con identidad potencialmente anómala para una actividad administrativa.
Elevación de privilegios: delegación anómala de cuentas de servicio de varios pasos para la actividad del administrador ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detecta cuándo se encuentra una solicitud delegada de varios pasos anómala para una actividad administrativa.
Elevación de privilegios: delegación anómala de cuentas de servicio de varios pasos para el acceso a los datos ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS Registros de auditoría de Cloud:
Registros de acceso a los datos		 Detecta cuándo se encuentra una solicitud delegada de varios pasos anómala para una actividad de acceso a los datos.
Escalación de privilegios: Suplantación de identidad de cuenta de servicio anómala para actividades de administrador ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY Registros de auditoría de Cloud:
Registros de actividad del administrador		 Detecta cuándo se usa un llamador o suplantación de identidad potencialmente anómalo en una cadena de delegación para una actividad administrativa.
Escalación de privilegios: Suplantación de identidad de cuenta de servicio anómala para acceso a datos ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS Registros de auditoría de Cloud:
Registros de acceso a los datos		 Detecta cuándo se usa un llamador o suplantación de identidad potencialmente anómalo en una cadena de delegación para una actividad de acceso a los datos.
Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT Registros de auditoría de Cloud:
Registros de actividad del administrador de GKE		 Para derivar privilegios, una persona potencialmente malintencionada intentó modificar un objeto de control de acceso basado en roles (RBAC) del rol ClusterRole o ClusterRoleBinding del rol cluster-admin sensible mediante una solicitud PUT o PATCH.
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT Registros de auditoría de Cloud:
Registros de actividad del administrador de GKE 		Un actor potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le da acceso cluster-admin .
Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Para derivar el privilegio, una persona potencialmente maliciosa intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin.
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS Registros de auditoría de Cloud:
Registros de acceso a los datos de GKE 		Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER Registros de auditoría de Cloud:
Registros de actividad del administrador de GKE

Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios.

Un contenedor con privilegios tiene el campo privileged configurado como true. Un contenedor con capacidades de elevación de privilegios tiene el campo allowPrivilegeEscalation configurado como true. Para obtener más información, consulta la referencia de la API principal de SecurityContext v1 en la documentación de Kubernetes.
Persistencia: Se creó la clave de la cuenta de servicio SERVICE_ACCOUNT_KEY_CREATION Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detecta la creación de una clave de cuenta de servicio. Las claves de las cuentas de servicio son credenciales de larga duración que aumentan el riesgo de acceso no autorizado a los recursos de Google Cloud.
Escalación de privilegios: Se agregó una secuencia de comandos de cierre global GLOBAL_SHUTDOWN_SCRIPT_ADDED Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detecta cuándo se agrega una secuencia de comandos de apagado global a un proyecto.
Persistencia: Se agregó la secuencia de comandos de inicio global GLOBAL_STARTUP_SCRIPT_ADDED Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detecta cuándo se agrega una secuencia de comandos de inicio global a un proyecto.
Evasión de defensa: Se agregó el rol de creador de tokens de cuenta de servicio a nivel de la organización ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detecta cuándo se otorga el rol de IAM de creador de tokens de cuentas de servicio a nivel de la organización.
Evasión de defensa: Se agregó el rol de creador de token de cuenta de servicio a nivel de proyecto PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detecta cuándo se otorga el rol de IAM de creador de tokens de cuentas de servicio a nivel de proyecto.
Desplazamiento lateral: Ejecución de parche de SO desde la cuenta de servicio OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM		 Detecta cuándo una cuenta de servicio usa la función de parche de Compute Engine para actualizar el sistema operativo de cualquier instancia de Compute Engine que se esté ejecutando.
Desplazamiento lateral: disco de arranque modificado conectado a la instancia Vista previa MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE Registros de auditoría de Cloud:
Registros de auditoría de Compute Engine		 Detecta cuándo se desconecta un disco de arranque de una instancia de Compute Engine y se conecta a otra, lo que podría indicar un intento malicioso de vulnerar el sistema mediante un disco de arranque modificado.
Acceso a credenciales: Secrets a los que se accedió en el espacio de nombres de Kubernetes SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE Registros de auditoría de Cloud:
Registros de acceso a los datos de GKE		 Detecta cuándo una cuenta de servicio accede a los secretos o tokens de cuentas de servicio en el espacio de nombres de Kubernetes actual.
Desarrollo de recursos: Actividad de distribución de seguridad ofensiva OFFENSIVE_SECURITY_DISTRO_ACTIVITY Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta manipulaciones de recursos de Google Cloud exitosas a partir de pruebas de penetración conocidas o distribuciones de seguridad ofensivas.
Escalación de privilegios: La nueva cuenta de servicio tiene el rol de propietario o editor SERVICE_ACCOUNT_EDITOR_OWNER Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo se crea una cuenta de servicio nueva con los roles de Editor o Propietario para un proyecto.
Descubrimiento: herramienta de recopilación de información usada INFORMATION_GATHERING_TOOL_USED Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta el uso de ScoutSuite, una herramienta de auditoría de seguridad de la nube conocida por ser utilizada por actores de amenazas.
Elevación de privilegios: generación de tokens sospechosa SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo se abusa del permiso iam.serviceAccounts.implicitDelegation para generar tokens de acceso desde una cuenta de servicio con más privilegios.
Elevación de privilegios: generación de tokens sospechosa SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo una cuenta de servicio usa el método serviceAccounts.signJwt a fin de generar un token de acceso para otra cuenta de servicio.
Elevación de privilegios: generación de tokens sospechosa SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta el uso entre proyectos del permiso de IAM iam.serviceAccounts.getOpenIdToken.

Este hallazgo no está disponible para activaciones a nivel de proyecto.
Elevación de privilegios: generación de tokens sospechosa SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta el uso entre proyectos del permiso de IAM iam.serviceAccounts.getAccessToken.

Este hallazgo no está disponible para activaciones a nivel de proyecto.
Elevación de privilegios: Uso sospechoso de permisos entre proyectos SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta el uso entre proyectos del permiso de IAM datafusion.instances.create.

Este hallazgo no está disponible para activaciones a nivel de proyecto.
Comando y control: Tunelización de DNS DNS_TUNNELING_IODINE_HANDSHAKE Registros de Cloud DNS Detecta el protocolo de enlace de la herramienta de tunelización de DNS, Iodine.
Evasión de defensa: intento de enmascaramiento de ruta de VPC VPC_ROUTE_MASQUERADE Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta la creación manual de rutas de VPC que se hacen pasar por rutas predeterminadas de Google Cloud, lo que permite el tráfico de salida a direcciones IP externas.
Impacto: Facturación inhabilitada BILLING_DISABLED_SINGLE_PROJECT Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo se inhabilitó la facturación de un proyecto.
Impacto: Facturación inhabilitada BILLING_DISABLED_MULTIPLE_PROJECTS Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta si se inhabilitó la facturación de varios proyectos de una organización en un período breve.
Impacto: Bloqueo de alta prioridad del firewall de VPC VPC_FIREWALL_HIGH_PRIORITY_BLOCK Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo se agrega una regla de firewall de VPC que bloquea todo el tráfico con prioridad 0.
Impacto: Eliminación de reglas de firewall en masa de VPC VPC_FIREWALL_MASS_RULE_DELETION Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta la eliminación masiva de reglas de firewall de VPC por parte de cuentas que no son de servicio.
Impacto: API de servicio inhabilitada SERVICE_API_DISABLED Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo se inhabilita una API de servicio de Google Cloud en un entorno de producción.
Impacto: El ajuste de escala automático del grupo de instancias administrado se estableció en modo máximo MIG_AUTOSCALING_SET_TO_MAX Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo se configura un grupo de instancias administrado para el ajuste de escala automático máximo.
Descubrimiento: Llamada a la API de cuenta de servicio no autorizada UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Registros de auditoría de Cloud:
Registros de auditoría de actividad del administrador de IAM 		Detecta cuándo una cuenta de servicio realiza una llamada a la API entre proyectos no autorizada.
Evasión de defensa: sesiones anónimas con acceso de administrador de clúster ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN Registros de auditoría de Cloud:
Registros de actividad del administrador de GKE		 Detecta la creación de un objeto ClusterRoleBinding de control de acceso basado en roles (RBAC) y agrega el comportamiento root-cluster-admin-binding a usuarios anónimos.
Acceso inicial: Recurso de GKE anónimo creado desde Internet Vista previa GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET Registros de auditoría de Cloud:
Registros de actividad del administrador de GKE		 Detecta eventos de creación de recursos de usuarios de Internet anónimos de forma eficaz.
Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet Vista previa GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET Registros de auditoría de Cloud:
Registros de actividad del administrador de GKE		 Detecta eventos de manipulación de recursos de usuarios de Internet anónimos de forma eficaz.

Módulos personalizados para Event Threat Detection

Además de las reglas de detección integradas, Event Threat Detection proporciona plantillas de módulos que puedes usar para crear reglas de detección personalizadas. Para obtener más información, consulta Descripción general de los módulos personalizados para Event Threat Detection.

Si quieres crear reglas de detección para las que no haya plantillas de módulos personalizadas disponibles, puedes exportar tus datos de registro a BigQuery y, luego, ejecutar consultas en SQL únicas o recurrentes que capturen tus modelos de amenaza.

Cambios no seguros en Grupos de Google

En esta sección, se explica cómo Event Threat Detection usa registros de Google Workspace, registros de auditoría de Cloud y políticas de IAM para detectar cambios no seguros de Grupos de Google. Solo se pueden detectar cambios en Grupos de Google cuando activas Security Command Center a nivel de la organización.

Los clientes de Google Cloud pueden usar Grupos de Google para administrar funciones y permisos de los miembros de sus organizaciones o aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a los Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todos los roles y los permisos de un grupo, lo que permite que los miembros accedan a recursos y servicios específicos.

Si bien los Grupos de Google son una forma conveniente de administrar el control de acceso a gran escala, pueden representar un riesgo si se agregan usuarios externos fuera de tu organización o dominio a grupos privilegiados. otorgaste funciones o permisos sensibles. los roles sensibles controlan el acceso a la configuración de seguridad y de red, los registros y la información de identificación personal (PII), y no se recomiendan para los miembros del grupo externo.

En organizaciones grandes, es posible que los administradores no estén al tanto cuando se agreguen miembros externos a grupos privilegiados. Los registros de auditoría de Cloud registran las asignaciones de funciones a los grupos, pero esos eventos no contienen información sobre los miembros del grupo, lo que puede ocultar el impacto potencial de algunos cambios en el grupo.

Si compartes tus registros de Google Workspace con Google Cloud, Event Threat Detection supervisa las transmisiones de registro de los miembros nuevos que se agregan a los Grupos de Google de tu organización. Debido a que los registros están a nivel de la organización, Event Threat Detection puede analizar los registros de Google Workspace solo cuando activas Security Command Center a nivel de la organización. Event Threat Detection no puede analizar estos registros cuando activas Security Command Center a nivel de proyecto.

Event Threat Detection identifica a los miembros externos del grupo y, mediante los registros de auditoría de Cloud, revisa los roles de IAM de cada grupo afectado para verificar si se les otorgaron funciones sensibles. Esa información se usa para detectar los siguientes cambios no seguros en Grupos de Google con privilegios:

  • Miembros externos del grupo agregados a grupos con privilegios
  • Funciones o permisos sensibles otorgados a grupos con miembros externos del grupo
  • Grupos con privilegios que se cambian para permitir que se una a cualquier persona del público general

Event Threat Detection escribe los resultados en Security Command Center. Los resultados contienen las direcciones de correo electrónico de los miembros externos recién agregados, los miembros internos del grupo que inician eventos, los nombres de grupos y los roles sensibles asociadas con grupos. Puedes usar la información para quitar miembros externos de los grupos o revocar funciones sensibles otorgadas a los grupos.

Para obtener más información sobre los resultados de Event Threat Detection, consulta las reglas de Event Threat Detection.

Funciones y permisos confidenciales de IAM

En esta sección, se explica cómo Event Threat Detection define los roles de IAM sensibles. Las detecciones, como los cambios de otorgamiento anómalo de IAM y de Grupos de Google no seguros, generan resultados solo si los cambios involucran funciones de sensibilidad alta o media. La sensibilidad de las funciones afecta la calificación de gravedad asignada a los resultados.

  • Los roles de alta sensibilidad controlan los servicios críticos en las organizaciones, incluida la facturación, la configuración de firewall y el registro. Los resultados que coinciden con estas funciones se clasifican como gravedad Alta.
  • Los roles de sensibilidad media tienen permisos de edición que permiten a las principales realizar cambios en los recursos de Google Cloud. Visualiza y ejecuta permisos en servicios de almacenamiento de datos que, a menudo, contienen datos sensibles. La gravedad asignada a los resultados depende del recurso:
    • Si se otorgan funciones de sensibilidad media a nivel de la organización, los resultados se clasifican como de gravedad alta.
    • Si se otorgan funciones de sensibilidad media a niveles inferiores en la jerarquía de recursos (carpetas, proyectos y buckets, entre otras), los resultados se clasifican como de gravedad media.

Otorgar estas funciones sensibles se considera peligroso si el beneficiario es un miembro externo o una identidad anormal, como una principal que ha estado inactiva durante mucho tiempo. Otorgar funciones sensibles a miembros externos crea una amenaza potencial porque se puede abusar de ellos con fines de vulneración de la cuenta y robo de datos.

Las categorías de resultados que usan estos roles sensibles incluyen lo siguiente:

  • Persistencia: Otorgamiento anómalo de IAM
    • Subregla: external_service_account_added_to_policy
    • Subregla: external_member_added_to_policy
  • Acceso a las credenciales: Función sensible otorgada al grupo híbrido
  • Escalación de privilegios: Función sensible otorgada de cuenta de servicio inactiva

Las categorías de resultados que usan un subconjunto de roles sensibles incluyen lo siguiente:

  • Persistencia: Otorgamiento anómalo de IAM
    • Subregla: service_account_granted_sensitive_role_to_member

Por lo general, la subregla service_account_granted_sensitive_role_to_member se orienta a miembros internos y externos y, por lo tanto, usa solo un subconjunto de funciones sensibles, como se explica en las reglas de Event Threat Detection.

Tabla 1: Funciones de alta sensibilidad
Categoría Rol Descripción
Roles básicos: Contienen miles de permisos en todos los servicios de Google Cloud. roles/owner Funciones básicas
roles/editor
Funciones de seguridad: Controla el acceso a la configuración de seguridad roles/cloudkms.* Todos los roles de Cloud Key Management Service
roles/cloudsecurityscanner.* Todos los roles de Web Security Scanner
roles/dlp.* Todos los roles de protección de datos sensibles
roles/iam.* Todos los roles de IAM
roles/secretmanager.* Todos los roles de Secret Manager
roles/securitycenter.* Todos los roles de Security Command Center
Funciones de Logging: Controlan el acceso a los registros de una organización roles/errorreporting.* Todos los roles de Error Reporting
roles/logging.* Todos los roles de Cloud Logging
roles/stackdriver.* Todos los roles de Cloud Monitoring
Funciones de información personal: Controlan el acceso a los recursos que contienen información de identificación personal, incluida la información bancaria y de contacto roles/billing.* Todos los roles de la Facturación de Cloud
roles/healthcare.* Todos los roles de la API de Cloud Healthcare
roles/essentialcontacts.* Todos los roles de contactos esenciales
Funciones de herramientas de redes: Controlan el acceso a la configuración de red de una organización roles/dns.* Todos los roles de Cloud DNS
roles/domains.* Todos los roles de Cloud Domains
roles/networkconnectivity.* Todos los roles de Network Connectivity Center
roles/networkmanagement.* Todos los roles de Network Connectivity Center
roles/privateca.* Todos los roles de Certificate Authority Service
Funciones de servicio: Controlan el acceso a los recursos de servicio en Google Cloud roles/cloudasset.* Todos los roles de Cloud Asset Inventory
roles/servicedirectory.* Todos los roles del Directorio de servicios
roles/servicemanagement.* Todos los roles de Service Management
roles/servicenetworking.* Todos los roles de Herramientas de redes de servicio
roles/serviceusage.* Todos los roles de Service Usage
Funciones de Compute Engine: Controlan el acceso a las máquinas virtuales de Compute Engine, que llevan trabajos de larga duración y se asocian con reglas de firewall

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

 Todos los roles de administrador y de editor de Compute Engine
Tabla 2: Funciones de sensibilidad media
Categoría Rol Descripción
Funciones de edición: funciones de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud

Ejemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

 Por lo general, los nombres de los roles terminan con títulos como Administrador, Propietario, Editor o Escritor.

Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.

Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos

Ejemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

 Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.
Todos los roles de sensibilidad media

Aprobación de acceso
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Acciones
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorización binaria
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Artifact Analysis
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
2/}
2/}
2/}

roles/firebasepredictions.adminroles/firebaserules.adminroles/firebasestorage.adminroles/cloudconfig.adminroles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Servicio administrado para Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore para Redis
roles/redis.admin
roles/redis.editor

API de On-Demand Scanning
roles/ondemandscanning.admin

Supervisión de la configuración de operaciones
roles/opsconfigmonitoring.resourceMetadata.writer

Servicio de políticas de la organización
roles/axt.admin
roles/orgpolicy.policyAdmin

Otros roles
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Contador de proximidad
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recomendaciones
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recomendador
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Configuración de recursos
roles/resourcesettings.admin

Acceso a VPC sin servidores
roles/vpcaccess.admin

Administración de consumidores de servicios
roles/serviceconsumermanagement.tenancyUnitsAdmin

Servicio de transferencia de almacenamiento
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebooks administrados por el usuario de Vertex AI Workbench
roles/notebooks.admin
roles/notebooks.legacyAdmin

Flujos de trabajo
roles/workflows.admin
roles/workflows.editor

Tipos de registros y requisitos de activación

En esta sección, se enumeran los registros que usa Event Threat Detection, junto con las amenazas que busca Event Threat Detection en cada registro y, si corresponde, qué debes hacer para activar cada uno.

Debes activar un acceso para Event Threat Detection solo si se cumplen las siguientes condiciones:

  • Estás usando el producto o servicio que escribe en el registro.
  • Debes proteger el producto o servicio contra las amenazas que Event Threat Detection detecta en el registro.
  • El registro es un registro de auditoría de acceso a los datos o algún otro registro que está desactivado de forma predeterminada.

Algunas amenazas se pueden detectar en varios registros. Si Event Threat Detection puede detectar una amenaza en un registro que ya está activado, no es necesario que actives otro para detectar la misma amenaza.

Si un registro no aparece en esta sección, Event Threat Detection no lo analiza, incluso si está activado. Para obtener más información, consulta Análisis de registros potencialmente redundantes.

Como se describe en la siguiente tabla, algunos tipos de registros solo están disponibles a nivel de la organización. Si activas Security Command Center a nivel de proyecto, Event Threat Detection no analiza estos registros y no genera ningún resultado.

Análisis de registros potencialmente redundantes

Event Threat Detection puede proporcionar una detección de software malicioso en la red mediante el análisis de cualquiera de los siguientes registros:

  • Registro de Cloud DNS
  • Registro de Cloud NAT
  • Registro de reglas de firewall
  • Registros de flujo de VPC

Si ya usas el registro de Cloud DNS, Event Threat Detection puede detectar software malicioso mediante la resolución de dominio. Para la mayoría de los usuarios, los registros de Cloud DNS son suficientes a fin de detectar software malicioso en la red.

Si necesitas otro nivel de visibilidad más allá de la resolución del dominio, puedes activar los registros de flujo de VPC, pero pueden generar costos. Para administrar estos costos, recomendamos aumentar el intervalo de agregación a 15 minutos y reducir la tasa de muestreo a entre un 5% y un 10%, pero existe una compensación entre la recuperación (muestra más alta) y la administración de los costos (tasa de muestreo más baja).

Si ya usas el registro de reglas de firewall o el registro de Cloud NAT, estos registros son útiles en lugar de los registros de flujo de VPC.

No es necesario que habilites más de uno de los registros de Cloud NAT, registros de reglas de firewall o registros de flujo de VPC.

Registros que debes activar

En esta sección, se enumeran los registros de Cloud Logging y Google Workspace que puedes activar o configurar para aumentar la cantidad de amenazas que Event Threat Detection puede detectar.

Algunas amenazas, como las que representan la suplantación anómala o la delegación de una cuenta de servicio, se pueden encontrar en la mayoría de los registros de auditoría. Para estos tipos de amenazas, determinas qué registros necesitas activar según los productos y servicios que usas.

En la siguiente tabla, se muestran los registros específicos que debes activar para las amenazas que se pueden detectar solo en ciertos tipos de registros específicos.

Privilege Escalation: AlloyDB Over-Privileged Grant
Tipo de registro Amenazas detectadas Configuración obligatoria
Registro de Cloud DNS Log4j Malware: Bad Domain
Malware: bad domain
Malware: Cryptomining Bad Domain		 Activa el registro de Cloud DNS
Registro de Cloud NAT Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Activa el registro de Cloud NAT
Registro de reglas de firewall Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP		 Activa el Registro de reglas de firewall.
Registros de auditoría de acceso a los datos de Google Kubernetes Engine (GKE) Discovery: Can get sensitive Kubernetes object check
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials		 Activa los registros de auditoría de acceso a los datos de Logging para GKE
Registros de auditoría del administrador de Google Workspace Credential Access: Privileged Group Opened To Public
Impair Defenses: Strong Authentication Disabled
Impair Defenses: Two Step Verification Disabled
Persistence: SSO Enablement Toggle
Persistence: SSO Settings Changed		 Comparte registros de auditoría del administrador de Google Workspace con Cloud Logging

No se puede analizar este tipo de registro en activaciones a nivel de proyecto.

Registros de auditoría de acceso a Google Workspace Credential Access: External Member Added To Privileged Group
Impair Defenses: Two Step Verification Disabled
Initial Access: Account Disabled Hijacked
Initial Access: Disabled Password Leak
Initial Access: Government Based Attack
Initial Access: Suspicious Login Blocked		 Comparte registros de auditoría de acceso de Google Workspace con Cloud Logging

No se puede analizar este tipo de registro en activaciones a nivel de proyecto.

Registros del servicio de backend del balanceador de cargas de aplicaciones externo Initial Access: Log4j Compromise Attempt Activa el registro del balanceador de cargas de aplicaciones externo
Registros de auditoría de acceso a los datos de MySQL en Cloud SQL Exfiltration: Cloud SQL Data Exfiltration Activa los registros de auditoría de acceso a los datos de Logging para Cloud SQL para MySQL
Registros de auditoría de acceso a los datos de PostgreSQL en Cloud SQL Exfiltration: Cloud SQL Data Exfiltration
Exfiltration: Cloud SQL Over-Privileged Grant
Registros de auditoría de acceso a los datos de AlloyDB para PostgreSQL Privilege Escalation: AlloyDB Database Superuser Writes to User Tables
Registros de auditoría de acceso a los datos de IAM Discovery: Service Account Self-Investigation Activa los registros de auditoría de acceso a los datos de Logging para Resource Manager
Registros de auditoría de acceso a los datos de SQL Server Exfiltration: Cloud SQL Data Exfiltration Activa los registros de auditoría de acceso a los datos de Logging para Cloud SQL para SQL Server
Registros de auditoría de acceso a los datos genéricos Initial Access: Leaked Service Account Key Used
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
 Activa los registros de auditoría de acceso a los datos de Logging.
authlogs/authlog en máquinas virtuales Brute force SSH Instala el Agente de operaciones o el agente de Logging heredado en los hosts de tu VM
Registros de flujo de VPC Log4j Malware: Bad IP
Malware: bad IP
Malware: Cryptomining Bad IP
Outgoing DoS		 Activa los registros de flujo de VPC.
Registro de auditoría de DR y copia de seguridad Data destruction: Google Cloud Backup and DR expire all images
Inhibit system recovery: Google Cloud Backup and DR delete policy
Inhibit system recovery: Google Cloud Backup and DR delete template
Inhibit system recovery: Google Cloud Backup and DR delete profile
Inhibit system recovery: Google Cloud Backup and DR delete storage pool
Inhibit system recovery: deleted Google Cloud Backup and DR host
Data destruction: Google Cloud Backup and DR expire image
Data destruction: Google Cloud Backup and DR remove appliance
Inhibit system recovery: Google Cloud Backup and DR remove plan
Impact: Google Cloud Backup and DR reduce backup expiration
Impact: Google Cloud Backup and DR reduce backup frequency
 Habilitar el registro de auditoría de copia de seguridad y DR

Registros que siempre están activos

En la siguiente tabla, se enumeran los registros de Cloud Logging que no necesitas activar ni configurar. Estos registros siempre están activados y Event Threat Detection los analiza automáticamente.

Tipo de registro Amenazas detectadas Configuración obligatoria
Registros de acceso a los datos de BigQueryAuditMetadata Robo de datos: Robo de datos de BigQuery
Exfiltración: Extracción de datos de BigQuery
Exfiltración: datos de BigQuery a Google Drive		 Ninguna
Registros de auditoría de actividad del administrador de Google Kubernetes Engine (GKE) Escalación de privilegios: cambios en objetos sensibles de RBAC de Kubernetes
Escalación de privilegios: creación de vinculaciones sensibles de Kubernetes
Escalación de privilegios: Lanzamiento de un contenedor de Kubernetes con privilegios
Escalación de privilegios: Crea la CSR de Kubernetes para el certificado principal 		Ninguna
Registros de auditoría de actividad del administrador de IAM Acceso a credenciales: rol sensible otorgado al grupo híbrido
Escalación de privilegios: rol sensible otorgado a cuenta de servicio inactiva
Persistencia: rol de suplantación de identidad otorgado para una cuenta de servicio inactiva
Persistencia: Otorgamiento anómalo de IAM
Vista previaRol sensible otorgado por cuenta no administrada
 Ninguna
Registros de actividad del administrador de MySQL Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa Ninguna
Registros de actividad del administrador de PostgreSQL Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa Ninguna
Registros de actividad del administrador de SQL Server Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa Ninguna
Registros de auditoría de actividad del administrador genéricos Acceso inicial: Actividad de disco persistente de la cuenta de servicio inactiva












 Ninguna
Registros de auditoría de los Controles del servicio de VPC Evasión de defensa: modifica los Controles del servicio de VPC Vista previa Ninguna

¿Qué sigue?