¿Qué es Event Threat Detection?
Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa continuamente su organización o proyectos e identifica amenazas tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.
Cómo funciona Event Threat Detection
Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización o proyectos. Si activas En el nivel Premium de Security Command Center a nivel de la organización, Event Threat Detection consume registros para tus proyectos a medida que se crean y Event Threat Detection puede supervisar los registros de Google Workspace. Cloud Logging contiene entradas de registro de las llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace rastrean los accesos de los usuarios a tu dominio y proporcionan un registro de las acciones realizadas en la Consola del administrador de Google Workspace.
Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentada, incluida la coincidencia de indicador de tripwire, la generación de perfiles con ventanas, la generación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.
Cuando Event Threat Detection detecta una amenaza, escribe un hallazgo en Security Command Center. Si activas el nivel Premium de Security Command Center a nivel de la organización, Security Command Center puede escribir los resultados en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar los hallazgos a otros sistemas con Pub/Sub y procesarlos con funciones de Cloud Run.
Si activas el nivel Premium de Security Command Center a nivel de la organización, también puedes usar Google Security Operations para investigar algunos hallazgos. Google SecOps es Google Cloud servicio que te permite investigar amenazas y recurrir a entidades relacionadas en un cronograma unificado. Para obtener instrucciones sobre cómo enviar los resultados a Google SecOps, consulta Investiga los hallazgos en Google SecOps.
La capacidad para ver y editar hallazgos y registros se determina mediante las funciones de administración de identidades y accesos (IAM). Para obtener más información sobre los roles de IAM de Security Command Center, consulta Control de acceso.
Reglas de Event Threat Detection
Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos.
Event Threat Detection incluye las siguientes reglas predeterminadas:
Nombre visible | Nombre de la API | Tipos de fuente del archivo de registro | Descripción |
---|---|---|---|
Análisis activo: Log4j es vulnerable a RCE | No disponible | Registros de Cloud DNS | Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios sin ofuscar que iniciaron los analizadores de vulnerabilidades de Log4j admitidos. |
Inhibir la recuperación del sistema: Se borró la copia de seguridad y el host de DR de Google Cloud | BACKUP_HOSTS_DELETE_HOST |
Registros de auditoría de Cloud: Registros de acceso a los datos del servicio de Copia de seguridad y DR |
Se borró un host de la copia de seguridad y DR. Es posible que las aplicaciones asociadas con el host borrado no estén protegidas. |
Destrucción de datos: imagen de vencimiento de la copia de seguridad y DR de Google Cloud | BACKUP_EXPIRE_IMAGE |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Un usuario solicitó la eliminación de una imagen de copia de seguridad de Copia de seguridad y DR. La eliminación de una imagen de copia de seguridad no impide que se creen copias de seguridad en el futuro. |
Inhibición de la recuperación del sistema: plan de eliminación de copia de seguridad y DR de Google Cloud | BACKUP_REMOVE_PLAN |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se borró un plan de copia de seguridad con varias políticas para una aplicación de la copia de seguridad y DR. La eliminación de un plan de copia de seguridad puede impedir que se realicen copias de seguridad en el futuro. |
Destrucción de datos: la copia de seguridad y la DR de Google Cloud vencen todas las imágenes | BACKUP_EXPIRE_IMAGES_ALL |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Un usuario solicitó la eliminación de todas las imágenes de copia de seguridad para una aplicación protegida desde Copia de seguridad y DR. La eliminación de imágenes de copia de seguridad no impide copias de seguridad futuras. |
Inhibición de la recuperación del sistema: plantilla de eliminación de la copia de seguridad y DR de Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se borró una plantilla de copia de seguridad predefinida, que se usa para configurar copias de seguridad para varias aplicaciones. La capacidad de configurar copias de seguridad en el futuro podría verse afectada. |
Inhibir la recuperación del sistema: Política de eliminación de la copia de seguridad y DR de Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se borró una política de copia de seguridad y DR, que define cómo se realiza una copia de seguridad y dónde se almacena. Es posible que las copias de seguridad futuras que usen la política fallen. |
Inhibición de la recuperación del sistema: perfil de eliminación de la copia de seguridad y DR de Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se borró un perfil de copia de seguridad y DR, que define qué grupos de almacenamiento deben usarse para almacenar copias de seguridad. Las copias de seguridad futuras que usen el perfil podrían fallar. |
Destrucción de datos: Quitar dispositivo de copia de seguridad y DR de Google Cloud | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se borró un dispositivo de copia de seguridad de Copia de seguridad y DR. Es posible que las aplicaciones asociadas con el dispositivo de copia de seguridad borrado no estén protegidas. |
Inhibición de la recuperación del sistema: Borra el grupo de almacenamiento de la copia de seguridad y DR de Google Cloud | BACKUP_STORAGE_POOLS_DELETE |
Registros de auditoría de Cloud: Registros de acceso a los datos de copia de seguridad y DR |
Un grupo de almacenamiento, que asocia un bucket de Cloud Storage con la copia de seguridad y DR, se quitó de la copia de seguridad y DR. Fallarán las copias de seguridad futuras en este destino de almacenamiento. |
Impacto: Reducción del vencimiento de las copias de seguridad de copias de seguridad y DR de Google Cloud | BACKUP_REDUCE_BACKUP_EXPIRATION |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se redujo la fecha de vencimiento de una copia de seguridad protegida por copias de seguridad y DR. |
Impacto: Google Cloud Backup and DR reduce la frecuencia de las copias de seguridad | BACKUP_REDUCE_BACKUP_FREQUENCY |
Registros de auditoría de Cloud: Registros de acceso a los datos de copias de seguridad y DR |
Se modificó el programa de copias de seguridad de Copia de seguridad y DR para reducir la frecuencia de las copias de seguridad. |
Ataques de fuerza bruta a SSH | BRUTE_FORCE_SSH |
authlog | Detección de fuerza bruta SSH exitosa en un host |
IDS de Cloud: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Registros del IDS de Cloud | Los eventos de amenazas detectados por
IDS de Cloud.
IDS de Cloud detecta ataques de capa 7 a través del análisis de amenazas y, cuando se detecta un evento de amenaza, envía hallazgo a Security Command Center. Los nombres de las categorías de hallazgos comienzan con “IDS de Cloud” seguido del identificador de amenaza del IDS de Cloud. La integración de IDS de Cloud con Event Threat Detection no incluye las detecciones de vulnerabilidades de IDS de Cloud. Para obtener más información sobre las detecciones de IDS de Cloud, consulta Información de registro de IDS de Cloud. |
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios |
EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Detecta eventos en los que se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgaron roles o permisos sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios en Grupos de Google no seguros. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Acceso a las credenciales: Grupo privilegiado abierto al público |
PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Auditoría de administrador Permisos: DATA_READ
|
Detecta eventos donde un Grupo de Google con privilegios (un grupo al que roles o permisos) se cambien para que sean accesibles al público en general. Para obtener más información, consulta Cambios en Grupos de Google no seguros. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Acceso a las credenciales: Función sensible otorgada al grupo híbrido |
SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER
|
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta eventos en los que se otorgan roles sensibles a un Grupo de Google con acceso miembros. Para obtener más información, consulta Cambios en Grupos de Google no seguros. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Defense Evasion: Se creó la implementación de cargas de trabajo de emergenciaVista previa | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta la implementación de cargas de trabajo que se implementan a través de la marca de emergencia para anular los controles de Autorización Binaria. |
Defense Evasion: Se actualizó la implementación de cargas de trabajo de emergenciaVista previa | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta cuando las cargas de trabajo se actualizan con la marca de emergencia para anular los controles de Autorización Binaria. |
Defense Evasion: Modifica el Control de servicios de VPC | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Registros de auditoría de Cloud Controles del servicio de VPC registros de auditoría | Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registros de auditoría de Cloud: GKE Registros de acceso a los datos |
Una persona potencialmente maliciosa intentó determinar qué objetos sensibles en
GKE puede consultar mediante el comando
|
Descubrimiento: Autoinvestigación de cuentas de servicio | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Registros de auditoría de Cloud: Registros de auditoría de acceso a los datos de IAM Permisos: DATA_READ
|
La detección de una credencial de cuenta de servicio de IAM que se usa para investigar los roles y los permisos asociados con esa misma cuenta de servicio. Roles sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
Evasión: Acceso desde el proxy de anonimización | ANOMALOUS_ACCESS |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detección de modificaciones del servicio de Google Cloud que se originaron en direcciones IP de proxy anónimas, como direcciones IP de Tor |
Robo de datos: Robo de datos de BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta las siguientes situaciones:
|
Robo de datos: Extracción de datos de BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta las siguientes situaciones:
En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior. |
Robo de datos: datos de BigQuery en Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta lo siguiente:
|
Robo de datos: Robo de datos de Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS |
Registros de auditoría de Cloud:
Registros de acceso a los datos de MySQL Registros de acceso a datos de PostgreSQL Registros de acceso a los datos de SQL Server |
Detecta las siguientes situaciones:
Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo está disponible solo si el nivel Estándar está habilitado en el organización principal. |
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Registros de auditoría de Cloud:
Registros de actividad del administrador de MySQL Registros de actividad del administrador de PostgreSQL Registros de actividad del administrador de SQL Server |
Detecta eventos en los que la copia de seguridad de una instancia de Cloud SQL se restablece en un instancia externa de la organización. |
Robo de datos: otorgamiento con exceso de privilegios de Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoría de Cloud:
Registros de acceso a los datos de PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Detecta eventos en los que a un usuario o rol de Cloud SQL para PostgreSQL se le otorgaron todos los privilegios de una base de datos. a todas las tablas, procedimientos o funciones de un esquema. |
Acceso inicial: El superusuario de la base de datos escribe en las tablas de los usuarios | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoría de Cloud:
Registros de acceso a los datos de Cloud SQL para PostgreSQL Registros de acceso a los datos de Cloud SQL para MySQL Nota: Debes habilitar la extensión de pgAudit para PostgreSQL o auditoría de base de datos para que MySQL use esta regla. |
Detecta eventos en los que un superusuario de Cloud SQL ( |
Elevación de privilegios: Otorgamiento de privilegios excesivos | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoría de Cloud:
Registros de acceso a datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Detecta eventos en los que a un usuario o rol de AlloyDB para PostgreSQL se le otorgaron todos los privilegios de una base de datos. a todas las tablas, procedimientos o funciones de un esquema. |
Elevación de privilegios: El superusuario de la base de datos de AlloyDB escribe en las tablas de usuarios | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoría de Cloud:
Registros de acceso a datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Detecta eventos en los que un superusuario de AlloyDB para PostgreSQL ( |
Acceso inicial: Acción de cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta eventos donde un servicio inactivo administrado por el usuario cuenta activó una acción. En este contexto, a una cuenta de servicio se considera inactivo si ha estado inactivo por más de 180 días. |
Elevación de privilegios: cuenta de servicio inactiva otorgada como rol sensible | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta eventos donde un servicio inactivo administrado por el usuario de IAM se le otorgaron uno o más roles de IAM sensibles. En este contexto, a una cuenta de servicio se considera inactivo si ha estado inactivo por más de 180 días. Roles sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
Persistencia: Rol de suplantación de identidad otorgado para una cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta eventos en los que se otorga una principal para usar la identidad de una cuenta de servicio inactiva administrada por un usuario. En este contexto, a una cuenta de servicio se considera inactivo si ha estado inactivo por más de 180 días. |
Acceso inicial: Se creó la clave de cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta eventos en los que se crea una clave para una cuenta inactiva servicio administrado por el usuario cuenta de servicio. En este contexto, a una cuenta de servicio se considera inactivo si ha estado inactivo por más de 180 días. |
Acceso inicial: Se usó una clave de cuenta de servicio filtrada. | LEAKED_SA_KEY_USED |
Registros de auditoría de Cloud:
Registros de actividad del administrador Registros de acceso a los datos |
Detecta eventos en los que se usa una clave de cuenta de servicio filtrada para realizar la autenticación. la acción. En este contexto, una clave de cuenta de servicio filtrada es una que se publicó en la Internet pública. |
Acceso inicial: acciones denegadas de permisos excesivos | EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta eventos en los que una principal activa repetidamente permiso denegado. si intentan realizar cambios en varios métodos y servicios. |
Inhabilita las defensas: Autenticación segura inhabilitada |
ENFORCE_STRONG_AUTHENTICATION |
Google Workspace Auditoría del administrador |
Se inhabilitó la verificación en dos pasos para la organización. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Inhabilita las defensas: Verificación en dos pasos inhabilitada |
2SV_DISABLE |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Un usuario inhabilitó la verificación en 2 pasos. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Acceso inicial: Usurpación de cuenta inhabilitada |
ACCOUNT_DISABLED_HIJACKED |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se suspendió la cuenta de un usuario debido a una actividad sospechosa. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Acceso inicial: Filtrado de contraseña inhabilitada |
ACCOUNT_DISABLED_PASSWORD_LEAK |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas. Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Acceso inicial: Ataque basado en el Gobierno |
GOV_ATTACK_WARNING |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Los atacantes respaldados por el Gobierno podrían haber intentado vulnerar una cuenta de usuario o una computadora. Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Acceso inicial: Intento de compromiso de Log4j | No disponible | Registros de Cloud Load Balancing: Balanceador de cargas HTTP de Cloud Nota: Debes habilitar el registro del balanceador de cargas de aplicaciones externo para usar este . |
Detecta las búsquedas de asignación de nombres de Java y la interfaz de directorio (JNDI) dentro de encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell.
Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso. Esta regla siempre está activada. |
Acceso inicial: Acceso sospechoso bloqueado |
SUSPICIOUS_LOGIN |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Software malicioso de Log4j: Error de dominio | LOG4J_BAD_DOMAIN |
Registros de Cloud DNS | Detección del tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una consulta sobre este. |
Software malicioso de Log4j: IP incorrecta | LOG4J_BAD_IP |
Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT |
Detección de tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j. |
Software malicioso: dominio incorrecto | MALWARE_BAD_DOMAIN |
Registros de Cloud DNS | Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él |
Software malicioso: error de IP | MALWARE_BAD_IP |
Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT |
Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida |
Software malicioso: Error de criptominería en un dominio | CRYPTOMINING_POOL_DOMAIN |
Registros de Cloud DNS | Detección de criptominería basada en una conexión de, o una búsqueda de, un dominio de minería conocido |
Software malicioso: Criptominería de IP incorrecta | CRYPTOMINING_POOL_IP |
Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT |
Detección de criptominería basada en una conexión a una dirección IP de minería conocida |
DoS saliente | OUTGOING_DOS |
Registros de flujo de VPC | Detección del tráfico saliente de denegación del servicio |
Persistencia: Clave SSH agregada por el administrador de GCE | GCE_ADMIN_ADD_SSH_KEY |
Registros de auditoría de Cloud: Registros de auditoría de Compute Engine |
Detección de una modificación en el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (antes de 1 semana). |
Persistencia: Se agregó la secuencia de comandos de inicio del administrador de GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Registros de auditoría de Cloud: Registros de auditoría de Compute Engine |
Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana). |
Persistencia: Otorgamiento anómalo de IAM | IAM_ANOMALOUS_GRANT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Este hallazgo incluye subreglas que proporcionan más información específica sobre cada instancia de este hallazgo. En la siguiente lista, se muestran todas las subreglas posibles:
|
Vista previaPersistencia: Se otorgó un rol sensible a una cuenta no administrada |
UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
La detección de un rol sensible que se otorga a un cuenta no administrada. |
Persistencia: Nuevo método de la API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM |
Persistencia: Nueva geografía |
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Persistencia: Usuario-agente nuevo | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Persistencia: Activación o desactivación de SSO |
TOGGLE_SSO_ENABLED |
Google Workspace Auditoría del administrador |
Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Persistencia: Configuración de SSO cambiada |
CHANGE_SSO_SETTINGS |
Google Workspace Auditoría del administrador |
Se cambió la configuración de SSO para la cuenta de administrador. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Escalación de privilegios: Suplantación de identidad anómala de la cuenta de servicio en la actividad del administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta cuándo se utiliza una cuenta de servicio suplantada de identidad para una actividad administrativa. |
Derivación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta cuándo se encuentra una solicitud delegada anómala de varios pasos para una actividad administrativa. |
Elevación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para el acceso a los datos | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a los datos |
Detecta cuándo se encuentra una solicitud delegada anómala de varios pasos para una actividad de acceso a los datos. |
Elevación de privilegios: Suplantación de identidad de cuenta de servicio anómala para actividad de administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Detecta cuándo se utiliza un emisor o suplantador de identidad potencialmente anómalo en una cadena de delegación para una actividad administrativa. |
Elevación de privilegios: Suplantación de identidad de cuenta de servicio anómala para acceso a datos | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a los datos |
Detecta cuándo se utiliza un emisor o suplantador de identidad potencialmente anómalo en una cadena de delegación para una actividad de acceso a los datos. |
Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Para derivar privilegios, un agente potencialmente malicioso intentó modificar un objeto de
control de acceso basado en roles ClusterRole , RoleBinding o ClusterRoleBinding (RBAC)
del rol sensible cluster-admin
a través de una solicitud PUT o PATCH .
|
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Un actor potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le da acceso cluster-admin
. |
Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Para derivar el privilegio, una persona potencialmente maliciosa intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin .
|
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl , usando credenciales de arranque comprometidas. |
Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios. Un contenedor con privilegios tiene el campo |
Persistencia: Clave de cuenta de servicio creada | SERVICE_ACCOUNT_KEY_CREATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta la creación de una clave de cuenta de servicio. Las claves de cuentas de servicio son credenciales de larga duración que aumentan el riesgo de acceso no autorizado a los recursos de Google Cloud. |
Elevación de privilegios: Se agregó una secuencia de comandos de cierre global | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo se agrega una secuencia de comandos de apagado global a un proyecto. |
Persistencia: Se agregó una secuencia de comandos de inicio global | GLOBAL_STARTUP_SCRIPT_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo se agrega una secuencia de comandos de inicio global a un proyecto. |
Defense Evasion: Se agregó un rol de creador de tokens de cuentas de servicio a nivel de la organización | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuando se otorga el rol de IAM de creador de tokens de cuenta de servicio a nivel de la organización. |
Evasión de defensa: Se agregó un rol de creador de tokens de cuentas de servicio a nivel del proyecto | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo se otorga el rol de IAM de creador de tokens de cuentas de servicio a nivel de proyecto. |
Desplazamiento lateral: ejecución de parche de SO desde la cuenta de servicio | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo una cuenta de servicio usa la función de parche de Compute Engine para actualizar el sistema operativo de cualquier instancia de Compute Engine que se esté ejecutando. |
Desplazamiento lateral: disco de arranque modificado conectado a la instancia Vista previa | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Registros de auditoría de Cloud: Registros de auditoría de Compute Engine |
Detecta cuando un disco de arranque se desconecta de una instancia de Compute Engine y se conecta a otra, lo que podría indicar un intento malicioso de vulnerar el sistema con un disco de arranque modificado. |
Acceso a credenciales: Secrets a los que se accedió en el espacio de nombres de Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Detecta cuándo una cuenta de servicio accede a los secretos o a los tokens de la cuenta de servicio en el espacio de nombres actual de Kubernetes. |
Desarrollo de recursos: Actividad de distribución de seguridad ofensiva | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta manipulaciones exitosas de recursos de Google Cloud a partir de pruebas de penetración o distribuciones de seguridad ofensivas. |
Elevación de privilegios: La nueva cuenta de servicio es propietario o editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo se crea una cuenta de servicio nueva con los roles de Editor o Propietario para un proyecto. |
Descubrimiento: Herramienta de recopilación de información usada | INFORMATION_GATHERING_TOOL_USED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta el uso de ScoutSuite, una herramienta de auditoría de seguridad en la nube que se sabe que usan los agentes de amenazas. |
Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo se abusa del permiso iam.serviceAccounts.implicitDelegation para generar tokens de acceso desde una cuenta de servicio con más privilegios. |
Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuando una cuenta de servicio usa el método serviceAccounts.signJwt para generar un token de acceso para otra cuenta de servicio. |
Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta el uso entre proyectos del permiso de IAM iam.serviceAccounts.getOpenIdToken .
Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta el uso entre proyectos del permiso de IAM iam.serviceAccounts.getAccessToken .
Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Elevación de privilegios: Uso sospechoso de permisos entre proyectos | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta el uso entre proyectos del permiso de IAM datafusion.instances.create .
Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Comando y control: Tunelización de DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Registros de Cloud DNS | Detecta el protocolo de enlace de la herramienta de tunelización de DNS Iodine. |
Evasión de defensa: Intento de enmascaramiento de ruta de VPC | VPC_ROUTE_MASQUERADE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta la creación manual de rutas de VPC que se hacen pasar por rutas predeterminadas de Google Cloud, lo que permite el tráfico de salida a direcciones IP externas. |
Impacto: Facturación inhabilitada | BILLING_DISABLED_SINGLE_PROJECT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta si se inhabilitó la facturación de un proyecto. |
Impacto: Facturación inhabilitada | BILLING_DISABLED_MULTIPLE_PROJECTS |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuando se inhabilitó la facturación de varios proyectos de una organización en un período breve. |
Impacto: bloqueo de alta prioridad de firewall de VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuando se agrega una regla de firewall de VPC que bloquea todo el tráfico en la prioridad 0. |
Impacto: Eliminación de reglas masivas de firewall de VPCNo disponible temporalmente | VPC_FIREWALL_MASS_RULE_DELETION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta la eliminación masiva de reglas de firewall de VPC por parte de cuentas que no son de servicio.
Esta regla no está disponible temporalmente. Para supervisar las actualizaciones de las reglas de firewall, usa Registros de auditoría de Cloud. |
Impacto: API de servicio inhabilitada | SERVICE_API_DISABLED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo se inhabilita una API de servicio de Google Cloud en un entorno de producción. |
Impacto: Se estableció al máximo el ajuste de escala automático del grupo de instancias administrado | MIG_AUTOSCALING_SET_TO_MAX |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuándo un grupo de instancias administrado se configura para un ajuste de escala automático máximo. |
Descubrimiento: Llamada no autorizada a la API de la cuenta de servicio | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Detecta cuando una cuenta de servicio realiza una llamada no autorizada a la API entre proyectos. |
Evasión de defensa: sesiones anónimas con acceso de administrador de clústeres | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Detecta la creación de un objeto ClusterRoleBinding de control de acceso basado en roles (RBAC) agregando el comportamiento root-cluster-admin-binding a usuarios anónimos.
|
Acceso inicial: Recurso de GKE anónimo creado desde Internet Vista previa | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Detecta eventos de creación de recursos de usuarios de Internet que son eficazmente anónimos. |
Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet Vista previa | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Detecta eventos de manipulación de recursos de usuarios de Internet que son eficazmente anónimos. |
Elevación de privilegios: Usuarios realmente anónimos con acceso a clústeres de GKE Vista previa | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien creó una vinculación de RBAC que hace referencia a uno de los siguientes usuarios o grupos:
Estos usuarios y grupos son efectivamente anónimos y deben evitarse cuando se crean vinculaciones de roles o de clústeres para cualquier rol de RBAC. Revisa la vinculación para asegurarte de que sea necesaria. Si no es necesario, quítalo. |
Ejecución: Ejecución o conexión sospechosas a un Pod del sistema Versión preliminar | GKE_SUSPICIOUS_EXEC_ATTACH |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien usó los comandos exec o attach para obtener un shell o ejecutar un comando en un contenedor que se ejecuta en el espacio de nombres kube-system . Estos métodos a veces se usan con fines legítimos de depuración. Sin embargo, el espacio de nombres kube-system está destinado a los objetos del sistema que crea Kubernetes, y se debe revisar la ejecución inesperada de comandos o la creación de shell. |
Elevación de privilegios: Carga de trabajo creada con un activador de ruta de host sensible Vista previa | GKE_SENSITIVE_HOSTPATH |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien creó una carga de trabajo que contiene una activación de volumen hostPath en una ruta sensible del sistema de archivos del nodo host. El acceso a estas rutas en el sistema de archivos del host se puede usar para acceder a información sensible o privilegiada en el nodo y como escape de contenedores. Si es posible, no permitas ningún volumen de hostPath en tu clúster. |
Elevación de privilegios: Carga de trabajo con shareProcessNamespace habilitado Vista previa | GKE_SHAREPROCESSNAMESPACE_POD |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien implementó una carga de trabajo con la opción shareProcessNamespace configurada como true , lo que permite que todos los contenedores compartan el mismo espacio de nombres de procesos de Linux. Esto podría permitir que un contenedor no confiable o comprometido escale privilegios accediendo y controlando variables de entorno, memoria y otros datos sensibles desde procesos que se ejecutan en otros contenedores. |
Elevación de privilegios: ClusterRole con verbos con privilegios (vista previa) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien creó un ClusterRole de RBAC que contiene los verbos bind , escalate o impersonate . Un sujeto que está vinculado a un rol con estos verbos puede suplantar la identidad de otros usuarios con mayores privilegios, vincularse a Roles o ClusterRoles adicionales que contengan permisos adicionales o modificar sus propios permisos ClusterRole. Esto podría provocar que esos sujetos obtengan privilegios de administrador de clústeres. |
Elevación de privilegios: ClusterRoleBinding a rol con privilegios Vista previa | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien creó un ClusterRoleBinding de RBAC que hace referencia al system:controller:clusterrole-aggregation-controller ClusterRole predeterminado. Este ClusterRole predeterminado tiene el verbo escalate , que permite a los sujetos modificar los privilegios de sus propios roles, lo que permite la elevación de privilegios. |
Evasión de defensa: solicitud de firma de certificado (CSR) borrada de forma manual Vista previa | GKE_MANUALLY_DELETED_CSR |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien borró manualmente una solicitud de firma de certificado (CSR). Un controlador de recolección de elementos no utilizados elimina automáticamente a los CSR de forma automática, pero los perpetradores maliciosos pueden eliminarlos manualmente para evadir la detección. Si la CSR borrada era para un certificado aprobado y emitido, el agente potencialmente malicioso ahora tiene un método de autenticación adicional para acceder al clúster. Los permisos asociados con el certificado varían según el tema que incluyan, pero pueden tener muchos privilegios. Kubernetes no admite la revocación de certificados. |
Acceso a credenciales: Intento fallido de aprobar la solicitud de firma de certificado (CSR) de Kubernetes Versión preliminar | GKE_APPROVE_CSR_FORBIDDEN |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien intentó aprobar manualmente una solicitud de firma de certificado (CSR), pero la acción falló. Crear un certificado para la autenticación de un clúster es un método común que usan los atacantes para crear acceso persistente a un clúster comprometido. Los permisos asociados con el certificado varían según el tema que incluyan, pero pueden tener muchos privilegios. |
Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada manualmente Vista previa | GKE_CSR_APPROVED |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien aprobó manualmente una solicitud de firma de certificado (CSR). Crear un certificado para la autenticación de un clúster es un método común que usan los atacantes para crear acceso persistente a un clúster comprometido. Los permisos asociados con el certificado varían según el asunto que incluyan, pero pueden ser de alto privilegio. |
Ejecución: Pod de Kubernetes creado con posibles argumentos de shell inversa Vista previa | GKE_REVERSE_SHELL_POD |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien creó un Pod que contiene comandos o argumentos que comúnmente se asocian con un shell inversa. Los atacantes utilizan shells inversas para expandir o mantener su acceso inicial a un clúster y ejecutar comandos arbitrarios. |
Defense Evasion: Posible enmascaramiento de Pod de Kubernetes Versión preliminar | GKE_POD_MASQUERADING |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien implementó un Pod con una convención de nombres similar a las cargas de trabajo predeterminadas que GKE crea para el funcionamiento normal de un clúster. Esta técnica se denomina enmascaramiento. |
Elevación de privilegios: Nombres de contenedores de Kubernetes sospechosos: explotación y escape Versión preliminar | GKE_SUSPICIOUS_EXPLOIT_POD |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien implementó un Pod con una convención de nombres similar a las herramientas comunes que se usan para escapar los contenedores o ejecutar otros ataques en el clúster. |
Impacto: Nombres de contenedores sospechosos de Kubernetes - Minería de monedas Versión preliminar | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Registros de auditoría de Cloud: Registro de actividad del administrador de GKE |
Alguien implementó un Pod con una convención de nombres similar a la de los mineros de criptomonedas comunes. Es posible que un atacante que haya logrado acceso inicial al clúster intente usar sus recursos para la minería de criptomonedas. |
Módulos personalizados para Event Threat Detection
Además de las reglas de detección integradas, Event Threat Detection proporciona un módulo que puede usar para crear reglas de detección personalizadas. Para obtener más información, consulta Descripción general de los módulos personalizados de Event Threat Detection.
Para crear reglas de detección para las que no haya plantillas de módulos personalizadas disponibles, puedes exportar tus datos de registro BigQuery y, luego, ejecutar consultas consultas recurrentes en SQL para capturar tus modelos de amenazas.
Cambios no seguros en Grupos de Google
En esta sección, se explica cómo Event Threat Detection usa registros de Google Workspace, registros de auditoría de Cloud y políticas de IAM para detectar cambios no seguros de Grupos de Google. La detección de cambios en Grupos de Google solo es compatible cuando activas Security Command Center a nivel de la organización.
Los clientes de Google Cloud pueden usar Grupos de Google para administrar funciones y permisos de los miembros de sus organizaciones o aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a los Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todos los roles y los permisos de un grupo, lo que permite que los miembros accedan a recursos y servicios específicos.
Si bien los Grupos de Google son una forma conveniente de administrar el control de acceso a gran escala, pueden representar un riesgo si se agregan usuarios externos fuera de tu organización o dominio a grupos privilegiados. otorgaste funciones o permisos sensibles. los roles sensibles controlan el acceso a la configuración de seguridad y de red, los registros y la información de identificación personal (PII), y no se recomiendan para los miembros del grupo externo.
En organizaciones grandes, es posible que los administradores no estén al tanto cuando se agreguen miembros externos a grupos privilegiados. Los registros de auditoría de Cloud registran las asignaciones de funciones a los grupos, pero esos eventos no contienen información sobre los miembros del grupo, lo que puede ocultar el impacto potencial de algunos cambios en el grupo.
Si compartes tus registros de Google Workspace con Google Cloud, Event Threat Detection supervisa las transmisiones de registro de los miembros nuevos que se agregan a los Grupos de Google de tu organización. Debido a que los registros están a nivel de la organización, Event Threat Detection puede analizar los registros de Google Workspace solo cuando activas Security Command Center a nivel de la organización. Event Threat Detection no puede analizarlos cuando actives Security Command Center a nivel de proyecto.
Event Threat Detection identifica a los miembros externos del grupo y, mediante los registros de auditoría de Cloud, revisa los roles de IAM de cada grupo afectado para verificar si se les otorgaron funciones sensibles. Esa información se usa para detectar los siguientes cambios no seguros en Grupos de Google con privilegios:
- Miembros externos del grupo agregados a grupos con privilegios
- Funciones o permisos sensibles otorgados a grupos con miembros externos del grupo
- Grupos con privilegios que se cambian para permitir que se una a cualquier persona del público general
Event Threat Detection escribe los resultados en Security Command Center. Los resultados contienen las direcciones de correo electrónico de los miembros externos recién agregados, los miembros internos del grupo que inician eventos, los nombres de grupos y los roles sensibles asociadas con grupos. Puedes usar la información para quitar miembros externos de los grupos o revocar funciones sensibles otorgadas a los grupos.
Para obtener más información sobre los resultados de Event Threat Detection, consulta las reglas de Event Threat Detection.
Funciones y permisos confidenciales de IAM
En esta sección, se explica cómo Event Threat Detection define los roles sensibles de IAM. Las detecciones como el otorgamiento anómalo de IAM y los cambios del Grupo de Google no seguro generan los resultados solo si los cambios implican roles de alta o mediana sensibilidad. El la sensibilidad de los roles afecta la calificación de gravedad asignada a los hallazgos.
- Los roles de alta sensibilidad controlan los servicios críticos en las organizaciones, incluida la facturación, la configuración de firewall y el registro. Los resultados que coinciden con estas funciones se clasifican como gravedad Alta.
- Los roles de sensibilidad media tienen permisos de edición que permiten a las principales realizar cambios en los recursos de Google Cloud. Visualiza y ejecuta permisos en servicios de almacenamiento de datos que, a menudo, contienen datos sensibles. La gravedad asignada a los resultados depende del recurso:
- Si se otorgan funciones de sensibilidad media a nivel de la organización, los resultados se clasifican como de gravedad alta.
- Si se otorgan funciones de sensibilidad media a niveles inferiores en la jerarquía de recursos (carpetas, proyectos y buckets, entre otras), los resultados se clasifican como de gravedad media.
Otorgar estos roles sensibles se considera peligroso si el beneficiario un miembro externo o una identidad anormal, como un director que se inactivo durante mucho tiempo. Otorgar roles sensibles a miembros externos crea una amenaza potencial porque las cuentas podrían abusar de ellas para vulnerar las cuentas yrobo de datoss.
Entre las categorías de hallazgos que usan estos roles sensibles, se incluyen las siguientes:
- Persistencia: Otorgamiento anómalo de IAM
- Subregla:
external_service_account_added_to_policy
- Subregla:
external_member_added_to_policy
- Subregla:
- Acceso a las credenciales: Función sensible otorgada al grupo híbrido
- Elevación de privilegios: cuenta de servicio inactiva otorgada como rol sensible
Entre las categorías de búsqueda que usan un subconjunto de los roles sensibles, se incluyen las siguientes:
- Persistencia: Otorgamiento anómalo de IAM
- Subregla:
service_account_granted_sensitive_role_to_member
- Subregla:
La subregla service_account_granted_sensitive_role_to_member
se orienta a ambos
los miembros externos e internos en general y, por lo tanto, usa solo un subconjunto
roles sensibles, como se explica en las reglas de Event Threat Detection.
Categoría | Función | Descripción |
---|---|---|
Funciones básicas: Incluyen miles de permisos en todos los servicios de Google Cloud. | roles/owner |
Funciones básicas |
roles/editor |
||
Funciones de seguridad: Controla el acceso a la configuración de seguridad | roles/cloudkms.* |
Todos los roles de Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Todos los roles de Web Security Scanner | |
roles/dlp.* |
Todos los roles de Sensitive Data Protection | |
roles/iam.* |
Todos los roles de IAM | |
roles/secretmanager.* |
Todos los roles de Secret Manager | |
roles/securitycenter.* |
Todos los roles de Security Command Center | |
Funciones de Logging: Controlan el acceso a los registros de una organización | roles/errorreporting.* |
Todos los roles de Error Reporting |
roles/logging.* |
Todos los roles de Cloud Logging | |
roles/stackdriver.* |
Todos los roles de Cloud Monitoring | |
Funciones de información personal: Controlan el acceso a los recursos que contienen información de identificación personal, incluida la información bancaria y de contacto | roles/billing.* |
Todos los roles de la Facturación de Cloud |
roles/healthcare.* |
Todos los roles de la API de Cloud Healthcare | |
roles/essentialcontacts.* |
Todos los roles de contactos esenciales | |
Funciones de herramientas de redes: Controlan el acceso a la configuración de red de una organización | roles/dns.* |
Todos los roles de Cloud DNS |
roles/domains.* |
Todos los roles de Cloud Domains | |
roles/networkconnectivity.* |
Todos los roles de Network Connectivity Center | |
roles/networkmanagement.* |
Todos los roles de Network Connectivity Center | |
roles/privateca.* |
Todos los roles de Certificate Authority Service | |
Funciones de servicio: Controlan el acceso a los recursos de servicio en Google Cloud | roles/cloudasset.* |
Todos los roles de Cloud Asset Inventory |
roles/servicedirectory.* |
Todos los roles del Directorio de servicios | |
roles/servicemanagement.* |
Todos los roles de Service Management | |
roles/servicenetworking.* |
Todos los roles de Herramientas de redes de servicio | |
roles/serviceusage.* |
Todos los roles de Service Usage | |
Funciones de Compute Engine: Controlan el acceso a las máquinas virtuales de Compute Engine, que llevan trabajos de larga duración y se asocian con reglas de firewall |
|
Todos los roles de administrador y de editor de Compute Engine |
Categoría | Función | Descripción |
---|---|---|
Funciones de edición: funciones de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud |
Ejemplos:
|
Por lo general, los nombres de los roles terminan con títulos como Administrador, Propietario, Editor o Escritor.
Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media. |
Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos |
Ejemplos:
|
Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media. |
Todos los roles de sensibilidad media
Aprobación de acceso Access Context Manager
Acciones AI Platform API Gateway App Engine AutoML BigQuery Autorización binaria
Bigtable Cloud Build Cloud Deployment Manager Cloud Endpoints
Funciones de Cloud Run Cloud IoT Cloud Life Sciences Cloud Monitoring Cloud Run Cloud Scheduler Cloud Source Repositories
Spanner Cloud Storage Cloud SQL Cloud Tasks
Cloud TPU
Cloud Trace
Compute Engine
Análisis de artefactos
Data Catalog
Dataflow
Dataproc
Dataproc Metastore
Datastore
Eventarc
Filestore
Firebase
Game Servers
Google Cloud VMware Engine
Google Kubernetes Engine
Google Kubernetes Engine Hub
Google Workspace
Identity-Aware Proxy
Servicio administrado para Microsoft Active Directory
Memorystore for Redis
On-Demand Scanning API
Supervisión de configuración de operaciones
Servicio de políticas de la organización
Otras funciones
Proximity Beacon
Pub/Sub
Pub/Sub Lite
reCAPTCHA
Recomendaciones
Recomendador
Resource Manager
Configuración de recursos
Acceso a VPC sin servidores Administración de consumidores de servicios
Servicio de transferencia de almacenamiento
Vertex AI Notebooks administrados por el usuario de Vertex AI Workbench
Workflows |
Tipos de registros y requisitos de activación
En esta sección, se enumeran los registros que usa Event Threat Detection, junto con las amenazas que busca en cada registro y lo que debes hacer para activar cada registro.
Debes activar un registro para Event Threat Detection solo si se cumplen las siguientes condiciones:
- Usas el producto o servicio que escribe en el registro.
- Debes proteger el producto o servicio contra las amenazas que la Detección de amenazas de eventos detecta en el registro.
- El registro es un registro de auditoría de acceso a los datos o algún otro registro que está desactivado de forma predeterminada.
Algunas amenazas se pueden detectar en varios registros. Si Event Threat Detection puede detectar una amenaza en un registro que ya está activado, no es necesario que actives otro registro para detectar esa misma amenaza.
Si un registro no aparece en esta sección, Event Threat Detection no escanearlo, incluso si está encendido. Para obtener más información, consulta Análisis de registros potencialmente redundantes.
Como se describe en la siguiente tabla, algunos tipos de registros solo están disponibles a nivel de la organización. Si activas Security Command Center a nivel de proyecto, Event Threat Detection no analiza estos registros y no genera ningún resultado.
Análisis de registros potencialmente redundantes
Event Threat Detection puede proporcionar detección de software malicioso en la red mediante el análisis de cualquiera de los siguientes registros:
- Registro de Cloud DNS
- Registro de Cloud NAT
- Registro de reglas de firewall
- Registros de flujo de VPC
Si ya usas el registro de Cloud DNS, Event Threat Detection puede detectar software malicioso mediante la resolución de dominios. Para la mayoría de los usuarios, los registros de Cloud DNS son suficientes para la red la detección de software malicioso.
Si necesitas otro nivel de visibilidad más allá de la resolución del dominio, puedes activar registros de flujo de VPC, pero los registros de flujo de VPC pueden generar costos. Para administrar estos costos, recomendamos aumentar el intervalo de agregación a 15 minutos y reducir la tasa de muestreo a entre 5% y 10%, pero existe un equilibrio entre la recuperación (muestra más alta) y la administración de costos (tasa de muestreo más baja).
Si ya usas el registro de reglas de firewall o el registro de Cloud NAT, estos registros son útiles en lugar de los registros de flujo de VPC.
No necesitas habilitar más de un registro de Cloud NAT, registros de reglas de firewall o registros de flujo de VPC.
Registros que debes activar
En esta sección, se enumeran Cloud Logging y Google Workspace registros que puedes activar o configurar para aumentar de amenazas que Event Threat Detection puede detectar.
Algunas amenazas, como las que representan la suplantación de identidad o la delegación anómala de una cuenta de servicio, se pueden encontrar en la mayoría de los registros de auditoría. Para este tipo de amenazas, determinas qué registros necesitas activar en función de los productos y servicios que uses.
En la siguiente tabla, se muestran los registros específicos que debes activar para las amenazas que se pueden detectar solo en ciertos tipos de registros específicos.
Tipo de registro | Se detectaron amenazas | Configuración obligatoria |
---|---|---|
Registro de Cloud DNS |
Log4j Malware: Bad Domain Malware: bad domain Malware: Cryptomining Bad Domain |
Activa el registro de Cloud DNS |
Registros de Cloud NAT |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Activa Cloud NAT registro |
Registro de reglas de firewall |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP |
Activar Registro de reglas de firewall. |
Registros de auditoría de acceso a los datos de Google Kubernetes Engine (GKE) |
Discovery: Can get sensitive Kubernetes object check Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials |
Activa los registros de auditoría de acceso a los datos de Logging para GKE |
Registros de auditoría del administrador de Google Workspace |
Credential Access: Privileged Group Opened To Public Impair Defenses: Strong Authentication Disabled Impair Defenses: Two Step Verification Disabled Persistence: SSO Enablement Toggle Persistence: SSO Settings Changed |
Compartir de Google Workspace con Cloud Logging No se puede analizar este tipo de registro en las activaciones a nivel de proyecto. |
Registros de auditoría de acceso a Google Workspace |
Credential Access: External Member Added To Privileged Group Impair Defenses: Two Step Verification Disabled Initial Access: Account Disabled Hijacked Initial Access: Disabled Password Leak Initial Access: Government Based Attack Initial Access: Suspicious Login Blocked |
Compartir Registros de auditoría de acceso a Google Workspace con Cloud Logging Este tipo de registro no se puede analizar en las activaciones a nivel del proyecto. |
Registros del servicio de backend del balanceador de cargas de aplicaciones externo |
Initial Access: Log4j Compromise Attempt |
Activar registro del balanceador de cargas de aplicaciones externo |
Registros de auditoría de acceso a los datos de MySQL en Cloud SQL | Exfiltration: Cloud SQL Data Exfiltration |
Activa los registros de auditoría de acceso a los datos de Cloud Logging para Cloud SQL para MySQL |
Registros de auditoría de acceso a los datos de PostgreSQL en Cloud SQL |
Exfiltration: Cloud SQL Data Exfiltration Exfiltration: Cloud SQL Over-Privileged Grant |
|
Registros de auditoría de acceso a los datos de AlloyDB para PostgreSQL |
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables Privilege Escalation: AlloyDB Over-Privileged Grant |
|
Registros de auditoría de acceso a los datos de IAM |
Discovery: Service Account Self-Investigation |
Activar Registros de auditoría de acceso a los datos de Logging para Resource Manager |
Acceso a los datos de SQL Server registros de auditoría | Exfiltration: Cloud SQL Data Exfiltration |
Activar Registros de auditoría de acceso a los datos de Cloud SQL para SQL Server |
Registros de auditoría de acceso a los datos genéricos |
Initial Access: Leaked Service Account Key Used Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Privilege Escalation: Anomalous Service Account Impersonator for Data Access |
Activa la función de registro de auditoría de acceso a los datos. |
authlogs/authlog en máquinas virtuales | Brute force SSH |
Instala el agente de operaciones o el agente de registro heredado en los hosts de VM. |
Registros de flujo de VPC |
Log4j Malware: Bad IP Malware: bad IP Malware: Cryptomining Bad IP Outgoing DoS |
Activa los registros de flujo de VPC. |
Registros de auditoría para copias de seguridad y DR |
Data destruction: Google Cloud Backup and DR expire all images Inhibit system recovery: Google Cloud Backup and DR delete policy Inhibit system recovery: Google Cloud Backup and DR delete template Inhibit system recovery: Google Cloud Backup and DR delete profile Inhibit system recovery: Google Cloud Backup and DR delete storage pool Inhibit system recovery: deleted Google Cloud Backup and DR host Data destruction: Google Cloud Backup and DR expire image Data destruction: Google Cloud Backup and DR remove appliance Inhibit system recovery: Google Cloud Backup and DR remove plan Impact: Google Cloud Backup and DR reduce backup expiration Impact: Google Cloud Backup and DR reduce backup frequency |
Habilita el registro de auditoría de Backup and DR |
Registros que están siempre activos
En la siguiente tabla, se enumeran los registros de Cloud Logging que no necesitas activar ni configurar. Estos registros están siempre activados, y Event Threat Detection de forma automática.
Tipo de registro | Se detectaron amenazas | Configuración obligatoria |
---|---|---|
Registros de acceso a los datos de BigQueryAuditMetadata |
Robo: Robo de datos de BigQuery Exfiltración: extracción de datos de BigQuery Exfiltración: datos de BigQuery a Google Drive |
Ninguno |
Registros de auditoría de actividad del administrador de Google Kubernetes Engine (GKE) |
Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles Elevación de privilegios: Lanzamiento del contenedor de Kubernetes con privilegios Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal Evasión de defensa: sesiones anónimas con acceso de administrador al clúster Acceso inicial: Recurso de GKE anónimo creado desde Internet Vista previa Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet Versión preliminar Elevación de privilegios: Usuarios realmente anónimos con acceso a clústeres de GKE Vista previa Ejecución: Ejecutivo sospechoso o Adjuntar a un Pod del sistema Vista previa Elevación de privilegios: La carga de trabajo se creó con un activador de ruta de host sensible Vista previa Elevación de privilegios: Carga de trabajo con shareProcessNamespace habilitado Vista previa Elevación de privilegios: ClusterRole con verbos con privilegios Versión preliminar Elevación de privilegios: ClusterRoleBinding a rol con privilegios Vista previa Evasión de defensa: Solicitud de firma de certificado (CSR) borrada de forma manual Vista previa Acceso a credenciales: No se pudo aprobar la solicitud de firma de certificado (CSR) de Kubernetes Vista previa Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada manualmente Vista previa Ejecución: Pod de Kubernetes creado con posibles argumentos de shell inversa Vista previa Evasión de defensa: Posible enmascaramiento de Pods de Kubernetes Versión preliminar Elevación de privilegios: Nombres de contenedores de Kubernetes sospechosos - Explotación y escape Vista previa Impacto: Nombres de contenedores sospechosos de Kubernetes - Minería de monedas Versión preliminar |
Ninguno |
Registros de auditoría de actividad del administrador de IAM |
Acceso a credenciales: Rol sensible otorgado al grupo híbrido Elevación de privilegios: Cuenta de servicio inactiva otorgada como rol sensible Persistencia: Rol de suplantación de identidad otorgado para una cuenta de servicio inactiva Persistencia: Otorgamiento anómalo de IAM Vista previaPersistencia: Se otorgó un rol sensible a una cuenta no administrada |
Ninguno |
Registros de actividad del administrador de MySQL | Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Ninguno |
Registros de actividad del administrador de PostgreSQL | Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Ninguno |
Registros de actividad del administrador de SQL Server | Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Ninguno |
Registros de auditoría genéricos de actividad del administrador |
Acceso inicial: Acción de cuenta de servicio inactiva> Acceso inicial: Se creó una clave de cuenta de servicio inactiva Acceso inicial: Acciones de denegación de permisos excesivos Acceso inicial: Se usó una clave de cuenta de servicio filtrada Persistencia: El administrador de Compute Engine agregó una clave de SSH Persistencia: El administrador de Compute Engine agregó una secuencia de comandos de inicio Persistencia: Nuevo método de API Persistencia: Nueva geografía Persistencia: Nuevo usuario-agente Escalación de privilegios: Robo de identidad anómalo de una cuenta de servicio para la actividad de administrador Escalación de privilegios: Delegación anómala de una cuenta de servicio de varios pasos para la actividad de administrador Escalación de privilegios: Robo de identidad anómalo de una cuenta de servicio para la actividad de administrador Movimiento lateral: Disco de inicio modificado conectado a la instancia Versión preliminar |
Ninguno |
Registros de auditoría de los Controles del servicio de VPC | Evasión de defensa: Modifica los Controles del servicio de VPC (vista previa) | Ninguno |
¿Qué sigue?
Obtén más información para usar Event Threat Detection.
Aprende a hacer lo siguiente: investigar y desarrollar planes de respuesta para detectar amenazas.