Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Event Threat Detection

¿Qué es Event Threat Detection?

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa de forma continua tu organización o tus proyectos, y que identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.

Cómo funciona Event Threat Detection

Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización o tus proyectos. Si activas el nivel Premium de Security Command Center a nivel de la organización, Event Threat Detection consumirá los registros de tus proyectos a medida que se creen y podrá supervisar los registros de Google Workspace. Cloud Logging contiene entradas de registro de las llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace rastrean los accesos de los usuarios a tu dominio y proporcionan un registro de las acciones realizadas en la Consola del administrador de Google Workspace.

Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentada, incluida la coincidencia de indicador de tripwire, la generación de perfiles con ventanas, la generación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.

Cuando Event Threat Detection detecta una amenaza, escribe un resultado en Security Command Center. Si activas el nivel Premium de Security Command Center a nivel de la organización, Security Command Center puede escribir resultados en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar los hallazgos a otros sistemas con Pub/Sub y procesarlos con funciones de Cloud Run.

Si activas el nivel Premium de Security Command Center a nivel de la organización, también puedes usar Google Security Operations para investigar algunos resultados. Google SecOps es un servicio de Google Cloud que te permite investigar amenazas y alternar por entidades relacionadas en un cronograma unificado. Para obtener instrucciones sobre cómo enviar los resultados a Google SecOps, consulta Investiga los resultados en Google SecOps.

La capacidad para ver y editar hallazgos y registros se determina mediante las funciones de administración de identidades y accesos (IAM). Para obtener más información sobre los roles de IAM de Security Command Center, consulta Control de acceso.

Reglas de Event Threat Detection

Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos.

Event Threat Detection incluye las siguientes reglas predeterminadas:

Nombre visible	Nombre de la API	Tipos de fuente del archivo de registro	Descripción
Análisis activo: Log4j es vulnerable a RCE	No disponible	Registros de Cloud DNS	Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios sin ofuscar que iniciaron los analizadores de vulnerabilidades de Log4j admitidos.
Inhibir la recuperación del sistema: Se eliminó el host de la copia de seguridad y DR de Google Cloud	`BACKUP_HOSTS_DELETE_HOST`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador del servicio de copia de seguridad y DR	Se borró un host de la copia de seguridad y la DR. Es posible que las aplicaciones asociadas con el host borrado no estén protegidas.
Destrucción de datos: Imagen de vencimiento de la DR y la copia de seguridad de Google Cloud	`BACKUP_EXPIRE_IMAGE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Un usuario solicitó la eliminación de una imagen de copia de seguridad de las copias de seguridad y DR. La eliminación de una imagen de copia de seguridad no impide que se realicen copias de seguridad en el futuro.
Inhibir la recuperación del sistema: Quitar el plan de DR y copia de seguridad de Google Cloud	`BACKUP_REMOVE_PLAN`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se borró un plan de copia de seguridad con varias políticas para una aplicación de Backup and DR. La eliminación de un plan de copia de seguridad puede impedir que se realicen copias de seguridad en el futuro.
Destrucción de datos: La copia de seguridad y DR de Google Cloud vencen todas las imágenes	`BACKUP_EXPIRE_IMAGES_ALL`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Un usuario solicitó la eliminación de todas las imágenes de copia de seguridad de una aplicación protegida desde Backup and DR. La eliminación de las imágenes de copia de seguridad no impide que se realicen copias de seguridad en el futuro.
Inhibir la recuperación del sistema: Plantilla de eliminación de la copia de seguridad y DR de Google Cloud	`BACKUP_TEMPLATES_DELETE_TEMPLATE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se borró una plantilla de copia de seguridad predefinida, que se usa para configurar copias de seguridad para varias aplicaciones. Es posible que se vea afectada la capacidad de configurar copias de seguridad en el futuro.
Inhibir la recuperación del sistema: Política de eliminación de la copia de seguridad y DR de Google Cloud	`BACKUP_TEMPLATES_DELETE_POLICY`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se borró una política de copia de seguridad y DR, que define cómo se crea una copia de seguridad y dónde se almacena. Es posible que las copias de seguridad futuras que usen la política fallen.
Inhibir la recuperación del sistema: Perfil de eliminación de la DR de la copia de seguridad de Google Cloud	`BACKUP_PROFILES_DELETE_PROFILE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se borró un perfil de copia de seguridad y DR, que define qué grupos de almacenamiento se deben usar para almacenar las copias de seguridad. Es posible que las copias de seguridad futuras que usen el perfil fallen.
Destrucción de datos: Quitar el dispositivo de la DR de la copia de seguridad de Google Cloud	`BACKUP_APPLIANCES_REMOVE_APPLIANCE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se borró un dispositivo de copia de seguridad de Backup and DR. Es posible que las aplicaciones asociadas con el dispositivo de copia de seguridad borrado no estén protegidas.
Inhibir la recuperación del sistema: La copia de seguridad y DR de Google Cloud borran el grupo de almacenamiento	`BACKUP_STORAGE_POOLS_DELETE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se quitó de Backup y DR un grupo de almacenamiento, que asocia un bucket de Cloud Storage con Backup y DR. Las copias de seguridad futuras de este destino de almacenamiento fallarán.
Impacto: Se redujo el vencimiento de las copias de seguridad de la copia de seguridad y DR de Google Cloud	`BACKUP_REDUCE_BACKUP_EXPIRATION`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se redujo la fecha de vencimiento de una copia de seguridad protegida por las copias de seguridad y DR.
Impacto: Se redujo la frecuencia de las copias de seguridad de Backup and DR de Google Cloud	`BACKUP_REDUCE_BACKUP_FREQUENCY`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de copia de seguridad y DR	Se modificó el programa de copias de seguridad de Backup y DR para reducir la frecuencia de las copias de seguridad.
Ataques de fuerza bruta a SSH	`BRUTE_FORCE_SSH`	authlog	Detección de fuerza bruta SSH exitosa en un host
IDS de Cloud: `THREAT_IDENTIFIER`	`CLOUD_IDS_THREAT_ACTIVITY`	Registros de IDS de Cloud	Eventos de amenazas que detecta Cloud IDS. El IDS de Cloud detecta ataques de la capa 7 a través del análisis de paquetes reflejados y, cuando se detecta un evento de amenaza, envía un hallazgo de clase de amenaza a Security Command Center. Encontrar nombres de categorías que comienzan con "IDS de Cloud", seguidos del identificador de amenazas de IDS de Cloud La integración de IDS de Cloud con Event Threat Detection no incluye detecciones de vulnerabilidades de IDS de Cloud. Para obtener más información sobre las detecciones de IDS de Cloud, consulta Información de registro de IDS de Cloud.
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Registros de Google Workspace: Auditoría de acceso Permisos: `DATA_READ`	Detecta eventos en los que se agrega un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios no seguros en Grupos de Google. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Acceso a las credenciales: Grupo privilegiado abierto al público	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: Auditoría del administrador Permisos: `DATA_READ`	Detecta eventos en los que se cambia un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles) para que sea accesible al público en general. Para obtener más información, consulta Cambios no seguros en Grupos de Google. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Acceso a las credenciales: Función sensible otorgada al grupo híbrido	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta eventos en los que se otorgan roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en Grupos de Google. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Defense Evasion: Se creó la implementación de la carga de trabajo de anulación de emergencia (versión preliminar)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta la implementación de cargas de trabajo que se implementan a través de la marca de emergencia para anular los controles de Autorización Binaria.
Defense Evasion: Se actualizó la implementación de cargas de trabajo de emergencia (versión preliminar)	`BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta cuando las cargas de trabajo se actualizan con la marca de emergencia para anular los controles de Autorización Binaria.
Defense Evasion: Modifica el Control de servicios de VPC	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Registros de auditoría de Cloud Registros de auditoría de los Controles del servicio de VPC	Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Registros de auditoría de Cloud: Registros de acceso a los datos de GKE	Una persona potencialmente maliciosa intentó determinar qué objetos sensibles en GKE puede consultar mediante el comando `kubectl auth can-i get`. Específicamente, la regla detecta si el actor verificó el acceso a la API en los siguientes objetos: `*` (todo) `cluster-admin` `ClusterRole` `Secret`
Descubrimiento: Autoinvestigación de cuentas de servicio	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Registros de auditoría de Cloud: Registros de auditoría de acceso a los datos de IAM Permisos: `DATA_READ`	La detección de una credencial de cuenta de servicio de IAM que se usa para investigar los roles y los permisos asociados con esa misma cuenta de servicio. Funciones sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgados. Para obtener más información, consulta Funciones y permisos sensibles de IAM.
Evasión: Acceso desde un proxy de anonimización	`ANOMALOUS_ACCESS`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detección de modificaciones del servicio de Google Cloud que se originaron en direcciones IP de proxy anónimas, como direcciones IP de Tor
Robo de datos: Robo de datos de BigQuery	`DATA_EXFILTRATION_BIG_QUERY`	Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: `DATA_READ`	Detecta las siguientes situaciones: Recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia. Esta situación se indica con una subregla de `exfil_to_external_table` y una gravedad de `HIGH`. Intentos de acceder a recursos de BigQuery que los Controles del servicio de VPC protegen. Esta situación se indica con una subregla de `vpc_perimeter_violation` y una gravedad de `LOW`.
Robo de datos: Extracción de datos de BigQuery	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: `DATA_READ`	Detecta las siguientes situaciones: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización. Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización. En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.
Robo de datos: datos de BigQuery en Google Drive	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: `DATA_READ`	Detecta lo siguiente: Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.
Robo de datos: Migración a un recurso público de BigQuery	`DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE`	Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos: `DATA_READ`	Detecta lo siguiente: Un recurso de BigQuery se guarda en un recurso público que pertenece a tu organización.
Robo de datos: Robo de datos de Cloud SQL	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Registros de auditoría de Cloud: Registros de acceso a los datos de MySQL Registros de acceso a datos de PostgreSQL Registros de acceso a los datos de SQL Server	Detecta las siguientes situaciones: Los datos de la instancia publicada se exportan a un bucket de Cloud Storage fuera de la organización. Datos de instancia en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y que es de acceso público. En el caso de las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización superior.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Registros de auditoría de Cloud: Registros de actividad del administrador de MySQL Registros de actividad del administrador de PostgreSQL Registros de actividad del administrador de SQL Server	Detecta eventos en los que la copia de seguridad de una instancia de Cloud SQL se restablece a una instancia fuera de la organización.
Robo de datos: otorgamiento con exceso de privilegios de Cloud SQL	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Registros de auditoría de Cloud: Registros de acceso a los datos de PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla.	Detecta eventos en los que un usuario o rol de Cloud SQL para PostgreSQL tiene todos los privilegios en una base de datos o todas las tablas, los procedimientos o las funciones de un esquema.
Acceso inicial: El superusuario de la base de datos escribe en tablas de usuarios	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Registros de auditoría de Cloud: Registros de acceso a los datos de Cloud SQL para PostgreSQL Registros de acceso a los datos de Cloud SQL para MySQL Nota: Debes habilitar la extensión pgAudit para PostgreSQL o la auditoría de bases de datos para MySQL para usar esta regla.	Detecta eventos en los que un superusuario de Cloud SQL (`postgres` para servidores de PostgreSQL o `root` para usuarios de MySQL) escribe en tablas que no son del sistema.
Elevación de privilegios: Otorgamiento de privilegios excesivos de AlloyDB	`ALLOYDB_USER_GRANTED_ALL_PERMISSIONS`	Registros de auditoría de Cloud: Registros de acceso a los datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla.	Detecta eventos en los que se le otorgaron todos los privilegios a un usuario o rol de AlloyDB para PostgreSQL en una base de datos, o a todas las tablas, los procedimientos o las funciones de un esquema.
Elevación de privilegios: El superusuario de la base de datos de AlloyDB escribe en tablas de usuarios	`ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES`	Registros de auditoría de Cloud: Registros de acceso a los datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla.	Detecta eventos en los que un superusuario de AlloyDB para PostgreSQL (`postgres`) escribe en tablas que no son del sistema.
Acceso inicial: Acción de cuenta de servicio inactiva	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta eventos en los que una cuenta de servicio administrada por el usuario inactiva activó una acción. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días.
Derivación de privilegios: Se otorgó un rol sensible a la cuenta de servicio inactiva	`DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta eventos en los que se le otorgó uno o más roles de IAM sensibles a una cuenta de servicio administrada por el usuario inactiva. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días. Funciones sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgados. Para obtener más información, consulta Funciones y permisos sensibles de IAM.
Persistencia: Se otorgó el rol de suplantación de identidad a la cuenta de servicio inactiva	`DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta eventos en los que se le otorgan a un principal permisos para suplantar la identidad de una cuenta de servicio administrada por el usuario inactiva. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días.
Acceso inicial: Se creó la clave de cuenta de servicio inactiva	`DORMANT_SERVICE_ACCOUNT_KEY_CREATED`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta eventos en los que se crea una clave para una cuenta de servicio administrada por el usuario inactiva. En este contexto, una cuenta de servicio se considera inactiva si estuvo inactiva durante más de 180 días.
Acceso inicial: Se usó una clave de cuenta de servicio filtrada	`LEAKED_SA_KEY_USED`	Registros de auditoría de Cloud: Registros de actividad del administrador Registros de acceso a los datos	Detecta eventos en los que se usa una clave de cuenta de servicio filtrada para autenticar la acción. En este contexto, una clave de cuenta de servicio filtrada es una que se publicó en Internet público.
Acceso inicial: Acciones denegadas de permisos excesivos	`EXCESSIVE_FAILED_ATTEMPT`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta eventos en los que un principal activa repetidamente errores de permiso denegado cuando intenta realizar cambios en varios métodos y servicios.
Inhabilita las defensas: Autenticación segura inhabilitada	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: Auditoría del administrador	Se inhabilitó la verificación en dos pasos para la organización. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Inhabilita las defensas: Verificación en dos pasos inhabilitada	`2SV_DISABLE`	Registros de Google Workspace: Auditoría de acceso Permisos: `DATA_READ`	Un usuario inhabilitó la verificación en 2 pasos. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Acceso inicial: Usurpación de cuenta inhabilitada	`ACCOUNT_DISABLED_HIJACKED`	Registros de Google Workspace: Auditoría de acceso Permisos: `DATA_READ`	Se suspendió la cuenta de un usuario debido a una actividad sospechosa. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Acceso inicial: Filtrado de contraseña inhabilitada	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Registros de Google Workspace: Auditoría de acceso Permisos: `DATA_READ`	Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Acceso inicial: Ataque basado en el Gobierno	`GOV_ATTACK_WARNING`	Registros de Google Workspace: Auditoría de acceso Permisos: `DATA_READ`	Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de usuario o una computadora. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Acceso inicial: Intento de compromiso de Log4j	No disponible	Registros de Cloud Load Balancing: Balanceador de cargas HTTP de Cloud Nota: Debes habilitar el registro externo del balanceador de cargas de aplicaciones para usar esta regla.	Detecta las búsquedas de asignación de nombres de Java y la interfaz de directorio (JNDI) dentro de encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso. Esta regla siempre está activada.
Acceso inicial: Acceso sospechoso bloqueado	`SUSPICIOUS_LOGIN`	Registros de Google Workspace: Auditoría de acceso Permisos: `DATA_READ`	Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Software malicioso de Log4j: Error de dominio	`LOG4J_BAD_DOMAIN`	Registros de Cloud DNS	Detección de tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una búsqueda sobre este.
Software malicioso de Log4j: IP incorrecta	`LOG4J_BAD_IP`	Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT	Detección de tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j.
Software malicioso: dominio incorrecto	`MALWARE_BAD_DOMAIN`	Registros de Cloud DNS	Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP	`MALWARE_BAD_IP`	Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT	Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Software malicioso: Error de criptominería en un dominio	`CRYPTOMINING_POOL_DOMAIN`	Registros de Cloud DNS	Detección de criptominería basada en una conexión a un dominio de minería conocido o una búsqueda de este
Software malicioso: Criptominería de IP incorrecta	`CRYPTOMINING_POOL_IP`	Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT	Detección de criptominería basada en una conexión a una dirección IP de minería conocida
DoS saliente^Apagar	`OUTGOING_DOS`	Registros de flujo de VPC	Detección del tráfico saliente de denegación del servicio
Persistencia: El administrador de GCE agregó la clave SSH	`GCE_ADMIN_ADD_SSH_KEY`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Compute Engine	Detección de una modificación en el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana).
Persistencia: El administrador de GCE agregó una secuencia de comandos de inicio	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Compute Engine	Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM	`IAM_ANOMALOUS_GRANT`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Este hallazgo incluye subreglas que proporcionan información más específica sobre cada instancia de este hallazgo. En la siguiente lista, se muestran todas las subreglas posibles: `external_service_account_added_to_policy`, `external_member_added_to_policy`: Detección de privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de tu organización o, si Security Command Center se activa solo a nivel del proyecto, tu proyecto. Nota: Si Security Command Center se activa a nivel de la organización en cualquier nivel, este detector usa las políticas de IAM existentes de una organización como contexto. Si la activación de Security Command Center solo se realiza a nivel del proyecto, el detector solo usa las políticas de IAM del proyecto como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado. Funciones sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgados. Para obtener más información, consulta Funciones y permisos sensibles de IAM. `external_member_invited_to_policy`: Detecta cuando se invita a un miembro externo como propietario del proyecto a través de la API de `InsertProjectOwnershipInvite`. `custom_role_given_sensitive_permissions`: Detecta cuando se agrega el permiso `setIAMPolicy` a un rol personalizado. `service_account_granted_sensitive_role_to_member`: Detecta cuando se otorgan roles con privilegios a los miembros a través de una cuenta de servicio. Esta subregla se activa con un subconjunto de roles sensibles que solo incluyen roles básicos de IAM y ciertos roles de almacenamiento de datos. Para obtener más información, consulta Funciones y permisos sensibles de IAM. `policy_modified_by_default_compute_service_account`: Detecta cuando se usa una cuenta de servicio predeterminada de Compute Engine para modificar la configuración de IAM del proyecto.
Persistencia: Se otorgó un rol sensible a una cuenta no administrada (versión preliminar)	`UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detección de un rol sensible que se otorga a una cuenta no administrada.
Persistencia: Nuevo método de la API	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Persistencia: Usuario-agente nuevo	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Persistencia: Activación o desactivación de SSO	`TOGGLE_SSO_ENABLED`	Google Workspace: Auditoría del administrador	Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Persistencia: Configuración de SSO cambiada	`CHANGE_SSO_SETTINGS`	Google Workspace: Auditoría del administrador	Se cambió la configuración de SSO para la cuenta de administrador. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Escalación de privilegios: Suplantación de identidad anómala de la cuenta de servicio en la actividad del administrador	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta cuándo se usa una cuenta de servicio suplantada potencialmente anómala para una actividad administrativa.
Derivación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta cuando se encuentra una solicitud delegada de varios pasos anómala para una actividad administrativa.
Derivación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para el acceso a los datos	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Registros de auditoría de Cloud: Registros de acceso a los datos	Detecta cuando se encuentra una solicitud delegada de varios pasos anómala para una actividad de acceso a los datos.
Derivación de privilegios: Uso de identidad anómalo de la cuenta de servicio para actividades de administrador	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Registros de auditoría de Cloud: Registros de actividad del administrador	Detecta cuando se usa un llamador o un suplantador potencialmente anómalo en una cadena de delegación para una actividad administrativa.
Elevación de privilegios: Suplantación de identidad anómala de la cuenta de servicio para acceso a datos	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Registros de auditoría de Cloud: Registros de acceso a los datos	Detecta cuando se usa un llamador o un suplantador potencialmente anómalo en una cadena de delegación para una actividad de acceso a los datos.
Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Para derivar privilegios, un agente potencialmente malicioso intentó modificar un objeto de control de acceso basado en roles (RBAC) `ClusterRole`, `RoleBinding` o `ClusterRoleBinding` del rol sensible `cluster-admin` a través de una solicitud `PUT` o `PATCH`.
Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Un actor potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le da acceso a `cluster-admin`.
Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Para derivar privilegios, una persona potencialmente maliciosa intentó crear un objeto `RoleBinding` o `ClusterRoleBinding` nuevo para el rol `cluster-admin`.
Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Registros de auditoría de Cloud: Registros de acceso a los datos de GKE	Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando `kubectl`, usando credenciales de arranque comprometidas.
Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios. Un contenedor con privilegios tiene el campo `privileged` configurado como `true`. Un contenedor con capacidades de elevación de privilegios tiene el campo `allowPrivilegeEscalation` configurado como `true`. Para obtener más información, consulta la referencia de la API principal de SecurityContext v1 en la documentación de Kubernetes.
Persistencia: Se creó la clave de la cuenta de servicio	`SERVICE_ACCOUNT_KEY_CREATION`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta la creación de una clave de cuenta de servicio. Las claves de cuentas de servicio son credenciales de larga duración que aumentan el riesgo de acceso no autorizado a los recursos de Google Cloud.
Elevación de privilegios: Se agregó una secuencia de comandos de cierre global	`GLOBAL_SHUTDOWN_SCRIPT_ADDED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se agrega una secuencia de comandos de cierre global a un proyecto.
Persistencia: Se agregó una secuencia de comandos de inicio global	`GLOBAL_STARTUP_SCRIPT_ADDED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se agrega una secuencia de comandos de inicio global a un proyecto.
Defense Evasion: Se agregó un rol de creador de tokens de cuentas de servicio a nivel de la organización	`ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuándo se otorga el rol de creador de tokens de cuenta de servicio de IAM a nivel de la organización.
Defense Evasion: Se agregó un rol de creador de tokens de cuentas de servicio a nivel del proyecto	`PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuándo se otorga el rol de IAM de creador de tokens de cuentas de servicio a nivel del proyecto.
Desplazamiento lateral: Ejecución de parche de SO desde la cuenta de servicio	`OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT`	Registros de auditoría de Cloud Registros de auditoría de actividad del administrador de IAM	Detecta cuando una cuenta de servicio usa la función de parches de Compute Engine para actualizar el sistema operativo de cualquier instancia de Compute Engine que se esté ejecutando.
Movimiento lateral: Disco de arranque modificado conectado a la instancia (versión preliminar)	`MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE`	Registros de auditoría de Cloud: Registros de auditoría de Compute Engine	Detecta cuando se desconecta un disco de arranque de una instancia de Compute Engine y se conecta a otra, lo que podría indicar un intento malicioso de vulnerar el sistema con un disco de arranque modificado.
Acceso a credenciales: Secrets a los que se accedió en el espacio de nombres de Kubernetes	`SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE`	Registros de auditoría de Cloud: Registros de acceso a los datos de GKE	Detecta cuándo una cuenta de servicio accede a los secretos o a los tokens de la cuenta de servicio en el espacio de nombres actual de Kubernetes.
Desarrollo de recursos: Actividad de distribución de seguridad en infracción	`OFFENSIVE_SECURITY_DISTRO_ACTIVITY`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta manipulaciones de recursos de Google Cloud exitosas a partir de pruebas de penetración conocidas o distribuciones de seguridad ofensivas.
Derivación de privilegios: La cuenta de servicio nueva es propietario o editor	`SERVICE_ACCOUNT_EDITOR_OWNER`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se crea una cuenta de servicio nueva con roles de editor o propietario para un proyecto.
Descubrimiento: Herramienta de recopilación de información usada	`INFORMATION_GATHERING_TOOL_USED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta el uso de ScoutSuite, una herramienta de auditoría de seguridad en la nube que se sabe que usan los agentes de amenazas.
Elevación de privilegios: Generación sospechosa de tokens	`SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se abusa del permiso `iam.serviceAccounts.implicitDelegation` para generar tokens de acceso desde una cuenta de servicio con más privilegios.
Elevación de privilegios: Generación sospechosa de tokens	`SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando una cuenta de servicio usa el método `serviceAccounts.signJwt` para generar un token de acceso para otra cuenta de servicio.
Elevación de privilegios: Generación sospechosa de tokens	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta el uso entre proyectos del permiso de IAM `iam.serviceAccounts.getOpenIdToken`. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Elevación de privilegios: Generación sospechosa de tokens	`SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta el uso entre proyectos del permiso de IAM `iam.serviceAccounts.getAccessToken`. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Elevación de privilegios: Uso sospechoso de permisos entre proyectos	`SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta el uso entre proyectos del permiso de IAM `datafusion.instances.create`. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
Comando y control: tunelización de DNS	`DNS_TUNNELING_IODINE_HANDSHAKE`	Registros de Cloud DNS	Detecta el protocolo de enlace de la herramienta de tunelización de DNS Iodine.
Evasión de defensa: Intento de enmascaramiento de rutas de VPC	`VPC_ROUTE_MASQUERADE`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta la creación manual de rutas de VPC que se hacen pasar por rutas predeterminadas de Google Cloud, lo que permite el tráfico de salida a direcciones IP externas.
Impacto: Facturación inhabilitada	`BILLING_DISABLED_SINGLE_PROJECT`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuándo se inhabilitó la facturación de un proyecto.
Impacto: Facturación inhabilitada	`BILLING_DISABLED_MULTIPLE_PROJECTS`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se inhabilitó la facturación de varios proyectos de una organización en un período breve.
Impacto: Bloqueo de alta prioridad del firewall de VPC	`VPC_FIREWALL_HIGH_PRIORITY_BLOCK`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se agrega una regla de firewall de VPC que bloquea todo el tráfico en la prioridad 0.
Impacto: Eliminación masiva de reglas de firewall de VPC^{No disponible temporalmente}	`VPC_FIREWALL_MASS_RULE_DELETION`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta la eliminación masiva de reglas de firewall de VPC por cuentas que no son de servicio. Esta regla no está disponible temporalmente. Para supervisar las actualizaciones de tus reglas de firewall, usa los registros de auditoría de Cloud.
Impacto: API de servicio inhabilitada	`SERVICE_API_DISABLED`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando se inhabilita una API de un servicio de Google Cloud en un entorno de producción.
Impacto: Se estableció en el máximo el ajuste de escala automático de grupo de instancias administrado	`MIG_AUTOSCALING_SET_TO_MAX`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando un grupo de instancias administrado está configurado para el ajuste de escala automático máximo.
Descubrimiento: Llamada no autorizada a la API de Service Account	`UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL`	Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM	Detecta cuando una cuenta de servicio realiza una llamada no autorizada a la API entre proyectos.
Evasión de defensa: Se otorgó acceso de administrador de clústeres a sesiones anónimas	`ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Detecta la creación de un objeto `ClusterRoleBinding` de control de acceso basado en roles (RBAC) que agrega el comportamiento `root-cluster-admin-binding` a los usuarios anónimos.
Acceso inicial: Recurso de GKE anónimo creado desde Internet (Versión preliminar)	`GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Detecta eventos de creación de recursos de usuarios de Internet realmente anónimos.
Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet (Versión preliminar)	`GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Detecta eventos de manipulación de recursos de usuarios de Internet realmente anónimos.
Escalación de privilegios: Se otorgó acceso al clúster de GKE a usuarios anónimos (Versión preliminar)	`GKE_ANONYMOUS_USERS_GRANTED_ACCESS`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien creó una vinculación de RBAC que hace referencia a uno de los siguientes usuarios o grupos: `system:anonymous` `system:unauthenticated` `system:authenticated` Estos usuarios y grupos son, en realidad, anónimos y se deben evitar cuando se crean vinculaciones de roles o vinculaciones de roles de clúster a cualquier rol de RBAC. Revisa la vinculación para asegurarte de que sea necesaria. Si no es necesario, quítalo.
Ejecución: Ejecución o conexión sospechosas a un Pod del sistema (Versión preliminar)	`GKE_SUSPICIOUS_EXEC_ATTACH`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien usó los comandos `exec` o `attach` para obtener un shell o ejecutar un comando en un contenedor que se ejecuta en el espacio de nombres `kube-system`. A veces, estos métodos se usan con fines de depuración legítimos. Sin embargo, el espacio de nombres `kube-system` está destinado a los objetos del sistema que crea Kubernetes, y se debe revisar la ejecución de comandos inesperada o la creación de shell.
Elevación de privilegios: Carga de trabajo creada con una activación de ruta de acceso del host sensible (Versión preliminar)	`GKE_SENSITIVE_HOSTPATH`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien creó una carga de trabajo que contiene una activación de volumen `hostPath` en una ruta de acceso sensible en el sistema de archivos del nodo host. El acceso a estas rutas de acceso en el sistema de archivos del host se puede usar para acceder a información privilegiada o sensible en el nodo y para escapar de contenedores. Si es posible, no permitas ningún volumen `hostPath` en tu clúster.
Elevación de privilegios: Carga de trabajo con shareProcessNamespace habilitada (versión preliminar)	`GKE_SHAREPROCESSNAMESPACE_POD`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien implementó una carga de trabajo con la opción `shareProcessNamespace` establecida en `true`, lo que permite que todos los contenedores compartan el mismo espacio de nombres de proceso de Linux. Esto podría permitir que un contenedor no confiable o comprometido escale privilegios accediendo y controlando las variables de entorno, la memoria y otros datos sensibles de los procesos que se ejecutan en otros contenedores.
Elevación de privilegios: ClusterRole con verbos privilegiados (versión preliminar)	`GKE_CLUSTERROLE_PRIVILEGED_VERBS`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien creó un `ClusterRole` de RBAC que contiene los verbos `bind`, `escalate` o `impersonate`. Un sujeto vinculado a un rol con estos verbos puede suplantar la identidad de otros usuarios con privilegios más altos, vincularse a `Roles` o `ClusterRoles` adicionales que contengan permisos adicionales, o bien modificar sus propios permisos de ClusterRole. Esto podría hacer que esos sujetos obtengan privilegios de administrador de clústeres.
Elevación de privilegios: ClusterRoleBinding para el rol con privilegios (versión preliminar)	`GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien creó un `ClusterRoleBinding` de RBAC que hace referencia al `ClusterRole` `system:controller:clusterrole-aggregation-controller` predeterminado. Este `ClusterRole` predeterminado tiene el verbo `escalate`, que permite que los sujetos modifiquen los privilegios de sus propios roles, lo que permite la elevación de privilegios.
Defense Evasion: Solicitud de firma de certificado (CSR) borrada manualmente (Versión preliminar)	`GKE_MANUALLY_DELETED_CSR`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien borró de forma manual una solicitud de firma de certificado (CSR). Un controlador de recolección de elementos no utilizados quita automáticamente los CSR, pero los actores maliciosos pueden borrarlos de forma manual para evadir la detección. Si la CSR borrada era para un certificado aprobado y emitido, el agente potencialmente malicioso ahora tiene un método de autenticación adicional para acceder al clúster. Los permisos asociados con el certificado varían según el sujeto que se incluya, pero pueden ser de alto privilegio. Kubernetes no admite la revocación de certificados.
Acceso a credenciales: Intento fallido de aprobar la solicitud de firma de certificado (CSR) de Kubernetes (versión preliminar)	`GKE_APPROVE_CSR_FORBIDDEN`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien intentó aprobar de forma manual una solicitud de firma de certificado (CSR), pero la acción falló. Crear un certificado para la autenticación del clúster es un método común que los atacantes usan para crear acceso persistente a un clúster comprometido. Los permisos asociados con el certificado varían según el sujeto que incluyan, pero pueden ser de alto privilegio.
Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada de forma manual (Versión preliminar)	`GKE_CSR_APPROVED`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien aprobó de forma manual una solicitud de firma de certificado (CSR). Crear un certificado para la autenticación del clúster es un método común que usan los atacantes para crear acceso persistente a un clúster comprometido. Los permisos asociados con el certificado varían según el sujeto que incluyan, pero pueden ser de alto privilegio.
Ejecución: Se creó un Pod de Kubernetes con posibles argumentos de shell inversos (versión preliminar)	`GKE_REVERSE_SHELL_POD`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien creó un Pod que contiene comandos o argumentos comúnmente asociados con un shell inverso. Los atacantes usan shells inversos para expandir o mantener su acceso inicial a un clúster y ejecutar comandos arbitrarios.
Defense Evasion: Posible enmascaramiento de Pod de Kubernetes (versión preliminar)	`GKE_POD_MASQUERADING`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien implementó un Pod con una convención de nombres similar a las cargas de trabajo predeterminadas que GKE crea para la operación normal del clúster. Esta técnica se denomina suplantación de identidad.
Elevación de privilegios: Nombres de contenedores de Kubernetes sospechosos: explotación y escape (Versión preliminar)	`GKE_SUSPICIOUS_EXPLOIT_POD`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien implementó un Pod con una convención de nombres similar a las herramientas comunes que se usan para escapar de contenedores o ejecutar otros ataques en el clúster.
Impacto: Nombres de contenedores de Kubernetes sospechosos: minería de monedas (versión preliminar)	`GKE_SUSPICIOUS_CRYPTOMINING_POD`	Registros de auditoría de Cloud: Registros de actividad del administrador de GKE	Alguien implementó un Pod con una convención de nombres similar a la de los mineros de criptomonedas comunes. Es posible que un atacante que haya logrado acceso inicial al clúster esté intentando usar sus recursos para la minería de criptomonedas.

Módulos personalizados para Event Threat Detection

Además de las reglas de detección integradas, Event Threat Detection proporciona plantillas de módulos que puedes usar para crear reglas de detección personalizadas. Para obtener más información, consulta Descripción general de los módulos personalizados para Event Threat Detection.

Para crear reglas de detección para las que no hay plantillas de módulos personalizados disponibles, puedes exportar tus datos de registros a BigQuery y, luego, ejecutar consultas de SQL únicas o recurrentes que capturen tus modelos de amenaza.

Cambios no seguros en Grupos de Google

En esta sección, se explica cómo Event Threat Detection usa registros de Google Workspace, registros de auditoría de Cloud y políticas de IAM para detectar cambios no seguros de Grupos de Google. La detección de cambios en Grupos de Google solo es compatible cuando activas Security Command Center a nivel de la organización.

Los clientes de Google Cloud pueden usar Grupos de Google para administrar funciones y permisos de los miembros de sus organizaciones o aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a los Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todos los roles y los permisos de un grupo, lo que permite que los miembros accedan a recursos y servicios específicos.

Si bien los Grupos de Google son una forma conveniente de administrar el control de acceso a gran escala, pueden representar un riesgo si se agregan usuarios externos fuera de tu organización o dominio a grupos privilegiados, a los que se les otorgan funciones o permisos sensibles. Los roles sensibles controlan el acceso a la configuración de seguridad y de red, los registros y la información de identificación personal (PII), y no se recomiendan para los miembros del grupo externo.

En organizaciones grandes, es posible que los administradores no estén al tanto cuando se agreguen miembros externos a grupos privilegiados. Los registros de auditoría de Cloud registran las asignaciones de roles a los grupos, pero esos eventos no contienen información sobre los miembros del grupo, lo que puede ocultar el impacto potencial de algunos cambios en el grupo.

Si compartes tus registros de Google Workspace con Google Cloud, Event Threat Detection supervisa las transmisiones de registro de los miembros nuevos que se agregan a los Grupos de Google de tu organización. Debido a que los registros están a nivel de la organización, Event Threat Detection puede analizar los registros de Google Workspace solo cuando activas Security Command Center a nivel de la organización. Event Threat Detection no puede analizar estos registros cuando activas Security Command Center a nivel del proyecto.

Event Threat Detection identifica a los miembros externos del grupo y, mediante los registros de auditoría de Cloud, revisa los roles de IAM de cada grupo afectado para verificar si se les otorgaron funciones sensibles. Esa información se usa para detectar los siguientes cambios no seguros en Grupos de Google con privilegios:

Miembros externos del grupo agregados a grupos con privilegios
Funciones o permisos sensibles otorgados a grupos con miembros externos del grupo
Grupos con privilegios que se cambian para permitir que se una a cualquier persona del público general

Event Threat Detection escribe los resultados en Security Command Center. Los resultados contienen las direcciones de correo electrónico de los miembros externos recién agregados, los miembros internos del grupo que inician eventos, los nombres de grupos y los roles sensibles asociadas con grupos. Puedes usar la información para quitar miembros externos de los grupos o revocar funciones sensibles otorgadas a los grupos.

Para obtener más información sobre los resultados de Event Threat Detection, consulta las reglas de Event Threat Detection.

Funciones y permisos confidenciales de IAM

En esta sección, se explica cómo Event Threat Detection define los roles de IAM sensibles. Las detecciones, como IAM Anomalous Grant y Unsafe Google Group changes, generan resultados solo si los cambios implican roles de alta o media sensibilidad. La sensibilidad de los roles afecta la calificación de gravedad asignada a los resultados.

Los roles de alta sensibilidad controlan los servicios críticos en las organizaciones, incluida la facturación, la configuración de firewall y el registro. Los resultados que coinciden con estos roles se clasifican como gravedad Alta.
Los roles de sensibilidad media tienen permisos de edición que permiten a las principales realizar cambios en los recursos de Google Cloud. Visualiza y ejecuta permisos en servicios de almacenamiento de datos que, a menudo, contienen datos sensibles. La gravedad asignada a los resultados depende del recurso:
- Si se otorgan funciones de sensibilidad media a nivel de la organización, los resultados se clasifican como de gravedad alta.
- Si se otorgan funciones de sensibilidad media a niveles inferiores en la jerarquía de recursos (carpetas, proyectos y buckets, entre otras), los resultados se clasifican como de gravedad media.

Se considera peligroso otorgar estos roles sensibles si el beneficiario es un miembro externo o una identidad anormal, como un principal que estuvo inactivo durante mucho tiempo.

Otorgar roles sensibles a miembros externos crea una amenaza potencial, ya que se puede hacer un uso inadecuado para vulnerar cuentas y robo de datos.

Entre las categorías de búsqueda que usan estos roles sensibles, se incluyen las siguientes:

Persistencia: Otorgamiento anómalo de IAM
- Subregla: external_service_account_added_to_policy
- Subregla: external_member_added_to_policy
Acceso a las credenciales: Función sensible otorgada al grupo híbrido
Derivación de privilegios: Se otorgó un rol sensible a una cuenta de servicio inactiva

Entre las categorías de búsqueda que usan un subconjunto de los roles sensibles, se incluyen las siguientes:

Persistencia: Otorgamiento anómalo de IAM
- Subregla: service_account_granted_sensitive_role_to_member

En general, la subregla service_account_granted_sensitive_role_to_member se orienta a miembros externos e internos y, por lo tanto, solo usa un subconjunto de roles sensibles, como se explica en Reglas de Event Threat Detection.

Categoría	Función	Descripción
Roles básicos: Incluyen miles de permisos en todos los servicios de Google Cloud.	`roles/owner`	Funciones básicas
	`roles/editor`	Funciones básicas
Funciones de seguridad: Controlan el acceso a la configuración de seguridad.	`roles/cloudkms.*`	Todos los roles de Cloud Key Management Service
	`roles/cloudsecurityscanner.*`	Todos los roles de Web Security Scanner
	`roles/dlp.*`	Todos los roles de Sensitive Data Protection
	`roles/iam.*`	Todos los roles de IAM
	`roles/secretmanager.*`	Todos los roles de Secret Manager
	`roles/securitycenter.*`	Todos los roles de Security Command Center
Funciones de registro: Controlan el acceso a los registros de una organización.	`roles/errorreporting.*`	Todos los roles de Error Reporting
	`roles/logging.*`	Todos los roles de Cloud Logging
	`roles/stackdriver.*`	Todos los roles de Cloud Monitoring
Funciones de información personal: Controlan el acceso a los recursos que contienen información de identificación personal, incluida la información bancaria y de contacto	`roles/billing.*`	Todos los roles de la Facturación de Cloud
	`roles/healthcare.*`	Todos los roles de la API de Cloud Healthcare
	`roles/essentialcontacts.*`	Todos los roles de Essential Contacts
Funciones de herramientas de redes: Controlan el acceso a la configuración de red de una organización	`roles/dns.*`	Todos los roles de Cloud DNS
	`roles/domains.*`	Todos los roles de Cloud Domains
	`roles/networkconnectivity.*`	Todos los roles de Network Connectivity Center
	`roles/networkmanagement.*`	Todos los roles de Network Connectivity Center
	`roles/privateca.*`	Todos los roles de Certificate Authority Service
Funciones de servicio: Controlan el acceso a los recursos de servicio en Google Cloud	`roles/cloudasset.*`	Todos los roles de Cloud Asset Inventory
	`roles/servicedirectory.*`	Todos los roles del Directorio de servicios
	`roles/servicemanagement.*`	Todos los roles de Service Management
	`roles/servicenetworking.*`	Todos los roles de Service Networking
	`roles/serviceusage.*`	Todos los roles de Service Usage
Funciones de Compute Engine: Controlan el acceso a las máquinas virtuales de Compute Engine, que llevan trabajos de larga duración y se asocian con reglas de firewall	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	Todos los roles de administrador y de editor de Compute Engine

Categoría Función Descripción

Categoría	Función	Descripción
Funciones de edición: Roles de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud	Ejemplos: `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	Por lo general, los nombres de los roles terminan con títulos como Administrador, Propietario, Editor o Escritor. Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.
Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos	Ejemplos: `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.
Todos los roles de sensibilidad media Aprobación de acceso `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` Acciones `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API Gateway `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Autorización binaria `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^Beta Funciones de Cloud Run `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Repositorios de código fuente en la nube `roles/source.admin` `roles/source.writer` Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` Artifact Analysis `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` Identity-Aware Proxy `roles/iap.admin` `roles/iap.settingsAdmin` Servicio administrado para Microsoft Active Directory `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Memorystore para Redis `roles/redis.admin` `roles/redis.editor` API de On-Demand Scanning `roles/ondemandscanning.admin` Supervisión de configuración de operaciones `roles/opsconfigmonitoring.resourceMetadata.writer` Servicio de políticas de la organización `roles/axt.admin` `roles/orgpolicy.policyAdmin` Otros roles `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` Proximity Beacon `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recomendaciones `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` Recomendador `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` Configuración de recursos `roles/resourcesettings.admin` Acceso a VPC sin servidores `roles/vpcaccess.admin` Administración de consumidores de servicios `roles/serviceconsumermanagement.tenancyUnitsAdmin` Servicio de transferencia de almacenamiento `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Notebooks administrados por el usuario de Vertex AI Workbench `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

Funciones de edición: Roles de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud

Ejemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Por lo general, los nombres de los roles terminan con títulos como Administrador, Propietario, Editor o Escritor.

Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.

Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos

Ejemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.

Todos los roles de sensibilidad media

Aprobación de acceso

roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager

roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Acciones

roles/actions.Admin

AI Platform

roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway

roles/apigateway.admin

App Engine

roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML

roles/automl.admin
roles/automl.editor

BigQuery

roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorización binaria

roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Bigtable

roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build

roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager

roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints

roles/endpoints.portalAdmin^Beta

Funciones de Cloud Run

roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT

roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences

roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring

roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run

roles/run.admin
roles/run.developer

Cloud Scheduler

roles/cloudscheduler.admin

Repositorios de código fuente en la nube

roles/source.admin
roles/source.writer

Spanner

roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage

roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL

roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks

roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU

tpu.admin

Cloud Trace

roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine

roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Artifact Analysis

roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog

roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow

roles/dataflow.admin
roles/dataflow.developer

Dataproc

roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore

roles/metastore.admin
roles/metastore.editor

Datastore

roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc

roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore

roles/file.editor

Firebase

roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers

roles/gameservices.admin

Google Cloud VMware Engine

vmwareengine.vmwareengineAdmin

Google Kubernetes Engine

roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub

roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace

roles/gsuiteaddons.developer

Identity-Aware Proxy

roles/iap.admin
roles/iap.settingsAdmin

Servicio administrado para Microsoft Active Directory

roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore para Redis

roles/redis.admin
roles/redis.editor

API de On-Demand Scanning

roles/ondemandscanning.admin

Supervisión de configuración de operaciones

roles/opsconfigmonitoring.resourceMetadata.writer

Servicio de políticas de la organización

roles/axt.admin
roles/orgpolicy.policyAdmin

Otros roles

roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon

roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub

roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite

roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA

roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recomendaciones

roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recomendador

roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager

roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Configuración de recursos

roles/resourcesettings.admin

Acceso a VPC sin servidores

roles/vpcaccess.admin

Administración de consumidores de servicios

roles/serviceconsumermanagement.tenancyUnitsAdmin

Servicio de transferencia de almacenamiento

roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI

roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Notebooks administrados por el usuario de Vertex AI Workbench

roles/notebooks.admin
roles/notebooks.legacyAdmin

Workflows

roles/workflows.admin
roles/workflows.editor

Tipos de registros y requisitos de activación

En esta sección, se enumeran los registros que usa Event Threat Detection, junto con las amenazas que busca en cada registro y lo que debes hacer para activar cada registro.

Debes activar un registro para Event Threat Detection solo si se cumplen todas las siguientes condiciones:

Estás usando el producto o servicio que escribe en el registro.
Debes proteger el producto o servicio contra las amenazas que la Detección de amenazas de eventos detecta en el registro.
El registro es un registro de auditoría de acceso a los datos o algún otro registro que está desactivado de forma predeterminada.

Algunas amenazas se pueden detectar en varios registros. Si Event Threat Detection puede detectar una amenaza en un registro que ya está activado, no es necesario que actives otro registro para detectar esa misma amenaza.

Si un registro no aparece en esta sección, Event Threat Detection no lo analiza, incluso si está activado. Para obtener más información, consulta Análisis de registros potencialmente redundantes.

Como se describe en la siguiente tabla, algunos tipos de registros solo están disponibles a nivel de la organización. Si activas Security Command Center a nivel del proyecto, Event Threat Detection no analiza estos registros ni genera ningún resultado.

Fuentes de registro básicas

Event Threat Detection usa fuentes de datos fundamentales para detectar actividades potencialmente maliciosas en tu red.

Si habilitas Event Threat Detection sin los registros de flujo de VPC, esta función comenzará a analizar de inmediato un flujo independiente, duplicado e interno de registros de flujo de VPC. Para investigar en detalle un resultado existente de la Detección de eventos de amenazas, debes habilitar los registros de flujo de VPC y navegar manualmente al Explorador de registros y al Analizador de flujo. Si habilitas los registros de flujo de VPC más adelante, solo los resultados futuros contendrán los vínculos relevantes para una investigación más detallada.
Si habilitas Event Threat Detection con los registros de flujo de VPC, esta función comenzará a analizar inmediatamente los registros de flujo de VPC en tu implementación y proporcionará vínculos al Explorador de registros y a Flow Analyzer para ayudarte a investigar más a fondo.

Análisis de registros potencialmente redundantes

Event Threat Detection puede proporcionar detección de software malicioso en la red mediante el análisis de cualquiera de los siguientes registros:

Registro de Cloud DNS
Registro de Cloud NAT
Registro de reglas de firewall
Registros de flujo de VPC

Si ya usas el registro de Cloud DNS, Event Threat Detection puede detectar software malicioso mediante la resolución de dominios. Para la mayoría de los usuarios, los registros de Cloud DNS son suficientes para la detección de software malicioso en la red.

Si necesitas otro nivel de visibilidad más allá de la resolución de dominios, puedes activar los registros de flujo de VPC, pero estos pueden generar costos. Para administrar estos costos, recomendamos aumentar el intervalo de agregación a 15 minutos y reducir la tasa de muestreo a entre un 5% y un 10%, pero hay una compensación entre la recuperación (mayor muestra) y la administración de costos (menor tasa de muestreo). Para obtener más información, consulta Muestreo y procesamiento de registros.

Si ya usas registros de reglas de firewall o registros de Cloud NAT, estos registros son útiles en lugar de los registros de flujo de VPC.

No es necesario que habilites más de uno de los registros de Cloud NAT, los registros de reglas de firewall o los registros de flujo de VPC.

Registros que debes activar

En esta sección, se enumeran los registros de Cloud Logging y Google Workspace que puedes activar o configurar de otra manera para aumentar la cantidad de amenazas que puede detectar Event Threat Detection.

En la mayoría de los registros de auditoría, se pueden encontrar ciertas amenazas, como las que representan la suplantación de identidad anómala o la delegación de una cuenta de servicio. Para estos tipos de amenazas, determinas qué registros debes activar en función de los productos y servicios que usas.

En la siguiente tabla, se muestran los registros específicos que debes activar para las amenazas que se pueden detectar solo en ciertos tipos de registros específicos.

Tipo de registro	Se detectaron amenazas	Configuración obligatoria
Registro de Cloud DNS	`Log4j Malware: Bad Domain` `Malware: bad domain` `Malware: Cryptomining Bad Domain`	Activa el registro de Cloud DNS
Registros de Cloud NAT	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activa el registro de Cloud NAT
Registro de reglas de firewall	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activa el registro de reglas de firewall.
Registros de auditoría de acceso a los datos de Google Kubernetes Engine (GKE)	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	Activa los registros de auditoría de acceso a los datos de registro para GKE
Registros de auditoría del administrador de Google Workspace	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Comparte los registros de auditoría de administrador de Google Workspace con Registros de Cloud Este tipo de registro no se puede analizar en las activaciones a nivel del proyecto.
Registros de auditoría de acceso a Google Workspace	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked`	Comparte los registros de auditoría de acceso a Google Workspace con Registros de auditoría de Cloud Este tipo de registro no se puede analizar en las activaciones a nivel del proyecto.
Registros del servicio de backend del balanceador de cargas de aplicaciones externo	`Initial Access: Log4j Compromise Attempt`	Activa el registro del balanceador de cargas de aplicaciones externo
Registros de auditoría de acceso a los datos de MySQL de Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration`	Cómo activar los registros de auditoría de acceso a los datos de Logging para Cloud SQL para MySQL
Registros de auditoría de acceso a los datos de PostgreSQL de Cloud SQL	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	Activate Logging Data Access audit logs for Cloud SQL for PostgreSQL. Para detectar la amenaza `Exfiltration: Cloud SQL Over-Privileged Grant`, también debes habilitar la extensión pgAudit.
Registros de auditoría de acceso a los datos de AlloyDB para PostgreSQL	`Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` `Privilege Escalation: AlloyDB Over-Privileged Grant`	Activate Logging Data Access audit logs for AlloyDB for PostgreSQL Para detectar las amenazas `Privilege Escalation: AlloyDB Database Superuser Writes to User Tables` y `Privilege Escalation: AlloyDB Over-Privileged Grant`, también debes habilitar la extensión pgAudit.
Registros de auditoría de acceso a los datos de IAM	`Discovery: Service Account Self-Investigation`	Activa los registros de auditoría de acceso a los datos de registro para Resource Manager
Registros de auditoría de acceso a los datos de SQL Server	`Exfiltration: Cloud SQL Data Exfiltration`	Activa los registros de auditoría de acceso a los datos de registro para Cloud SQL para SQL Server
Registros de auditoría de acceso a los datos genéricos	`Initial Access: Leaked Service Account Key Used` `Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access` `Privilege Escalation: Anomalous Service Account Impersonator for Data Access`	Activa los registros de auditoría de acceso a los datos de registro.
authlogs/authlog en máquinas virtuales	`Brute force SSH`	Instala el agente de operaciones o el agente de registro heredado en los hosts de tu VM.
Registros de flujo de VPC	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Activa los registros de flujo de VPC

Registros que siempre están activados

En la siguiente tabla, se enumeran los registros de Cloud Logging que no necesitas activar ni configurar. Estos registros siempre están activados y Event Threat Detection los analiza automáticamente.

Tipo de registro	Se detectaron amenazas	Configuración obligatoria
Registros de acceso a los datos de BigQueryAuditMetadata	Robo de datos: Robo de datos de BigQuery Robo de datos: Extracción de datos de BigQuery Robo de datos: datos de BigQuery en Google Drive Robo de datos: Migración a un recurso público de BigQuery (Versión preliminar)	Ninguno
Registros de auditoría de actividad del administrador de Google Kubernetes Engine (GKE)	Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal Evasión de defensa: Se otorgó acceso de administrador de clústeres a sesiones anónimas Acceso inicial: Recurso de GKE anónimo creado desde Internet (Versión preliminar) Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet (Versión preliminar) Escalación de privilegios: Se otorgó acceso al clúster de GKE a usuarios anónimos (versión preliminar) Ejecución: Ejecución o conexión sospechosas a un Pod del sistema (Versión preliminar) Elevación de privilegios: Carga de trabajo creada con una activación de ruta de acceso del host sensible (versión preliminar) Elevación de privilegios: Carga de trabajo con shareProcessNamespace habilitada (Versión preliminar) Elevación de privilegios: ClusterRole con verbos privilegiados (versión preliminar) Elevación de privilegios: ClusterRoleBinding para el rol con privilegios (versión preliminar) Defense Evasion: Solicitud de firma de certificado (CSR) borrada manualmente (Versión preliminar) Acceso a credenciales: Intento fallido de aprobar la solicitud de firma de certificado (CSR) de Kubernetes (versión preliminar) Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada de forma manual (versión preliminar) Ejecución: Se creó un Pod de Kubernetes con posibles argumentos de shell inversos (versión preliminar) Defense Evasion: Posible enmascaramiento de Pod de Kubernetes (versión preliminar) Elevación de privilegios: Nombres de contenedores de Kubernetes sospechosos: explotación y escape (versión preliminar) Impacto: Nombres de contenedores de Kubernetes sospechosos: minería de monedas (versión preliminar)	Ninguno
Registros de auditoría de actividad del administrador de IAM	Acceso a las credenciales: Función sensible otorgada al grupo híbrido Derivación de privilegios: Se otorgó un rol sensible a una cuenta de servicio inactiva Persistencia: Se otorgó el rol de suplantación de identidad a la cuenta de servicio inactiva Persistencia: Otorgamiento anómalo de IAM (versión preliminar) Persistencia: Se otorgó un rol sensible a una cuenta no administrada	Ninguno
Registros de actividad del administrador de MySQL	Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	Ninguno
Registros de actividad del administrador de PostgreSQL	Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	Ninguno
Registros de actividad del administrador de SQL Server	Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa	Ninguno
Registros de auditoría genéricos de actividad del administrador	Acceso inicial: Acción de cuenta de servicio inactiva> Acceso inicial: Se creó la clave de cuenta de servicio inactiva Acceso inicial: Acciones denegadas de permisos excesivos Acceso inicial: Se usó una clave de cuenta de servicio filtrada Persistencia: El administrador de GCE agregó la clave SSH Persistencia: El administrador de GCE agregó una secuencia de comandos de inicio Persistencia: Nuevo método de API Persistencia: Nueva geografía Persistencia: Usuario-agente nuevo Escalación de privilegios: Suplantación de identidad anómala de la cuenta de servicio en la actividad del administrador Derivación de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador Derivación de privilegios: Uso de identidad anómalo de la cuenta de servicio para actividades de administrador Movimiento lateral: Disco de arranque modificado conectado a la instancia (versión preliminar)	Ninguno
Registros de auditoría de los Controles del servicio de VPC	Evasión de defensas: Modifica el Control de servicios de VPC (versión preliminar)	Ninguno
Registros de auditoría de actividad del administrador de copia de seguridad y DR	Destrucción de datos: La copia de seguridad y DR de Google Cloud vencen todas las imágenes Inhibir la recuperación del sistema: Política de eliminación de la copia de seguridad y DR de Google Cloud Inhibir la recuperación del sistema: Plantilla de eliminación de la copia de seguridad y DR de Google Cloud Inhibir la recuperación del sistema: Perfil de eliminación de la DR y la copia de seguridad de Google Cloud Inhibir la recuperación del sistema: La copia de seguridad y DR de Google Cloud borra el grupo de almacenamiento Inhibición de la recuperación del sistema: Se borró el host de la copia de seguridad y DR de Google Cloud Destrucción de datos: Imagen de vencimiento de la DR y la copia de seguridad de Google Cloud Destrucción de datos: Quitar el dispositivo de la DR de la copia de seguridad de Google Cloud Inhibir la recuperación del sistema: Quitar el plan de DR y copia de seguridad de Google Cloud Impacto: La copia de seguridad y DR de Google Cloud reducen el vencimiento de las copias de seguridad Impacto: La copia de seguridad y DR de Google Cloud reducen la frecuencia de las copias de seguridad	Ninguno

¿Qué sigue?

Obtén más información para usar Event Threat Detection.
Obtén información para investigar y desarrollar planes de respuesta para las amenazas.