¿Qué es Event Threat Detection?
Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa de forma continua tu organización o tus proyectos y que identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza periódicamente con nuevos detectores para identificar las amenazas emergentes a escala de la nube.
Cómo funciona Event Threat Detection
Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización o tus proyectos. Si activas el nivel Premium de Security Command Center a nivel de la organización, Event Threat Detection consumirá registros de tus proyectos a medida que se creen y podrá supervisar los registros de Google Workspace. Cloud Logging contiene entradas de registro de las llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace rastrean los accesos de los usuarios a tu dominio y proporcionan un registro de las acciones realizadas en la Consola del administrador de Google Workspace.
Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentada, incluida la coincidencia de indicador de tripwire, la generación de perfiles con ventanas, la generación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.
Cuando Event Threat Detection detecta una amenaza, escribe un resultado en Security Command Center. Si activas el nivel Premium de Security Command Center a nivel de la organización, Security Command Center puede escribir resultados en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar los hallazgos a otros sistemas con Pub/Sub y procesarlos con Cloud Run Functions.
Si activas el nivel Premium de Security Command Center a nivel de la organización, también puedes usar Google Security Operations para investigar algunos hallazgos. Google SecOps es un Google Cloud servicio que te permite investigar amenazas y alternar por entidades relacionadas en un cronograma unificado. Para obtener instrucciones sobre cómo enviar los resultados a Google SecOps, consulta Investiga los resultados en Google SecOps.
La capacidad para ver y editar hallazgos y registros se determina mediante las funciones de administración de identidades y accesos (IAM). Para obtener más información sobre los roles de IAM de Security Command Center, consulta Control de acceso.
Reglas de Event Threat Detection
Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos.
Event Threat Detection incluye las siguientes reglas predeterminadas:
| Nombre visible | Nombre de la API | Tipos de fuente del archivo de registro | Descripción |
|---|---|---|---|
| Análisis activo: Log4j es vulnerable a RCE | No disponible | Registros de Cloud DNS | Se iniciaron analizadores de vulnerabilidades de Log4j y se identificaron consultas de DNS para dominios sin ofuscar. Esta vulnerabilidad puede provocar la ejecución de código remoto (RCE). De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Impacto: Se borró el host de Backup and DR de Google Cloud | BACKUP_HOSTS_DELETE_HOST |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador del servicio Backup and DR |
Se borró un host de la consola de administración de Backup and DR. Es posible que no se protejan las aplicaciones asociadas con el host borrado. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Imagen de vencimiento de la DR de la copia de seguridad de Google Cloud | BACKUP_EXPIRE_IMAGE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Un usuario solicitó la eliminación de una imagen de copia de seguridad de la consola de administración de Backup and DR. Borrar una imagen de copia de seguridad no impide que se realicen copias de seguridad en el futuro. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Impacto: Se quitará el plan de Backup and DR de Google Cloud | BACKUP_REMOVE_PLAN |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró un plan de copia de seguridad con varias políticas para una aplicación de Backup and DR. El borrado de un plan de copia de seguridad puede impedir que se creen copias de seguridad en el futuro. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Impacto: Backup and DR de Google Cloud vence todas las imágenes | BACKUP_EXPIRE_IMAGES_ALL |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Un usuario solicitó la eliminación de todas las imágenes de copia de seguridad de una aplicación protegida desde la consola de administración de Backup and DR. Borrar las imágenes de copia de seguridad no impide que se realicen copias de seguridad futuras. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Impacto: Plantilla de eliminación de Backup and DR de Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró una plantilla de copia de seguridad predefinida, que se usa para configurar copias de seguridad para varias aplicaciones, de la consola de administración de Backup and DR. Es posible que se vea afectada la capacidad de configurar copias de seguridad en el futuro. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Impacto: Política de eliminación de Backup and DR de Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró de la consola de administración de Backup and DR una política de Backup and DR, que define cómo se crea una copia de seguridad y dónde se almacena. Es posible que fallen las copias de seguridad futuras que usen la política. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Perfil de eliminación de la DR de la copia de seguridad de Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró un perfil de Backup and DR, que define qué grupos de almacenamiento se deben usar para almacenar copias de seguridad, de la consola de administración de Backup and DR. Es posible que fallen las copias de seguridad futuras que usen el perfil. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Quitar dispositivo de la DR de la copia de seguridad de Google Cloud | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró un dispositivo de copia de seguridad de la consola de administración de Backup and DR. Es posible que no se protejan las aplicaciones asociadas con el dispositivo de copia de seguridad borrado. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Impacto: Se borra el grupo de almacenamiento de Backup and DR de Google Cloud | BACKUP_STORAGE_POOLS_DELETE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se quitó un grupo de almacenamiento, que asocia un bucket de Cloud Storage con Backup and DR, de la consola de administración de Backup and DR. Fallarán las copias de seguridad futuras en este destino de almacenamiento. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Se redujo el vencimiento de las copias de seguridad de Backup and DR de Google Cloud | BACKUP_REDUCE_BACKUP_EXPIRATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se redujo la fecha de vencimiento de una copia de seguridad protegida por Backup and DR a través de la consola de administración de Backup and DR. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Se redujo la frecuencia de las copias de seguridad de Backup and DR de Google Cloud | BACKUP_REDUCE_BACKUP_FREQUENCY |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se modificó la programación de copias de seguridad de Backup and DR para reducir la frecuencia de las copias de seguridad a través de la consola de administración de Backup and DR. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Se borró la bóveda de Backup and DR de Google Cloud | BACKUP_DELETE_VAULT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró una backup vault. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Impacto: Se borró la copia de seguridad de Backup and DR de Google Cloud | BACKUP_DELETE_VAULT_BACKUP |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se borró manualmente una copia de seguridad almacenada en una backup vault. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Impacto: Se borró la asociación del plan de Backup and DR de Google Cloud | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Backup and DR |
Se quitó un plan de copias de seguridad de Backup and DR de una carga de trabajo. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Ataques de fuerza bruta a SSH | BRUTE_FORCE_SSH |
authlog | Un actor obtuvo acceso SSH a un host con éxito a través de técnicas de fuerza bruta. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| IDS de Cloud: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Registros de IDS de Cloud |
Cloud IDS detectó eventos de amenazas. Cloud IDS detecta ataques de capa 7 analizando paquetes duplicados y, cuando se detecta un evento de amenaza, envía un resultado de clase de amenaza a Security Command Center. Los nombres de las categorías de hallazgos comienzan con "IDS de Cloud" seguido del identificador de amenaza de IDS de Cloud. La integración de Cloud IDS con Event Threat Detection no incluye las detecciones de vulnerabilidades de Cloud IDS. De forma predeterminada, los resultados se clasifican como de gravedad Baja. Para obtener más información sobre las detecciones de IDS de Cloud, consulta Información de registro de IDS de Cloud. |
| Escalada de privilegios: Se agregó un miembro externo al grupo con privilegios | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se agregó un miembro externo a un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios en Grupos de Google no seguros. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
| Privilege Escalation: Privileged Group Opened To Public | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Auditoría de administrador Permisos: DATA_READ
|
Se cambió un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles) para que sea accesible al público en general. Para obtener más información, consulta Cambios en Grupos de Google no seguros. Este hallazgo no está disponible para las activaciones a nivel del proyecto. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
| Elevación de privilegios: Rol sensible otorgado al grupo híbrido | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se otorgaron roles sensibles a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios en Grupos de Google no seguros. Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
| Defense Evasion: Se creó la implementación de la carga de trabajo de anulación de emergencia (vista previa) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cargas de trabajo se implementaron con la marca de emergencia para anular los controles de Autorización Binaria. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Defense Evasion: Se actualizó la implementación de la carga de trabajo de anulación de emergencia (vista previa) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cargas de trabajo se actualizaron con la marca de emergencia para anular los controles de Autorización Binaria. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Evasión de defensa: Se modificó la filtración de IP del bucket de GCS | GCS_BUCKET_IP_FILTERING_MODIFIED |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Un usuario o una cuenta de servicio cambió la configuración del filtrado de IP para un bucket de Cloud Storage. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Defense Evasion: Modifica el Control de servicios de VPC | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Registros de auditoría de Cloud Registros de auditoría de los Controles del servicio de VPC |
Se modificó un perímetro de los Controles del servicio de VPC existente, lo que generaría una reducción en la protección que ofrece ese perímetro. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Evasión de defensa: Se inhabilitó el bloqueo de la política HTTP del proyecto | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Un usuario o una cuenta de servicio activaron correctamente una acción para inhabilitar storage.secureHttpTransport en un proyecto. Esto también se aplica cuando la acción se realiza a nivel de la organización o de la carpeta, ya que las políticas aplicadas en este nivel se heredan de forma predeterminada en los proyectos secundarios. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Descubrimiento: Puede obtener la comprobación de objetos Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Una persona potencialmente maliciosa intentó determinar qué objetos sensibles en
GKE puede consultar con el comando
De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Descubrimiento: Autoinvestigación de cuentas de servicio | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM Permisos: DATA_READ
|
Se usó una credencial de cuenta de servicio de IAM para investigar los roles y los permisos asociados con esa misma cuenta de servicio. Funciones sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgados. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
| Evasión: Acceso desde un proxy de anonimización | ANOMALOUS_ACCESS |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las modificaciones del servicio de Google Cloud se originaron en una dirección IP asociada con la red Tor. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Robo de datos: Robo de datos de BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta las siguientes situaciones:
|
| Robo de datos: Extracción de datos de BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta las siguientes situaciones:
Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Robo de datos: datos de BigQuery en Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Un recurso de BigQuery que pertenece a la organización protegida se guardó, a través de operaciones de extracción, en una carpeta de Google Drive. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Robo de datos: Transferencia a un recurso público de BigQuery | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Registros de auditoría de Cloud:
Registros de acceso a los datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Se guardó un recurso de BigQuery en un recurso público que pertenece a tu organización. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Robo de datos: Robo de datos de Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Registros de auditoría de Cloud:
Registros de acceso a los datos de MySQL Registros de acceso a los datos de PostgreSQL Registros de acceso a los datos de SQL Server |
Detecta las siguientes situaciones:
Para las activaciones a nivel de proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Registros de auditoría de Cloud:
Registros de actividad del administrador de MySQL Registros de actividad del administrador de PostgreSQL Registros de actividad del administrador de SQL Server |
Se restableció la copia de seguridad de una instancia de Cloud SQL a una instancia fuera de la organización. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Robo de datos: otorgamiento con exceso de privilegios de Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoría de Cloud:
Registros de acceso a los datos de PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Se otorgaron todos los privilegios a un usuario o rol de Cloud SQL para PostgreSQL en una base de datos, o en todas las tablas, los procedimientos o las funciones de un esquema. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: El superusuario de la base de datos escribe en las tablas de usuarios | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoría de Cloud:
Registros de acceso a los datos de Cloud SQL para PostgreSQL Registros de acceso a los datos de Cloud SQL para MySQL Nota: Debes habilitar la extensión pgAudit para PostgreSQL o la auditoría de bases de datos para MySQL para usar esta regla. |
Un superusuario de Cloud SQL (postgres para servidores de PostgreSQL o root para usuarios de MySQL) escribió en tablas que no son del sistema. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Privilege Escalation: AlloyDB Over-Privileged Grant | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoría de Cloud:
Registros de acceso a los datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Se otorgaron todos los privilegios a un usuario o rol de AlloyDB para PostgreSQL en una base de datos, o en todas las tablas, los procedimientos o las funciones de un esquema. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Privilege Escalation: AlloyDB Database Superuser Writes to User Tables | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoría de Cloud:
Registros de acceso a los datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Un superusuario de AlloyDB para PostgreSQL (postgres) escribió en tablas que no son del sistema. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Acceso inicial: Acción de cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una cuenta de servicio administrada por el usuario inactiva activó una acción. En este contexto, se considera que una cuenta de servicio está inactiva si no se usó durante más de 180 días. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Escalada de privilegios: Se otorgó un rol sensible a una cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
A una cuenta de servicio administrada por el usuario inactiva se le otorgaron uno o más roles de IAM sensibles. En este contexto, se considera que una cuenta de servicio está inactiva si no se usó durante más de 180 días. Funciones sensibles Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgados. De forma predeterminada, los resultados se clasifican como de gravedad Media. Para obtener más información, consulta Funciones y permisos sensibles de IAM. |
| Escalada de privilegios: Se otorgó el rol de suplantación de identidad para la cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM | Se otorgaron permisos para suplantar la identidad de una cuenta de servicio administrada por el usuario inactiva a una principal. En este contexto, se considera que una cuenta de servicio está inactiva si no se usó durante más de 180 días. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Acceso inicial: Se creó la clave de cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador | Se creó una clave para una cuenta de servicio administrada por el usuario inactiva. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Acceso inicial: Se usó una clave de cuenta de servicio filtrada | LEAKED_SA_KEY_USED |
Registros de auditoría de Cloud:
Registros de actividad del administrador Registros de acceso a los datos |
Se usó una clave de cuenta de servicio filtrada para autenticar la acción. En este contexto, una clave de cuenta de servicio filtrada es aquella que se publicó en Internet. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Acceso inicial: Acciones denegadas de permisos excesivos | EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una principal activó repetidamente errores de permiso denegado al intentar realizar cambios en varios métodos y servicios. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Persistencia: Autenticación segura inhabilitada |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Auditoría de administrador |
Se inhabilitó la verificación en dos pasos para la organización. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Persistencia: Verificación en 2 pasos inhabilitada |
2SV_DISABLE
|
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Un usuario inhabilitó la verificación en 2 pasos. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: Usurpación de cuenta inhabilitada |
ACCOUNT_DISABLED_HIJACKED
|
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se suspendió la cuenta de un usuario debido a una actividad sospechosa. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Acceso inicial: Filtrado de contraseña inhabilitada |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: Ataque basado en el Gobierno |
GOV_ATTACK_WARNING
|
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de usuario o una computadora. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Acceso inicial: Intento de compromiso de Log4j | No disponible |
Registros de Cloud Load Balancing: Balanceador de cargas de HTTP de Cloud Nota: Debes habilitar el registro del balanceador de cargas de aplicaciones externo para usar esta regla. |
Se detectaron búsquedas de Java Naming and Directory Interface (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso. Esta regla siempre está activada. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: Acceso sospechoso bloqueado |
SUSPICIOUS_LOGIN
|
Registros de Google Workspace: Auditoría de acceso Permisos: DATA_READ
|
Se detectó y bloqueó un acceso sospechoso a la cuenta de un usuario. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Software malicioso de Log4j: Error de dominio | LOG4J_BAD_DOMAIN |
Registros de Cloud DNS | Se detectó tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una consulta sobre este. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Software malicioso de Log4j: IP incorrecta | LOG4J_BAD_IP |
Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT |
Se detectó tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Software malicioso: dominio incorrecto | MALWARE_BAD_DOMAIN |
Registros de Cloud DNS | Se detectó software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Software malicioso: error de IP | MALWARE_BAD_IP |
Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT |
Se detectó software malicioso basado en una conexión a una dirección IP incorrecta conocida. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Software malicioso: Error de criptominería en un dominio | CRYPTOMINING_POOL_DOMAIN |
Registros de Cloud DNS | Se detectó criptominería basada en una conexión a un dominio de minería conocido o una búsqueda de él. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Software malicioso: Criptominería de IP incorrecta | CRYPTOMINING_POOL_IP |
Registros de flujo de VPC Registros de reglas de firewall Registros de Cloud NAT |
Se detectó criptominería basada en una conexión a una dirección IP de minería conocida. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| El administrador de GCE agregó la clave SSH | GCE_ADMIN_ADD_SSH_KEY |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Compute Engine |
Se modificó el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana). De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Administrador de GCE agregó una secuencia de comandos de inicio | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de Compute Engine |
Se modificó el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana). De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Persistencia: Otorgamiento anómalo de IAM | IAM_ANOMALOUS_GRANT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Este hallazgo incluye subreglas que proporcionan información más específica sobre cada instancia del hallazgo. En la siguiente lista, se muestran todas las subreglas posibles:
|
| Persistencia: Se otorgó un rol sensible a una cuenta no administrada (vista previa) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se otorgó un rol sensible a una cuenta no administrada. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Persistencia: Nuevo método de la API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cuentas de servicio de IAM usaron acceso anómalo a los servicios de Google Cloud . De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Persistencia: Nueva geografía | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Cuentas de usuario y de servicio de IAM a las que se accedió Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes Este hallazgo no está disponible para las activaciones a nivel del proyecto y, de forma predeterminada, se clasifica como de gravedad baja. |
| Persistencia: Usuario-agente nuevo | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se accedió a cuentas de servicio de IAM Google Cloud desde usuarios-agentes anómalos o sospechosos. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Persistencia: Activación o desactivación de SSO |
TOGGLE_SSO_ENABLED
|
Google Workspace: Auditoría de administrador |
Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Persistencia: Configuración de SSO cambiada |
CHANGE_SSO_SETTINGS
|
Google Workspace: Auditoría de administrador |
Se cambió la configuración de SSO para la cuenta de administrador. Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se usó una cuenta de servicio suplantada potencialmente anómala para una actividad administrativa. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se encontró una solicitud delegada anómala de varios pasos para una actividad administrativa. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Escalada de privilegios: Delegación anómala de cuentas de servicio de varios pasos para el acceso a los datos | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a los datos |
Se encontró una solicitud delegada anómala de varios pasos para una actividad de acceso a los datos. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se usó un suplantador o llamador potencialmente anómalo en una cadena de delegación para una actividad administrativa. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Escalada de privilegios: Uso anómalo de identidad temporal como cuenta de servicio para acceso a datos | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a los datos |
Se usó un suplantador o llamador potencialmente anómalo en una cadena de delegación para una actividad de acceso a datos. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Para derivar privilegios, un agente potencialmente malicioso intentó modificar un objeto de
control de acceso basado en roles (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding
del rol sensible
cluster-admin
a través de una solicitud PUT o PATCH. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Un agente potencialmente malicioso creó una
solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, lo que le da acceso de
cluster-admin. De forma predeterminada, los resultados se clasifican como gravedad Alta.
|
| Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Para elevar privilegios, un agente potencialmente malicioso intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol
cluster-admin. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Elevación de privilegios: Obtención de CSR de Kubernetes con credenciales de arranque comprometidas | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Un agente potencialmente malicioso realizó una consulta para una
solicitud de firma de certificado
(CSR), con el comando kubectl, usando credenciales de arranque comprometidas. De forma predeterminada, los resultados se clasifican como gravedad Alta.
|
| Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Un agente potencialmente malicioso creó un Pod que tiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios.
Un contenedor con privilegios tiene el campo |
| Persistencia: Se creó la clave de la cuenta de servicio | SERVICE_ACCOUNT_KEY_CREATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se creó una clave de cuenta de servicio. Las claves de cuentas de servicio son credenciales de larga duración que aumentan el riesgo de acceso no autorizado a los recursos de Google Cloud. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Elevación de privilegios: Se agregó una secuencia de comandos de cierre global | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se agregó una secuencia de comandos de cierre global a un proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Se agregó una secuencia de comandos de inicio global | GLOBAL_STARTUP_SCRIPT_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se agregó una secuencia de comandos de inicio global a un proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Defense Evasion: Se agregó un rol de creador de tokens de cuentas de servicio a nivel de la organización | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se otorgó el rol de IAM de creador de tokens de cuenta de servicio a nivel de la organización. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Defense Evasion: Se agregó un rol de creador de tokens de cuentas de servicio a nivel del proyecto | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se otorgó el rol de IAM de creador de tokens de cuenta de servicio a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Desplazamiento lateral: Ejecución de parche de SO de la cuenta de servicio | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Registros de auditoría de Cloud Registros de auditoría de actividad del administrador de IAM |
Una cuenta de servicio usó la función de parches de Compute Engine para actualizar el sistema operativo de cualquier instancia de Compute Engine en ejecución. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Movimiento lateral: Se modificó el disco de arranque conectado a la instancia (vista previa) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Registros de auditoría de Cloud: Registros de auditoría de Compute Engine |
Se desconectó un disco de arranque de una instancia de Compute Engine y se conectó a otra, lo que podría indicar un intento malicioso de vulnerar el sistema con un disco de arranque modificado. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso a credenciales: Secrets a los que se accedió en el espacio de nombres de Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registros de auditoría de Cloud: Registros de acceso a los datos de GKE |
Una cuenta de servicio accedió a los secretos o a los tokens de la cuenta de servicio en el espacio de nombres actual de Kubernetes. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Desarrollo de recursos: Actividad de distribución de seguridad en infracción | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se manipuló correctamente un recurso Google Cloud a través de pruebas de penetración conocidas o distribuciones de seguridad ofensiva. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Escalada de privilegios: La cuenta de servicio nueva es propietario o editor | SERVICE_ACCOUNT_EDITOR_OWNER |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se creó una cuenta de servicio nueva con roles de editor o propietario para un proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Descubrimiento: Herramienta de recopilación de información usada | INFORMATION_GATHERING_TOOL_USED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se detectó el uso de ScoutSuite. ScoutSuite es una herramienta de auditoría de seguridad en la nube que se sabe que utilizan los agentes de amenazas. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso iam.serviceAccounts.implicitDelegation se usó de forma incorrecta para generar tokens de acceso desde una cuenta de servicio con más privilegios. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Una cuenta de servicio usó el método
serviceAccounts.signJwt
para generar un token de acceso para otra cuenta de servicio. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso de IAM Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Elevación de privilegios: Generación sospechosa de tokens | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso de IAM Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Elevación de privilegios: Uso sospechoso de permisos entre proyectos | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso de IAM Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Comando y control: Tunelización de DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Registros de Cloud DNS | Se detectó el protocolo de enlace de la herramienta de tunelización de DNS Iodine. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Evasión de defensa: Intento de enmascaramiento de ruta de VPC | VPC_ROUTE_MASQUERADE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se crearon manualmente rutas de VPC que se hacían pasar por rutas Google Cloud predeterminadas, lo que permitía el tráfico de salida a direcciones IP externas. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Impacto: Facturación inhabilitada | BILLING_DISABLED_SINGLE_PROJECT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se inhabilitó la facturación de un proyecto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Facturación inhabilitada | BILLING_DISABLED_MULTIPLE_PROJECTS |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se inhabilitó la facturación de varios proyectos en una organización en un período corto. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Bloqueo de alta prioridad de firewall de VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se agregó una regla de firewall de VPC que bloquea todo el tráfico de salida con prioridad 0. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Eliminación de reglas masivas de firewall de VPCNo disponible temporalmente | VPC_FIREWALL_MASS_RULE_DELETION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se borraron de forma masiva reglas de firewall de VPC por cuentas que no son de servicio. Esta regla no está disponible temporalmente. Para supervisar las actualizaciones de tus reglas de firewall, usa los registros de auditoría de Cloud. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: API de servicio inhabilitada | SERVICE_API_DISABLED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se inhabilitó una API de servicio de Google Cloud en un entorno de producción. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Impacto: Se estableció en el máximo el ajuste de escala automático de grupo de instancias administrado | MIG_AUTOSCALING_SET_TO_MAX |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se configuró un grupo de instancias administrado para el ajuste de escala automático máximo. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Descubrimiento: Llamada no autorizada a la API de Service Account | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Una cuenta de servicio realizó una llamada no autorizada a la API entre proyectos. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Evasión de defensa: Sesiones anónimas con acceso de administrador de clústeres | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Se creó un objeto de control de acceso basado en roles (RBAC) ClusterRoleBinding, que agrega el comportamiento root-cluster-admin-binding a los usuarios anónimos. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Persistencia: Nueva ubicación geográfica para el servicio de IA | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cuentas de usuario y de servicio de IAM accedieron a Google Cloud servicios de IA desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes. Este hallazgo no está disponible para las activaciones a nivel del proyecto y, de forma predeterminada, se clasifica como de gravedad baja. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se encontró una solicitud delegada anómala de varios pasos para una actividad administrativa de un servicio de IA. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a los datos |
Se encontró una solicitud delegada anómala de varios pasos para una actividad de acceso a datos de un servicio de IA. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se usó un llamador o suplantador de identidad potencialmente anómalo en una cadena de delegación para una actividad administrativa de un servicio de IA. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Escalada de privilegios: Uso anómalo de identidad temporal como cuenta de servicio para acceso a datos de IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a los datos |
Se usó un suplantador o llamador potencialmente anómalo en una cadena de delegación para una actividad de acceso a datos de un servicio de IA. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se usó una cuenta de servicio suplantada potencialmente anómala para una actividad administrativa de un servicio de IA. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Persistencia: Nuevo método de API de IA |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cuentas de servicio de IAM usaron acceso anómalo a los servicios de Google Cloud IA. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: Actividad de la cuenta de servicio inactiva en el servicio de IA | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una cuenta de servicio administrada por el usuario inactiva activó una acción en los servicios de IA. En este contexto, se considera que una cuenta de servicio está inactiva si no se usó durante más de 180 días. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Acceso inicial: Recurso de GKE anónimo creado desde Internet (vista previa) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE. |
Un recurso fue creado por un usuario de Internet efectivamente anónimo. De forma predeterminada, los resultados se clasifican como de gravedad Alta. |
| Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet (vista previa) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Un recurso fue manipulado por un usuario de Internet eficazmente anónimo. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Escalada de privilegios: Se otorgo acceso al clúster de GKE a usuarios anónimos | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó una vinculación de RBAC que hace referencia a uno de los siguientes usuarios o grupos:
Estos usuarios y grupos son anónimos de manera efectiva y se deben evitar cuando se crean vinculaciones de roles o vinculaciones de roles de clúster a cualquier rol de RBAC. Revisa la vinculación para asegurarte de que sea necesaria. Si la vinculación no es necesaria, quítala. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Ejecución: Ejecución o conexión sospechosas a un Pod del sistema (vista previa) | GKE_SUSPICIOUS_EXEC_ATTACH |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien usó los comandos exec o attach para obtener un shell o
ejecutar un comando en un contenedor que se ejecuta en el espacio de nombres kube-system.
A veces, estos métodos se usan para fines de depuración legítimos. Sin embargo, el espacio de nombres kube-system está destinado a los objetos del sistema creados por Kubernetes, y se debe revisar la ejecución inesperada de comandos o la creación de shells. De forma predeterminada, los resultados se clasifican como de gravedad Media.
|
| Privilege Escalation: Workload Created with a Sensitive Host Path Mount (Preview) | GKE_SENSITIVE_HOSTPATH |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó una carga de trabajo que contiene una activación de volumen hostPath en una ruta de acceso sensible del sistema de archivos del nodo host. Se puede usar el acceso a estas rutas de acceso en el sistema de archivos del host para acceder a información sensible o con privilegios en el nodo y para escapes de contenedores. Si es posible, no permitas ningún volumen de hostPath en tu
clúster. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Privilege Escalation: Carga de trabajo con shareProcessNamespace habilitada (vista previa) | GKE_SHAREPROCESSNAMESPACE_POD |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien implementó una carga de trabajo con la opción shareProcessNamespace establecida en true, lo que permite que todos los contenedores compartan el mismo espacio de nombres de proceso de Linux.
Esto podría permitir que un contenedor no confiable o vulnerado aumente sus privilegios accediendo y controlando variables de entorno, memoria y otros datos sensibles de procesos que se ejecutan en otros contenedores. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Privilege Escalation: ClusterRole with Privileged Verbs (versión preliminar) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó un ClusterRole de RBAC que contiene los verbos bind, escalate o impersonate. Un sujeto vinculado a un rol con estos verbos puede suplantar a otros usuarios con privilegios más altos, vincularse a Roles o ClusterRoles adicionales que contengan permisos adicionales o modificar sus propios permisos de ClusterRole. Esto podría hacer que esos sujetos obtengan privilegios de administrador del clúster. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Elevación de privilegios: ClusterRoleBinding para el rol con privilegios | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó un ClusterRoleBinding de RBAC que hace referencia al system:controller:clusterrole-aggregation-controller predeterminado ClusterRole. Este ClusterRole predeterminado tiene el verbo escalate, que permite que los sujetos modifiquen los privilegios de sus propios roles, lo que permite la elevación de privilegios. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Evasión de defensa: Solicitud de firma de certificado (CSR) borrada manualmente | GKE_MANUALLY_DELETED_CSR |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien borró manualmente una solicitud de firma de certificado (CSR). Un controlador de recolección de basura quita automáticamente los CSR, pero los actores maliciosos pueden borrarlos manualmente para evadir la detección. Si la CSR borrada era para un certificado aprobado y emitido, el agente potencialmente malicioso ahora tiene un método de autenticación adicional para acceder al clúster. Los permisos asociados con el certificado varían según el asunto que incluyan, pero pueden ser muy privilegiados. Kubernetes no admite la revocación de certificados. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso a credenciales: Intento fallido de aprobar la solicitud de firma de certificado (CSR) de Kubernetes | GKE_APPROVE_CSR_FORBIDDEN |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien intentó aprobar manualmente una solicitud de firma de certificado (CSR), pero la acción falló. Crear un certificado para la autenticación del clúster es un método común para que los atacantes creen acceso persistente a un clúster vulnerado. Los permisos asociados con el certificado varían según el asunto que incluyan, pero pueden ser altamente privilegiados. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada de forma manual (versión preliminar) | GKE_CSR_APPROVED |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien aprobó manualmente una solicitud de firma de certificado (CSR). Crear un certificado para la autenticación del clúster es un método común para que los atacantes creen acceso persistente a un clúster vulnerado. Los permisos asociados con el certificado varían según el asunto que incluyan, pero pueden ser altamente privilegiados. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Ejecución: Se creó un Pod de Kubernetes con posibles argumentos de shell inversos | GKE_REVERSE_SHELL_POD |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó un Pod que contiene comandos o argumentos que suelen asociarse con una shell inversa. Los atacantes usan shells inversos para expandir o mantener su acceso inicial a un clúster y ejecutar comandos arbitrarios. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Evasión de defensa: Posible enmascaramiento de Pod de Kubernetes | GKE_POD_MASQUERADING |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien implementó un Pod con una convención de nombres similar a las cargas de trabajo predeterminadas que GKE crea para el funcionamiento normal del clúster. Esta técnica se denomina suplantación. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Elevación de privilegios: Nombres de contenedores de Kubernetes sospechosos: explotación y escape (Vista previa) | GKE_SUSPICIOUS_EXPLOIT_POD |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien implementó un Pod con una convención de nomenclatura similar a las herramientas comunes que se usan para escapar de contenedores o ejecutar otros ataques en el clúster. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Persistencia: Cuenta de servicio creada en un espacio de nombres sensible | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó una cuenta de servicio en un espacio de nombres sensible. Los espacios de nombres kube-system y kube-public son fundamentales para las operaciones del clúster de GKE, y las cuentas de servicio no autorizadas podrían comprometer la estabilidad y la seguridad del clúster. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Impacto: Nombres de contenedores de Kubernetes sospechosos: minería de criptomonedas | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien implementó un Pod con una convención de nomenclatura similar a la de los mineros de criptomonedas comunes. Esto puede ser un intento de un atacante que logró acceso inicial al clúster para usar los recursos del clúster para la minería de criptomonedas. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Ejecución: Se activó la carga de trabajo en el espacio de nombres sensible | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien implementó una carga de trabajo (por ejemplo, un Pod o Deployment) en los espacios de nombres kube-system o kube-public. Estos espacios de nombres
son fundamentales para las operaciones del clúster de GKE, y las cargas de trabajo no autorizadas podrían
comprometer la estabilidad o la seguridad del clúster. De forma predeterminada, los resultados se clasifican como de gravedad Baja.
|
| Ejecución: Se lanzó un contenedor de GKE con capacidad excesiva (vista previa) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó un contenedor con una o más de las siguientes capacidades en un clúster con un contexto de seguridad elevado:
|
| Persistencia: Se detectó la configuración del webhook de GKE | GKE_WEBHOOK_CONFIG_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Se detectó una configuración de webhook en tu clúster de GKE. Los webhooks pueden interceptar y modificar solicitudes a la API de Kubernetes, lo que podría permitir que los atacantes persistan en tu clúster o manipulen recursos. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Evasión de defensa: Se creó el pod estático | GKE_STATIC_POD_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó un pod estático en tu clúster de GKE. Los Pods estáticos se ejecutan directamente en el nodo y omiten el servidor de la API de Kubernetes, lo que dificulta su supervisión y control. Los atacantes pueden usar Pods estáticos para evadir la detección o mantener la persistencia. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: Se realizó correctamente una llamada a la API desde una IP de proxy de TOR | GKE_TOR_PROXY_IP_REQUEST |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Se realizó una llamada a la API correcta a tu clúster de GKE desde una dirección IP asociada a la red Tor. Tor proporciona anonimato, que los atacantes suelen aprovechar para ocultar su identidad. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Acceso inicial: Se creó el servicio NodePort de GKE | GKE_NODEPORT_SERVICE_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien creó un servicio NodePort. Los servicios NodePort exponen los Pods directamente en la dirección IP y el puerto estático de un nodo, lo que hace que se pueda acceder a los Pods desde fuera del clúster. Esto puede generar un riesgo de seguridad importante, ya que podría permitir que un atacante aproveche las vulnerabilidades del servicio expuesto para obtener acceso al clúster o a datos sensibles. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Impacto: Se detectó una modificación de kube-dns de GKE (vista previa) | GKE_KUBE_DNS_MODIFICATION |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE |
Alguien modificó la configuración de kube-dns en tu clúster de GKE. El kube-dns de GKE es un componente fundamental de las redes de tu clúster, y su configuración incorrecta podría provocar una vulneración de seguridad. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
| Impacto: Comandos de criptominería | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Registros de auditoría de Cloud: Registros de auditoría de eventos del sistema de IAM |
Se adjuntaron comandos específicos de criptominería a un trabajo de Cloud Run durante la ejecución. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Ejecución: Imagen de Docker para criptominería | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Registros de auditoría de Cloud: Registros de auditoría de eventos del sistema de IAM |
Se adjuntaron imágenes de Docker específicas conocidas como dañinas a un trabajo o servicio de Cloud Run nuevo o existente. De forma predeterminada, los resultados se clasifican como gravedad Alta. |
| Escalada de privilegios: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se usó la cuenta de servicio predeterminada de Compute Engine para establecer la política de IAM de un servicio de Cloud Run. Esta es una posible acción posterior al exploit cuando se vulnera un token de Compute Engine desde un servicio sin servidores. De forma predeterminada, los resultados se clasifican como de gravedad Baja. |
| Acceso inicial: Acceso exitoso a CloudDB desde la IP del proxy de anonimización | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Registros de auditoría de Cloud:
Registros de acceso a los datos de AlloyDB para PostgreSQL Registros de acceso a los datos de Cloud SQL para PostgreSQL Registros de acceso a los datos de Cloud SQL para MySQL Nota: Debes habilitar el registro de IP en PostgreSQL para usar esta regla en AlloyDB y Postgres. |
Se detectó un acceso exitoso en tu instancia de base de datos desde una dirección IP de anonimización conocida. Esto podría indicar que un atacante obtuvo acceso inicial a tu instancia. De forma predeterminada, los resultados se clasifican como de gravedad Alta. |
| Acceso a credenciales: Error de acceso a CloudDB desde la IP del proxy de anonimización | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Registros de auditoría de Cloud:
Registros de acceso a los datos de AlloyDB para PostgreSQL Registros de acceso a los datos de Cloud SQL para PostgreSQL Registros de acceso a los datos de Cloud SQL para MySQL Nota: Debes habilitar el registro de IP en PostgreSQL para usar esta regla en AlloyDB y Postgres. |
Se detectó un error de acceso en tu instancia de base de datos desde una dirección IP de anonimización conocida. Esto podría indicar que un atacante está intentando acceder sin autorización a tu instancia. De forma predeterminada, los resultados se clasifican como de gravedad Media. |
Módulos personalizados para Event Threat Detection
Además de las reglas de detección integradas, Event Threat Detection proporciona plantillas de módulos que puedes usar para crear reglas de detección personalizadas. Para obtener más información, consulta Descripción general de los módulos personalizados de Event Threat Detection.
Para crear reglas de detección para las que no hay plantillas de módulos personalizadas disponibles, puedes exportar tus datos de registros a BigQuery y, luego, ejecutar consultas de SQL únicas o recurrentes que capturen tus modelos de amenazas.
Cambios no seguros en Grupos de Google
En esta sección, se explica cómo Event Threat Detection usa registros de Google Workspace, registros de auditoría de Cloud y políticas de IAM para detectar cambios no seguros de Grupos de Google. La detección de cambios en los Grupos de Google solo se admite cuando activas Security Command Center a nivel de la organización.
Los clientes deGoogle Cloud pueden usar Grupos de Google para administrar roles y permisos de los miembros de sus organizaciones, o bien aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a los Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todos los roles y los permisos de un grupo, lo que permite que los miembros accedan a recursos y servicios específicos.
Si bien los Grupos de Google son una forma conveniente de administrar el control de acceso a gran escala, pueden representar un riesgo si se agregan usuarios externos fuera de tu organización o dominio a grupos privilegiados, es decir, grupos a los que se les otorgaron funciones o permisos sensibles. Los roles sensibles controlan el acceso a la configuración de seguridad y de red, los registros y la información de identificación personal (PII), y no se recomiendan para los miembros del grupo externo.
En organizaciones grandes, es posible que los administradores no estén al tanto cuando se agreguen miembros externos a grupos privilegiados. Los registros de auditoría de Cloud registran las asignaciones de roles a los grupos, pero esos eventos no contienen información sobre los miembros del grupo, lo que puede ocultar el impacto potencial de algunos cambios en el grupo.
Si compartes tus registros de Google Workspace con Google Cloud, Event Threat Detection supervisa tus transmisiones de registro para detectar miembros nuevos que se agreguen a los Grupos de Google de tu organización. Debido a que los registros se encuentran a nivel de la organización, Event Threat Detection solo puede analizar los registros de Google Workspace cuando activas Security Command Center a nivel de la organización. Event Threat Detection no puede analizar estos registros cuando activas Security Command Center a nivel del proyecto.
Event Threat Detection identifica a los miembros externos del grupo y, mediante los registros de auditoría de Cloud, revisa los roles de IAM de cada grupo afectado para verificar si se les otorgaron roles sensibles. Esa información se usa para detectar los siguientes cambios no seguros en Grupos de Google con privilegios:
- Miembros externos del grupo agregados a grupos con privilegios
- Funciones o permisos sensibles otorgados a grupos con miembros externos del grupo
- Grupos con privilegios que se cambian para permitir que se una a cualquier persona del público general
Event Threat Detection escribe los resultados en Security Command Center. Los resultados contienen las direcciones de correo electrónico de los miembros externos recién agregados, los miembros internos del grupo que inician eventos, los nombres de grupos y los roles sensibles asociadas con grupos. Puedes usar la información para quitar miembros externos de los grupos o revocar funciones sensibles otorgadas a los grupos.
Para obtener más información sobre los resultados de Event Threat Detection, consulta las reglas de Event Threat Detection.
Funciones y permisos confidenciales de IAM
En esta sección, se explica cómo Event Threat Detection define los roles de IAM sensibles. Las detecciones, como la concesión anómala de IAM y los cambios no seguros de Grupos de Google, generan resultados solo si los cambios implican roles de alta o media sensibilidad. La sensibilidad de los roles afecta la calificación de gravedad asignada a los resultados.
- Los roles de alta sensibilidad controlan los servicios críticos en las organizaciones, incluida la facturación, la configuración de firewall y el registro. Los resultados que coinciden con estos roles se clasifican como gravedad Alta.
- Los roles de sensibilidad media tienen permisos de edición que permiten a las principales realizar cambios en los recursos de Google Cloud , así como permisos de visualización y ejecución en servicios de almacenamiento de datos que, a menudo, contienen datos sensibles. La gravedad asignada a los resultados depende del recurso:
- Si se otorgan funciones de sensibilidad media a nivel de la organización, los resultados se clasifican como de gravedad alta.
- Si se otorgan funciones de sensibilidad media a niveles inferiores en la jerarquía de recursos (carpetas, proyectos y buckets, entre otras), los resultados se clasifican como de gravedad media.
Otorgar estos roles sensibles se considera peligroso si el beneficiario es un miembro externo o una identidad anormal, como un principal que ha estado inactivo durante mucho tiempo.
Otorgar roles sensibles a miembros externos crea una amenaza potencial, ya que se pueden usar de forma inadecuada para comprometer cuentas y robo de datos.
Las categorías de búsqueda que usan estos roles sensibles incluyen las siguientes:
- Persistencia: Otorgamiento anómalo de IAM
- Subregla:
external_service_account_added_to_policy - Subregla:
external_member_added_to_policy
- Subregla:
- Elevación de privilegios: Rol sensible otorgado al grupo híbrido
- Escalada de privilegios: Se otorgó un rol sensible a una cuenta de servicio inactiva
Las categorías de búsqueda que usan un subconjunto de los roles sensibles incluyen las siguientes:
- Persistencia: Otorgamiento anómalo de IAM
- Subregla:
service_account_granted_sensitive_role_to_member
- Subregla:
La regla secundaria service_account_granted_sensitive_role_to_member se orienta a los miembros externos e internos en general y, por lo tanto, solo usa un subconjunto de roles sensibles, como se explica en Reglas de Event Threat Detection.
| Categoría | Función | Descripción |
|---|---|---|
| Roles básicos: Contienen miles de permisos en todos los servicios de Google Cloud . | roles/owner |
Funciones básicas |
roles/editor |
||
| Roles de seguridad: Controlan el acceso a la configuración de seguridad | roles/cloudkms.* |
Todos los roles de Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Todos los roles de Web Security Scanner | |
roles/dlp.* |
Todos los roles de Sensitive Data Protection | |
roles/iam.* |
Todos los roles de IAM | |
roles/secretmanager.* |
Todos los roles de Secret Manager | |
roles/securitycenter.* |
Todos los roles de Security Command Center | |
| Funciones de Logging: Controlan el acceso a los registros de una organización | roles/errorreporting.* |
Todos los roles de Error Reporting |
roles/logging.* |
Todos los roles de Cloud Logging | |
roles/stackdriver.* |
Todos los roles de Cloud Monitoring | |
| Funciones de información personal: Controlan el acceso a los recursos que contienen información de identificación personal, incluida la información bancaria y de contacto | roles/billing.* |
Todos los roles de la Facturación de Cloud |
roles/healthcare.* |
Todos los roles de la API de Cloud Healthcare | |
roles/essentialcontacts.* |
Todos los roles de Contactos esenciales | |
| Funciones de herramientas de redes: Controlan el acceso a la configuración de red de una organización | roles/dns.* |
Todos los roles de Cloud DNS |
roles/domains.* |
Todos los roles de Cloud Domains | |
roles/networkconnectivity.* |
Todos los roles de Network Connectivity Center | |
roles/networkmanagement.* |
Todos los roles de Network Connectivity Center | |
roles/privateca.* |
Todos los roles de Certificate Authority Service | |
| Roles de servicio: Controlan el acceso a los recursos de servicio en Google Cloud | roles/cloudasset.* |
Todos Roles de Cloud Asset Inventory |
roles/servicedirectory.* |
Todos los roles del Directorio de servicios | |
roles/servicemanagement.* |
Todos los roles de Service Management | |
roles/servicenetworking.* |
Todos los roles de Service Networking | |
roles/serviceusage.* |
Todos los roles de Service Usage | |
| Roles de Compute Engine: Controlan el acceso a las máquinas virtuales de Compute Engine, que llevan trabajos de larga duración y se asocian con reglas de firewall |
|
Todos los roles de administrador y de editor de Compute Engine |
| Categoría | Función | Descripción |
|---|---|---|
| Roles de edición: Roles de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud |
Ejemplos:
|
Por lo general, los nombres de los roles terminan con títulos como Administrador, Propietario, Editor o Escritor. Expande el nodo en la última fila de la tabla para ver Todos los roles de sensibilidad media |
| Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos |
Ejemplos:
|
Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media. |
|
Todos los roles de sensibilidad media
Servicio administrado para Microsoft Active Directory
Supervisión de configuración de operaciones
Servicio de políticas de la organización
Administración de consumidores de servicios
Servicio de transferencia de almacenamiento
Notebooks administrados por el usuario de Vertex AI Workbench
|
||
Tipos de registros y requisitos de activación
En esta sección, se enumeran los registros que usa Event Threat Detection, junto con las amenazas que Event Threat Detection busca en cada registro y lo que debes hacer, si es que debes hacer algo, para activar cada registro.
Solo debes activar un registro para Event Threat Detection si se cumplen todas las siguientes condiciones:
- Estás usando el producto o servicio que escribe en el registro.
- Debes proteger el producto o servicio contra las amenazas que Event Threat Detection detecta en el registro.
- El registro es un registro de auditoría de acceso a los datos o algún otro registro que está desactivado de forma predeterminada.
Algunas amenazas se pueden detectar en varios registros. Si Event Threat Detection puede detectar una amenaza en un registro que ya está activado, no es necesario que actives otro registro para detectar la misma amenaza.
Si un registro no aparece en esta sección, Event Threat Detection no lo analizará, incluso si está activado. Para obtener más información, consulta Análisis de registros potencialmente redundantes.
Como se describe en la siguiente tabla, algunos tipos de registros solo están disponibles a nivel de la organización. Si activas Security Command Center a nivel del proyecto, Event Threat Detection no analiza estos registros ni genera resultados.
Fuentes de registros fundamentales
Event Threat Detection usa fuentes de datos fundamentales para detectar actividades potencialmente maliciosas en tu red.
Si habilitas Event Threat Detection sin los registros de flujo de VPC, Event Threat Detection comenzará de inmediato a analizar un flujo interno, duplicado e independiente de los registros de flujo de VPC. Para investigar más a fondo un hallazgo existente de Event Threat Detection, debes habilitar los registros de flujo de VPC y navegar manualmente al Explorador de registros y al Analizador de flujo. Si habilitas los registros de flujo de VPC en una fecha posterior, solo los hallazgos futuros contendrán los vínculos pertinentes para una mayor investigación.
Si habilitas la Detección de eventos de amenazas con los registros de flujo de VPC, la Detección de eventos de amenazas comenzará de inmediato a analizar los registros de flujo de VPC en tu implementación y proporcionará vínculos al Explorador de registros y al Analizador de flujo para ayudarte a investigar más a fondo.
Registros para la detección de software malicioso en la red
Event Threat Detection puede proporcionar detección de software malicioso en la red analizando cualquiera de los siguientes registros:
- Registro de Cloud DNS
- Registro de Cloud NAT
- Registro de reglas de firewall
- Registros de flujo de VPC
No es necesario que habilites más de uno de los registros de Cloud NAT, los registros de reglas de firewall o los registros de flujo de VPC.
Si ya usas el registro de Cloud DNS, Event Threat Detection puede detectar software malicioso con la resolución de dominios. Para la mayoría de los usuarios, los registros de Cloud DNS son suficientes para la detección de software malicioso en la red.
Si necesitas otro nivel de visibilidad más allá de la resolución de dominio, puedes activar los registros de flujo de VPC, pero estos pueden generar costos. Para administrar estos costos, te recomendamos que aumentes el intervalo de agregación a 15 minutos y que reduzcas la tasa de muestreo a entre el 5% y el 10%, pero existe una compensación entre la recuperación (mayor muestra) y la administración de costos (menor tasa de muestreo). Para obtener más información, consulta Muestreo y procesamiento de registros.
Si ya usas el registro de reglas de firewall o el registro de Cloud NAT, estos registros son útiles en lugar de los registros de flujo de VPC.
Datos de registro admitidos y amenazas detectadas
En esta sección, se enumeran los registros de Cloud Logging y Google Workspace que puedes activar o configurar de otro modo para aumentar la cantidad de amenazas que puede detectar Event Threat Detection.
En la mayoría de los registros de auditoría, se pueden encontrar ciertas amenazas, como las que plantea la suplantación o delegación anómala de una cuenta de servicio. Para estos tipos de amenazas, debes determinar qué registros necesitas activar según los productos y servicios que usas.
En la siguiente tabla, se muestran los registros específicos que puedes habilitar y el tipo de amenazas que se pueden detectar.
| Tipo de registro | Amenazas detectadas | Configuración obligatoria |
|---|---|---|
| Registro de Cloud DNS |
|
Activa el registro de Cloud DNS
Consulta también Registros para la detección de software malicioso en la red. |
| Registro de Cloud NAT |
|
Activa el registro de Cloud NAT
Consulta también Registros para la detección de malware en la red. |
| Registro de reglas de firewall |
|
Activa el registro de reglas de firewall
Consulta también Registros para la detección de malware en la red. |
| Registros de auditoría de acceso a los datos de Google Kubernetes Engine (GKE) |
|
Activa los registros de auditoría de acceso a los datos de Logging para GKE |
| Registros de auditoría del administrador de Google Workspace |
|
Comparte los registros de auditoría de administrador de Google Workspace con Cloud Logging Este tipo de registro no se puede analizar en las activaciones a nivel del proyecto. |
| Registros de auditoría de acceso a Google Workspace |
|
Comparte los registros de auditoría de acceso a Google Workspace con Cloud Logging Este tipo de registro no se puede analizar en las activaciones a nivel del proyecto. |
| Registros del servicio de backend del balanceador de cargas de aplicaciones externo | Initial Access: Log4j Compromise Attempt |
Activa el registro del balanceador de cargas de aplicaciones externo |
| Registros de auditoría de acceso a los datos de MySQL en Cloud SQL |
|
Activa los registros de auditoría de acceso a los datos de Logging para Cloud SQL para MySQL |
| Registros de auditoría de acceso a los datos de Cloud SQL para PostgreSQL |
|
|
| Registros de auditoría de acceso a los datos de AlloyDB para PostgreSQL |
|
|
| Registros de auditoría de acceso a los datos de IAM |
Discovery: Service Account Self-Investigation
|
Activa los registros de auditoría de acceso a los datos de Logging para Resource Manager |
| Registros de auditoría de acceso a los datos de SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Activa el registro de los registros de auditoría de acceso a los datos para Cloud SQL para SQL Server |
| Registros de auditoría de acceso a los datos genéricos |
|
Activa los registros de auditoría de acceso a los datos de registro. |
| authlogs/authlog en máquinas virtuales | Brute force SSH |
Instala el agente de operaciones o el agente de Logging heredado en tus hosts de VM. |
| Registros de flujo de VPC |
|
Activa los registros de flujo de VPC
Consulta también Registros para la detección de malware en la red. |
Registros que siempre están activados
En la siguiente tabla, se enumeran los registros de Cloud Logging que no necesitas activar ni configurar. Estos registros siempre están activados y Event Threat Detection los analiza automáticamente.
| Tipo de registro | Amenazas detectadas | Configuración obligatoria |
|---|---|---|
| Registros de acceso a los datos de BigQueryAuditMetadata |
Robo de datos: Robo de datos de BigQuery Robo de datos: Extracción de datos de BigQuery Robo de datos: datos de BigQuery en Google Drive Robo de datos: Transferencia a un recurso público de BigQuery (vista previa) |
Ninguno |
| Registros de auditoría de actividad del administrador de Google Kubernetes Engine (GKE) |
Acceso a credenciales: Intento fallido de aprobar la solicitud de firma de certificado (CSR) de Kubernetes Acceso a credenciales: Solicitud de firma de certificado (CSR) de Kubernetes aprobada de forma manual (versión preliminar) Evasión de defensa: Sesiones anónimas con acceso de administrador de clústeres Evasión de defensa: Solicitud de firma de certificado (CSR) borrada manualmente Evasión de defensa: Posible enmascaramiento de Pod de Kubernetes Evasión de defensa: Se creó el pod estático Ejecución: Se lanzó un contenedor de GKE con capacidad excesiva (vista previa) Ejecución: Se creó un Pod de Kubernetes con posibles argumentos de shell inversos Ejecución: Ejecución o conexión sospechosas a un Pod del sistema (vista previa) Ejecución: Se activó la carga de trabajo en el espacio de nombres sensible Impacto: Se detectó una modificación de kube-dns de GKE (vista previa) Impacto: Nombres de contenedores de Kubernetes sospechosos: minería de criptomonedas Acceso inicial: Recurso de GKE anónimo creado desde Internet (vista previa) Acceso inicial: Se creó el servicio NodePort de GKE Acceso inicial: Recurso de GKE modificado de forma anónima desde Internet (vista previa) Acceso inicial: Se realizó correctamente una llamada a la API desde una IP de proxy de TOR Persistencia: Se detectó la configuración del webhook de GKE Persistencia: Cuenta de servicio creada en un espacio de nombres sensible Elevación de privilegios: Cambios en los objetos RBAC sensibles de Kubernetes Elevación de privilegios: ClusterRole con verbos privilegiados (versión preliminar) Elevación de privilegios: ClusterRoleBinding para el rol con privilegios Elevación de privilegios: Creación de una CSR de Kubernetes para el certificado principal Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles Escalada de privilegios: Se otorgó acceso al clúster de GKE a usuarios anónimos Elevación de privilegios: Lanzamiento de un contenedor Kubernetes privilegiado Elevación de privilegios: Nombres de contenedores de Kubernetes sospechosos: explotación y escape (vista previa) Privilege Escalation: Carga de trabajo creada con una activación de ruta de acceso del host sensible (vista previa) Privilege Escalation: Carga de trabajo con shareProcessNamespace habilitada (Vista previa) |
Ninguno |
| Registros de auditoría de actividad del administrador de IAM |
Persistencia: Otorgamiento anómalo de IAM (vista previa) Persistencia: Cuenta no administrada con rol sensible Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy Escalada de privilegios: Se otorgó un rol sensible a una cuenta de servicio inactiva Escalada de privilegios: Se otorgó el rol de suplantación de identidad para la cuenta de servicio inactiva Elevación de privilegios: Rol sensible otorgado al grupo híbrido |
Ninguno |
| Registros de actividad del administrador de MySQL | Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Ninguno |
| Registros de actividad del administrador de PostgreSQL | Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Ninguno |
| Registros de actividad del administrador de SQL Server | Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa | Ninguno |
| Registros de auditoría de actividad del administrador genéricos |
Evasión de defensa: Se modificó la filtración de IP del bucket de GCS Evasión de defensa: Se inhabilitó el bloqueo de la política HTTP del proyecto Acceso inicial: Acción de cuenta de servicio inactiva Acceso inicial: Actividad de la cuenta de servicio inactiva en el servicio de IA Acceso inicial: Se creó la clave de cuenta de servicio inactiva Acceso inicial: Acciones denegadas de permisos excesivos Acceso inicial: Se usó una clave de cuenta de servicio filtrada Movimiento lateral: Se modificó el disco de arranque conectado a la instancia (versión preliminar) El administrador de GCE agregó la clave SSH Administrador de GCE agregó una secuencia de comandos de inicio Persistencia: Nuevo método de API de IA Persistencia: Nuevo método de API Persistencia: Nueva geografía Persistencia: Nueva ubicación geográfica para el servicio de IA Persistencia: Usuario-agente nuevo Escalada de privilegios: Suplantación de identidad anómala de la cuenta de servicio para la actividad del administrador Escalada de privilegios: Uso anómalo de identidad temporal como cuenta de servicio para actividades de administrador de IA Escalada de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador Escalada de privilegios: Delegación anómala de cuentas de servicio de varios pasos para actividades de administrador de IA Escalada de privilegios: Uso anómalo de identidad temporal como cuenta de servicio para actividades de administrador Escalada de privilegios: Uso anómalo de identidad temporal como cuenta de servicio para actividades de administrador de IA |
Ninguno |
| Registros de auditoría de los Controles del servicio de VPC | Defense Evasion: Modifica el Control de servicios de VPC (vista previa) | Ninguno |
| Registros de auditoría de actividad del administrador de copia de seguridad y DR |
Impacto: Backup and DR de Google Cloud vence todas las imágenes Impacto: Se borró la copia de seguridad de Backup and DR de Google Cloud Impacto: Se borró el host de Backup and DR de Google Cloud Impacto: Se borró la asociación del plan de Backup and DR de Google Cloud Impacto: Se borró la bóveda de Backup and DR de Google Cloud Impacto: Política de eliminación de Backup and DR de Google Cloud Impacto: Perfil de eliminación de la DR de la copia de seguridad de Google Cloud Impacto: Plantilla de eliminación de Backup and DR de Google Cloud Impacto: Imagen de vencimiento de la DR de la copia de seguridad de Google Cloud Impacto: Backup and DR de Google Cloud reduce el vencimiento de las copias de seguridad Impacto: Backup and DR de Google Cloud reduce la frecuencia de las copias de seguridad Impacto: Quitar dispositivo de la DR de la copia de seguridad de Google Cloud Impacto: Se quitará el plan de Backup and DR de Google Cloud Inhibir la recuperación del sistema: Backup and DR de Google Cloud borra el grupo de almacenamiento |
Ninguno |
| Registros de auditoría de eventos del sistema de IAM |
Ejecución: Imagen de Docker para criptominería Impacto: Comandos de criptominería |
Ninguno |
¿Qué sigue?
- Obtén más información para usar Event Threat Detection.
- Obtén información para investigar y desarrollar planes de respuesta para las amenazas.