Resumen conceptual de Event Threat Detection

¿Qué es Event Threat Detection?

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa tu organización de forma continua y que identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.

Cómo funciona Event Threat Detection

Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización y consume registros para uno o más proyectos a medida que están disponibles. Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentadas a la información detallada contenida en los registros. Cuando Event Threat Detection detecta una amenaza, escribe un resultado en Security Command Center y en un proyecto de Cloud Logging.

Desde Cloud Logging, puedes exportar resultados a otros sistemas con Pub/Sub y procesarlos con Cloud Functions.

Reglas

Las reglas definen el tipo de amenazas que detecta Event Threat Detection. Actualmente, Event Threat Detection incluye las siguientes reglas predeterminadas:

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Robo de datos a tabla externa org_exfiltration Cloud Audit Logs Detección de recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia.
Incumplimiento del perímetro de VPC vpc_perimeter_violation Cloud Audit Logs Detección de intentos para acceder a recursos de BigQuery que los Controles del servicio de VPC protegen.
Software malicioso: error de dominio malware_bad_domain Registro de flujo de la nube privada virtual (VPC)
Registro de Cloud DNS
Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP malware_bad_ip Registro de flujo de VPC
Registro de reglas de firewall
Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Criptominería: dominio de grupo cryptomining_pool_domain Registro de flujo de VPC
Registro de Cloud DNS
Detección de criptominería basada en una conexión de, o una búsqueda de, un dominio de minería conocido
Criptominería: IP de grupo cryptomining_pool_ip Registro de flujo de VPC
Registro de reglas de firewall
Detección de criptominería basada en una conexión a una dirección IP de minería conocida
Ataques de fuerza bruta a SSH brute_force_ssh syslog Detección de fuerza bruta SSH exitosa en un host
DoS Salientes outgoing_dos Registro de flujo de VPC Detección del tráfico saliente de denegación del servicio
IAM: otorgamiento anómalo iam_anomalous_grant Cloud Audit Logs Detección de privilegios otorgados a usuarios y cuentas de servicio de la administración de identidades y accesos (IAM) que no son miembros de la organización. Nota: Por el momento, este resultado solo se activa para los usuarios de Security Command Center con una dirección de correo electrónico de gmail.com.

Para crear reglas de detección personalizadas, puedes almacenar tus datos de registros en BigQuery y, luego, ejecutar consultas de SQL únicas o recurrentes que capturen tus modelos de amenaza.

Tipos de registros

La Detección de eventos de amenazas se basa en los registros que genera Google Cloud. Los registros están desactivados de manera predeterminada, lo que te permite decidir qué registros se deben generar y qué productos pueden acceder a ellos. Sin embargo, para usar Event Threat Detection, debes activar los registros de tu organización, carpetas y proyectos en los que quieres que Event Threat Detection tenga visibilidad completa.

Actualmente, Event Threat Detection consume registros de las siguientes fuentes de Google Cloud. Sigue las instrucciones que aparecen en los vínculos a continuación para habilitar los registros de cada fuente.

Activa los registros de flujo de la nube privada virtual

Event Threat Detection analiza los registros de flujo de la nube privada virtual (VPC) en busca de software malicioso, suplantación de identidad, criptografía, DSD salientes y detección de análisis de puertos de salida. Event Threat Detection funciona mejor cuando el registro de flujo de VPC está activo. Obtén más información sobre los registros de flujo de VPC.

Event Threat Detection funciona mejor con intervalos de agregación breves y muestras frecuentes. Si estableces tasas de muestreo más bajas o intervalos de agregación más largos, puede haber un retraso entre el caso y la detección de un evento. Esto puede dificultar la evaluación de posibles aumentos de tráfico potencial de software malicioso, criptominería o suplantación de identidad (phishing).

Activa registros de Cloud DNS

Event Threat Detection analiza los registros de DNS en busca de software malicioso, suplantación de identidad (phishing) y detección de criptominería. Event Threat Detection funciona mejor cuando el registro de Cloud DNS está activo. Obtén más información sobre los registros de Cloud DNS.

¿Qué sigue?