Descripción general de Event Threat Detection

>

¿Qué es Event Threat Detection?

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa tu organización de forma continua y que identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.

Cómo funciona Event Threat Detection

Event Threat Detection supervisa la transmisión de Cloud Logging y los registros de Google Workspace de tu organización, y consume registros para tus proyectos a medida que están disponibles. Cloud Logging contiene entradas de registro de las llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace realizan un seguimiento de los accesos de los usuarios a tu dominio y proporcionan un registro de las acciones realizadas en la Consola del administrador de Google Workspace.

Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentada, incluida la coincidencia de indicador de tripwire, la generación de perfiles con ventanas, la generación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.

Cuando Event Threat Detection detecta una amenaza, escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar los hallazgos a otros sistemas con Pub/Sub y procesarlos con Cloud Functions.

La capacidad para ver y editar hallazgos y registros se determina mediante las funciones de administración de identidades y accesos (IAM). Para obtener más información sobre las funciones de IAM de Security Command Center, consulta Control de acceso.

Reglas de Event Threat Detection

Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos.

Event Threat Detection incluye las siguientes reglas predeterminadas:

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Robo de datos: Robo de datos de BigQuery data_exfiltration_big_query Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ
Detecta las siguientes situaciones:

  • Recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia.
  • Intentos de acceso a recursos de BigQuery protegidos por los Controles del servicio de VPC.
Software malicioso: error de dominio malware_bad_domain Registros de Cloud DNS:
Registro de actividad del administrador
Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP malware_bad_ip Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Criptominería: dominio de grupo cryptomining_pool_domain Registros de Cloud DNS:
Registros de actividad del administrador
Detección de criptominería basada en una conexión de, o una búsqueda de, un dominio de minería conocido
Criptominería: IP de grupo cryptomining_pool_ip Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de criptominería basada en una conexión a una dirección IP de minería conocida
Ataques de fuerza bruta a SSH brute_force_ssh syslog Detección de fuerza bruta SSH exitosa en un host
DoS Salientes outgoing_dos Registros de flujo de VPC Detección del tráfico saliente de denegación del servicio
Persistencia: Otorgamiento anómalo de IAM iam_anomalous_grant Registros de auditoría de Cloud:
Registros de actividad del administrador

Detección de privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Nota: Este resultado solo se activa para los usuarios de Security Command Center con una dirección de correo electrónico de gmail.com.

Funciones sensibles Vista previa

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de las funciones otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Persistencia: Nueva geografía iam_anomalous_behavior_ip_geolocation Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes
Persistencia: Usuario-agente nuevo iam_anomalous_behavior_user_agent Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos.
Descubrimiento: Autoinvestigación de cuentas de servicio service_account_self_investigation Registros de auditoría de Cloud:
Registros de acceso a datos de Resource Manager
Permisos:
DATA_READ

La detección de una credencial de cuenta de servicio de IAM que se usa para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.

Funciones sensibles Vista previa

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de las funciones otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Persistencia: Llave SSH agregada al administrador de Compute Engine Vista previa gce_admin_add_ssh_key Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de una modificación en el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Persistence: Se agregó la secuencia de comandos de inicio de administrador de Compute Engine Vista previa gce_admin_add_startup_script Registros de auditoría de Cloud:
Registros de actividad del administrador
La detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Acceso a las credenciales: riesgo de unión de grupo privilegiado
Vista previa
privileged_group_opened_to_public Google Workspace:
Auditoría de administrador
Permisos:
DATA_READ

Detecta cuándo se cambia un Grupo de Google privilegiado (un grupo al que se le otorgan funciones o permisos sensibles) para que sea público. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican con gravedad Alta o Media, según la sensibilidad de las funciones asociadas con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Persistencia: Otorgamiento de grupo anómalo de IAM
Vista previa
sensitive_role_to_group_with_external_member Registros de auditoría de Cloud:
Registros de actividad del administrador

Detecta cuándo las funciones sensibles se otorgan a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en el Grupo de Google.

Los resultados se clasifican con gravedad Alta o Media, según la sensibilidad de las funciones asociadas con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Acceso a las credenciales: Miembro externo en grupo privilegiado
Vista previa
external_member_added_to_privileged_group Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ

Detecta cuándo se agrega un miembro externo a un Grupo de Google privilegiado (un grupo al que se le otorgan funciones o permisos sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios no seguros en Grupos de Google.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de las funciones asociadas con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Acceso inicial: Filtrado de contraseña inhabilitada account_disabled_password_leak Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Se inhabilitó la cuenta de un miembro porque se detectó un filtrado de contraseñas.
Acceso inicial: Acceso sospechoso bloqueado suspicious_login Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Se detectó y bloqueó un acceso sospechoso a la cuenta de un miembro.
Acceso inicial: Usurpación de cuenta inhabilitada account_disabled_hijacked Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Se suspendió la cuenta de un miembro debido a una actividad sospechosa.
Inhabilita las defensas: Verificación en dos pasos inhabilitada 2sv_disable Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Un miembro inhabilitó la verificación en dos pasos.
Acceso inicial: Ataque basado en el Gobierno gov_attack_warning Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Es posible que atacantes respaldados por algún Gobierno hayan intentado vulnerar una cuenta de miembro o una computadora.
Persistencia: Activación o desactivación de SSO toggle_sso_enabled Google Workspace
Auditoría del administrador
Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.
Persistencia: Configuración de SSO cambiada change_sso_settings Google Workspace
Auditoría del administrador
Se cambió la configuración de SSO para la cuenta de administrador.
Inhabilita las defensas: Autenticación segura inhabilitada enforce_strong_authentication Google Workspace
Auditoría del administrador
Se inhabilitó la verificación en dos pasos para la organización.

Para crear reglas de detección personalizadas, puedes exportar tus datos de registros en BigQuery y, luego, ejecutar consultas de SQL únicas o recurrentes que capturen tus modelos de amenaza.

Cambios no seguros en Grupos de Google

En esta sección, se explica cómo Event Threat Detection usa los registros de Google Workspace, Cloud Audit Logging y las políticas de IAM para detectar cambios no seguros en Grupos de Google.

Los clientes de Google Cloud pueden usar Grupos de Google para administrar funciones y permisos de los miembros de sus organizaciones o aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todas las funciones y los permisos de un grupo, lo que les permite acceder a recursos y servicios específicos.

Si bien los Grupos de Google son una forma conveniente de administrar el control de acceso a gran escala, pueden representar un riesgo si se agregan usuarios externos que no pertenecen a tu organización o dominio a grupos privilegiados, es decir, grupos otorgaste funciones o permisos sensibles. Las funciones sensibles controlan el acceso a la configuración de seguridad y red, los registros y la información de identificación personal (PII), y no se recomiendan para miembros externos del grupo.

En organizaciones grandes, es posible que los administradores no estén al tanto cuando se agreguen miembros externos a grupos privilegiados. Los registros de auditoría de Cloud registran las asignaciones de funciones a los grupos, pero esos eventos no contienen información sobre los miembros del grupo, lo que puede ocultar el impacto potencial de algunos cambios en el grupo.

Si compartes tus registros de Google Workspace con Google Cloud, Event Threat Detection supervisa las transmisiones de registro de los miembros nuevos que se agregan a los Grupos de Google de tu organización.

Event Threat Detection identifica a los miembros externos del grupo y, mediante los registros de auditoría de Cloud, revisa las funciones de IAM de cada grupo afectado para verificar si se les otorgaron funciones sensibles. Esa información se usa con el fin de detectar los siguientes cambios no seguros para grupos de Google privilegiados:

  • Miembros externos del grupo agregados a grupos privilegiados
  • Funciones o permisos sensibles otorgados a grupos con miembros externos del grupo
  • Grupos con privilegios que se cambian para permitir que cualquier persona del público general se una

Event Threat Detection escribe los hallazgos en Security Command Center. Los resultados contienen las direcciones de correo electrónico de los miembros externos recién agregados, los miembros internos del grupo que inician eventos, los nombres de grupos y las funciones sensibles asociadas con los grupos. Puedes usar la información para quitar miembros externos de los grupos o revocar funciones sensibles otorgadas a los grupos.

Para obtener más información sobre los resultados de Event Threat Detection, consulta las reglas de Event Threat Detection.

Funciones y permisos confidenciales de IAM

Los cambios no seguros del Grupo de Google generan hallazgos solo si los cambios implican funciones de alta o media sensibilidad. La sensibilidad de las funciones afecta la calificación de gravedad que se asigna a los hallazgos.

  • Las funciones de alta sensibilidad controlan los servicios críticos en las organizaciones, incluida la facturación, la configuración de firewall y el registro. Los resultados que coinciden con estas funciones se clasifican como gravedad Alta.
  • Las funciones de sensibilidad media tienen permisos de edición que permiten a los principales realizar cambios en los recursos de Google Cloud. y visualizar y ejecutar permisos en servicios de almacenamiento de datos que generalmente contienen datos sensibles. La gravedad asignada a los resultados depende del recurso:
    • Si se otorgan funciones de sensibilidad media a nivel de la organización, los resultados se clasifican comoAlta gravedad.
    • Si las funciones de sensibilidad media se otorgan en niveles inferiores en la jerarquía de recursos (carpetas, proyectos y depósitos, entre otros), los resultados se clasifican como gravedad Media.

Event Threat Detection detecta los cambios no seguros del Grupo de Google que coinciden con las siguientes funciones de alta y media sensibilidad.

Tabla 1: Funciones de alta sensibilidad
Categoría Función Descripción
Funciones básicas: Incluyen miles de permisos en todos los servicios de Google Cloud. roles/owner Funciones básicas
roles/editor
Funciones de seguridad: Controla el acceso a la configuración de seguridad roles/cloudkms.* Todas las funciones de Cloud Key Management Service
roles/cloudsecurityscanner.* Todas las funciones de Web Security Scanner
roles/dlp.* Todas las funciones de Cloud Data Loss Prevention
roles/iam.* Todas las funciones de IAM
roles/secretmanager.* Todas las funciones de Secret Manager
roles/securitycenter.* Todas las funciones de Security Command Center
Funciones de Logging: Controlan el acceso a los registros de una organización roles/errorreporting.* Todas las funciones de Error Reporting
roles/logging.* Todas las funciones de Cloud Logging
roles/stackdriver.* Todas las funciones de Cloud Monitoring
Funciones de información personal: Controlan el acceso a los recursos que contienen información de identificación personal, incluida la información bancaria y de contacto roles/billing.* Todas las funciones de la Facturación de Cloud
roles/healthcare.* Todas las funciones de la API de Cloud Healthcare
roles/essentialcontacts.* Todas las funciones de contactos esenciales
Funciones de herramientas de redes: Controlan el acceso a la configuración de red de una organización roles/dns.* Todas las funciones de Cloud DNS
roles/domains.* Todas las funciones de Cloud Domains
roles/networkconnectivity.* Todas las funciones de Network Connectivity Center
roles/networkmanagement.* Todas las funciones de Network Connectivity Center
roles/privateca.* Todas las funciones de Certificate Authority Service
Funciones de servicio: Controlan el acceso a los recursos de servicio en Google Cloud roles/cloudasset.* Todas las funciones de Cloud Asset Inventory
roles/servicedirectory.* Todas las Funciones del Directorio de servicios
roles/servicemanagement.* Todas las funciones de Service Management
roles/servicenetworking.* Todas las funciones de Herramientas de redes de servicio
roles/serviceusage.* Todas las Funciones de Service Usage
Funciones de Compute Engine: Controlan el acceso a las máquinas virtuales de Compute Engine, que llevan trabajos de larga duración y se asocian con reglas de firewall

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Todas las funciones de administrador y editor de Compute Engine
Tabla 2: Funciones de sensibilidad media
Categoría Función Descripción
Funciones de edición: funciones de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud

Ejemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Por lo general, los nombres de las funciones terminan con títulos como Administrador, Propietario, Editor o Escritor.

Expande el nodo en la última fila de la tabla para ver Todas las funciones de sensibilidad media.

Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos

Ejemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Expande el nodo en la última fila de la tabla para ver Todas las funciones de sensibilidad media.
Todas las funciones de sensibilidad media

Aprobación de acceso
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Acciones
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API Gateway
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorización binaria
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Container Analysis
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Servicio administrado para Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore for Redis
roles/redis.admin
roles/redis.editor

Notebooks
roles/notebooks.admin
roles/notebooks.legacyAdmin

On-Demand Scanning API
roles/ondemandscanning.admin

Supervisión de configuración de operaciones
roles/opsconfigmonitoring.resourceMetadata.writer

Servicio de políticas de la organización
roles/axt.admin
roles/orgpolicy.policyAdmin

Otras funciones
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Proximity Beacon
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recomendaciones IA
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recomendador
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Configuración de recursos
roles/resourcesettings.admin

Acceso a VPC sin servidores
roles/vpcaccess.admin

Administración de consumidores de servicios
roles/serviceconsumermanagement.tenancyUnitsAdmin

Servicio de transferencia de almacenamiento
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Workflows
roles/workflows.admin
roles/workflows.editor

Tipos de registros

Event Threat Detection se basa en registros generados por Google Cloud y Google Workspace. La mayoría de los registros están desactivados de forma predeterminada, lo que te permite decidir qué registros se deben generar y qué productos pueden acceder a ellos. Sin embargo, para usar Event Threat Detection, debes activar los registros en la organización, las carpetas y los proyectos en los que quieres que Event Threat Detection tenga una visibilidad completa.

Event Threat Detection consume de forma automática los registros de actividad del administrador, que son parte de los registros de auditoría de Cloud. No es necesario que configures los registros de actividad del administrador, ya que se generan de forma automática.

Además, Event Threat Detection funciona mejor cuando activas registros adicionales, que el servicio usa para detectar amenazas específicas. Para habilitar los registros de cada una de las siguientes fuentes, usa las siguientes guías:

Los registros de auditoría de Google Workspace se habilitan y mantienen en tu entorno de Google Workspace. Sin embargo, debes compartirlas con Google Cloud para que Event Threat Detection tenga acceso y detecte las amenazas de Google Workspace. Para obtener instrucciones sobre cómo compartir registros de Google Workspace, consulta las siguientes guías:

¿Qué sigue?