Descripción general de Event Threat Detection

¿Qué es Event Threat Detection?

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa tu organización de forma continua y que identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.

Cómo funciona Event Threat Detection

Event Threat Detection supervisa la transmisión de Cloud Logging y los registros de Google Workspace de tu organización, y consume registros para tus proyectos a medida que están disponibles. Cloud Logging contiene entradas de registro de las llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace rastrean los accesos de los usuarios a tu dominio y proporcionan un registro de las acciones realizadas en la Consola del administrador de Google Workspace.

Las entradas de registro contienen información de estado y eventos que usa Event Threat Detection para detectar con rapidez las amenazas. Event Threat Detection aplica la lógica de detección y la inteligencia de amenazas patentada, incluida la coincidencia de indicador de tripwire, la generación de perfiles con ventanas, la generación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.

Cuando Event Threat Detection detecta una amenaza, escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar los hallazgos a otros sistemas con Pub/Sub y procesarlos con Cloud Functions.

Además, puedes usar Chronicle para investigar algunos resultados. Chronicle es un servicio de Google Cloud que te permite investigar amenazas y alternar por entidades relacionadas en un cronograma unificado. Para obtener instrucciones sobre cómo enviar los resultados a Chronicle, consulta Investiga los resultados en Chronicle.

La capacidad para ver y editar hallazgos y registros se determina mediante los roles de administración de identidades y accesos (IAM). Para obtener más información sobre los roles de IAM de Security Command Center, consulta Control de acceso.

Reglas de Event Threat Detection

Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos.

Event Threat Detection incluye las siguientes reglas predeterminadas:

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Análisis activo: Log4j es vulnerable a RCE No disponible Registros de Cloud DNS
Nota: Debes usar habilitar el registro de Cloud DNS para usar esta regla.
Detecta vulnerabilidades activas de Log4j mediante la identificación de consultas de DNS para dominios sin ofuscar que iniciaron los analizadores de vulnerabilidades de Log4j admitidos.
Ataques de fuerza bruta a SSH BRUTE_FORCE_SSH syslog Detección de fuerza bruta SSH exitosa en un host
Acceso a la credencial: Se agregó un miembro externo al grupo con privilegios EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ

Detecta cuando se agrega un miembro externo a un Grupo de Google con privilegios (un grupo de permisos o funciones sensibles). Un resultado se genera solo si el grupo aún no contiene otros miembros externos de la misma organización que el miembro recién agregado. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Acceso a las credenciales: Grupo privilegiado abierto al público PRIVILEGED_GROUP_OPENED_TO_PUBLIC Google Workspace:
Auditoría de administrador
Permisos:
DATA_READ

Detecta cuando un Grupo de Google con privilegios (un grupo al que se le otorgan funciones o permisos sensibles) se cambia para que sea accesible al público en general. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Acceso a las credenciales: Función sensible otorgada al grupo híbrido SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER Registros de auditoría de Cloud:
Registros de actividad del administrador

Detecta cuándo los roles sensibles se otorgan a un Grupo de Google con miembros externos. Para obtener más información, consulta Cambios en Grupos de Google no seguros.

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles asociados con el cambio de grupo. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Defense Evasion: Modifica el Control de servicios de VPC DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL Registros de auditoría de Cloud Registros de auditoría de VPC Detecta un cambio en un perímetro de los Controles del servicio de VPC existente que generaría una reducción en la protección que ofrece ese perímetro.
Descubrimiento: Autoinvestigación de cuentas de servicio SERVICE_ACCOUNT_SELF_INVESTIGATION Registros de auditoría de Cloud:
Registros de acceso a datos de Resource Manager
Permisos:
DATA_READ

La detección de una credencial de cuenta de servicio de IAM que se usa para investigar los roles y los permisos asociados con esa misma cuenta de servicio.

Funciones sensibles Vista previa

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Evasión: Acceso desde un proxy de anonimización ANOMALOUS_ACCESS Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de modificaciones del servicio de Google Cloud que se originaron en direcciones IP de proxy anónimas, como direcciones IP de Tor
Robo de datos: Robo de datos de BigQuery DATA_EXFILTRATION_BIG_QUERY Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ
Detecta las siguientes situaciones:

  • Recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia.
  • Intentos de acceder a recursos de BigQuery protegidos por los Controles del servicio de VPC.
Robo de datos: Extracción de datos de BigQuery DATA_EXFILTRATION_BIG_QUERY_EXTRACTION Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ
Detecta las siguientes situaciones:

  • Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización.
  • Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización.
Robo de datos: datos de BigQuery en Google Drive DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ
Detecta lo siguiente:

  • Un recurso de BigQuery que pertenece a la organización protegida se guarda, a través de operaciones de extracción, en una carpeta de Google Drive.
Robo de datos: Robo de datos de Cloud SQL
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
Registros de auditoría de Cloud: Registros de acceso a los datos de MySQL
Registros de acceso a datos de PostgreSQL
Registros de acceso a los datos de SQL Server
Detecta las siguientes situaciones:

  • Los datos de la instancia publicada se exportan a un bucket de Cloud Storage fuera de la organización.
  • Datos de instancia en vivo exportados a un bucket de Cloud Storage que pertenece a la organización y que es de acceso público.
Robo de datos: copia de seguridad de restablecimiento de Cloud SQL a una organización externa CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE Registros de auditoría de Cloud: Registros de actividad del administrador de MySQL
Registros de actividad del administrador de PostgreSQL
Registros de actividad del administrador de SQL Server

Detecta cuándo la copia de seguridad de una instancia de Cloud SQL se restablece a una instancia fuera de la organización.

Robo de datos: otorgamiento con exceso de privilegios de Cloud SQL CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS Registros de auditoría de Cloud: Registros de acceso a los datos de PostgreSQL
Nota: Debes habilitar la extensión pgAudit para usar esta regla.

Detecta cuando un usuario o un rol de Cloud SQL Postgres tiene todos los privilegios en una base de datos o todas las tablas, los procedimientos o las funciones de un esquema.

Inhabilita las defensas: Autenticación segura inhabilitada ENFORCE_STRONG_AUTHENTICATION Google Workspace:
Audit Admin
Se inhabilitó la verificación en dos pasos para la organización.
Inhabilita las defensas: Verificación en dos pasos inhabilitada 2SV_DISABLE Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Un usuario inhabilitó la verificación en 2 pasos.
Acceso inicial: Usurpación de cuenta inhabilitada ACCOUNT_DISABLED_HIJACKED Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Se suspendió la cuenta de un usuario debido a actividad sospechosa.
Acceso inicial: Filtrado de contraseña inhabilitada ACCOUNT_DISABLED_PASSWORD_LEAK Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Se inhabilitó la cuenta de un usuario porque se detectó un filtrado de contraseñas.
Acceso inicial: Ataque basado en el Gobierno GOV_ATTACK_WARNING Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Es posible que algunos atacantes respaldados por el gobierno hayan intentado vulnerar una cuenta de usuario o una computadora.
Acceso inicial: Intento de compromiso de Log4j No disponible Registros de Cloud Load Balancing:
Balanceador de cargas de HTTP de Cloud
Nota: Debes habilitar el registro del balanceo de cargas de HTTP(S) para usar esta regla.
Detecta las búsquedas de asignación de nombres de Java y la interfaz de directorio (JNDI) dentro de encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos resultados tienen gravedad baja, porque solo indican un intento de detección o explotación, no una vulnerabilidad ni un compromiso.
Esta regla siempre está activada.
Acceso inicial: Acceso sospechoso bloqueado SUSPICIOUS_LOGIN Registros de Google Workspace:
Auditoría de acceso
Permisos:
DATA_READ
Se detectó un acceso sospechoso a la cuenta de un usuario y este se bloqueó.
Software malicioso de Log4j: Error de dominio LOG4J_BAD_DOMAIN Registros de Cloud DNS:
Registros de actividad del administrador
Detección del tráfico de explotación de Log4j basado en una conexión a un dominio conocido usado en los ataques de Log4j o una consulta sobre este.
Software malicioso de Log4j: IP incorrecta LOG4J_BAD_IP Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de tráfico de explotación de Log4j basado en una conexión a una dirección IP conocida que se usa en los ataques de Log4j.
Software malicioso: error de dominio MALWARE_BAD_DOMAIN Registros de Cloud DNS:
Registro de actividad del administrador
Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP MALWARE_BAD_IP Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Software malicioso: Error de criptominería en un dominio CRYPTOMINING_POOL_DOMAIN Registros de Cloud DNS:
Registros de actividad del administrador
Detección de criptominería basada en una conexión de, o una búsqueda de, un dominio de minería conocido
Software malicioso: Criptominería de IP incorrecta CRYPTOMINING_POOL_IP Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de criptominería basada en una conexión a una dirección IP de minería conocida
DoS Salientes OUTGOING_DOS Registros de flujo de VPC Detección del tráfico saliente de denegación del servicio
El administrador de Compute Engine agregó la clave SSH GCE_ADMIN_ADD_SSH_KEY Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de una modificación en el valor de la clave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Administrador de Compute Engine agregó una secuencia de comandos de inicio GCE_ADMIN_ADD_STARTUP_SCRIPT Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (más de 1 semana).
Persistencia: Otorgamiento anómalo de IAM IAM_ANOMALOUS_GRANT Registros de auditoría de Cloud:
Registros de actividad del administrador

Detección de privilegios otorgados a usuarios de IAM y cuentas de servicio que no son miembros de la organización. Nota: Este detector usa las políticas de IAM existentes de una organización como contexto. Si se produce un otorgamiento de IAM sensible a un miembro externo y hay menos de tres políticas de IAM existentes similares, este detector genera un resultado.

Funciones sensibles Vista previa

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgadas. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Persistencia: Método nuevo de API
Vista previa
ANOMALOUS_BEHAVIOR_NEW_API_METHOD Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de uso anómalo de los servicios de Google Cloud por cuentas de servicio de IAM
Persistencia: Nueva geografía
IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde ubicaciones anómalas, según la ubicación geográfica de las direcciones IP solicitantes
Persistencia: Usuario-agente nuevo IAM_ANOMALOUS_BEHAVIOR_USER_AGENT Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos o sospechosos.
Persistencia: Activación o desactivación de SSO TOGGLE_SSO_ENABLED Google Workspace:
Audit Admin
Se inhabilitó la configuración de habilitación del SSO (inicio de sesión único) en la cuenta de administrador.
Persistencia: Configuración de SSO cambiada CHANGE_SSO_SETTINGS Google Workspace:
Audit Admin
Se cambió la configuración de SSO para la cuenta de administrador.

Para crear reglas de detección personalizadas, puedes exportar tus datos de registros en BigQuery y, luego, ejecutar consultas de SQL únicas o recurrentes que capturen tus modelos de amenaza.

Cambios no seguros en Grupos de Google

En esta sección, se explica cómo Event Threat Detection usa registros de Google Workspace, registros de auditoría de Cloud y políticas de IAM para detectar cambios no seguros de Grupos de Google.

Los clientes de Google Cloud pueden usar Grupos de Google para administrar funciones y permisos de los miembros de sus organizaciones o aplicar políticas de acceso a colecciones de usuarios. En lugar de otorgar funciones directamente a los miembros, los administradores pueden otorgar funciones y permisos a los Grupos de Google y, luego, agregar miembros a grupos específicos. Los miembros del grupo heredan todos los roles y los permisos de un grupo, lo que permite que los miembros accedan a recursos y servicios específicos.

Si bien los Grupos de Google son una forma conveniente de administrar el control de acceso a gran escala, pueden representar un riesgo si se agregan usuarios externos fuera de tu organización o dominio a grupos privilegiados. otorgaste funciones o permisos sensibles. los roles sensibles controlan el acceso a la configuración de seguridad y de red, los registros y la información de identificación personal (PII), y no se recomiendan para los miembros del grupo externo.

En organizaciones grandes, es posible que los administradores no estén al tanto cuando se agreguen miembros externos a grupos privilegiados. Los registros de auditoría de Cloud registran las asignaciones de funciones a los grupos, pero esos eventos no contienen información sobre los miembros del grupo, lo que puede ocultar el impacto potencial de algunos cambios en el grupo.

Si compartes tus registros de Google Workspace con Google Cloud, Event Threat Detection supervisa las transmisiones de registro de los miembros nuevos que se agregan a los Grupos de Google de tu organización.

Event Threat Detection identifica a los miembros externos del grupo y, mediante los registros de auditoría de Cloud, revisa los roles de IAM de cada grupo afectado para verificar si se les otorgaron funciones sensibles. Esa información se usa para detectar los siguientes cambios no seguros en Grupos de Google con privilegios:

  • Miembros externos del grupo agregados a grupos con privilegios
  • Funciones o permisos sensibles otorgados a grupos con miembros externos del grupo
  • Grupos con privilegios que se cambian para permitir que se una a cualquier persona del público general

Event Threat Detection escribe los resultados en Security Command Center. Los resultados contienen las direcciones de correo electrónico de los miembros externos recién agregados, los miembros internos del grupo que inician eventos, los nombres de grupos y los roles sensibles asociadas con grupos. Puedes usar la información para quitar miembros externos de los grupos o revocar funciones sensibles otorgadas a los grupos.

Para obtener más información sobre los resultados de Event Threat Detection, consulta las reglas de Event Threat Detection.

Funciones y permisos confidenciales de IAM

Los cambios no seguros de Grupos de Google generan resultados solo si estos implican roles de alta o media sensibilidad. La sensibilidad de los roles afecta la calificación de gravedad asignada a los resultados.

  • Los roles de alta sensibilidad controlan los servicios críticos en las organizaciones, incluida la facturación, la configuración de firewall y el registro. Los resultados que coinciden con estas funciones se clasifican como gravedad Alta.
  • Los roles de sensibilidad media tienen permisos de edición que permiten a las principales realizar cambios en los recursos de Google Cloud. Visualiza y ejecuta permisos en servicios de almacenamiento de datos que, a menudo, contienen datos sensibles. La gravedad asignada a los resultados depende del recurso:
    • Si se otorgan funciones de sensibilidad media a nivel de la organización, los resultados se clasifican como de gravedad alta.
    • Si se otorgan funciones de sensibilidad media a niveles inferiores en la jerarquía de recursos (carpetas, proyectos y buckets, entre otras), los resultados se clasifican como de gravedad media.

Event Threat Detection detecta los cambios inseguros en los Grupos de Google que coinciden con las siguientes funciones de sensibilidad alta y media.

Tabla 1: Funciones de alta sensibilidad
Categoría Rol Descripción
Funciones básicas: contienen miles de permisos en todos los servicios de Google Cloud. roles/owner Funciones básicas
roles/editor
Funciones de seguridad: Controla el acceso a la configuración de seguridad roles/cloudkms.* Todos los roles de Cloud Key Management Service
roles/cloudsecurityscanner.* Todos los roles de Web Security Scanner
roles/dlp.* Todos los roles de Cloud Data Loss Prevention
roles/iam.* Todos los roles de IAM
roles/secretmanager.* Todos los roles de Secret Manager
roles/securitycenter.* Todos los roles de Security Command Center
Funciones de Logging: Controlan el acceso a los registros de una organización roles/errorreporting.* Todos los roles de Error Reporting
roles/logging.* Todos los roles de Cloud Logging
roles/stackdriver.* Todos los roles de Cloud Monitoring
Funciones de información personal: Controlan el acceso a los recursos que contienen información de identificación personal, incluida la información bancaria y de contacto roles/billing.* Todos los roles de la Facturación de Cloud
roles/healthcare.* Todos los roles de la API de Cloud Healthcare
roles/essentialcontacts.* Todos los roles de contactos esenciales
Funciones de herramientas de redes: Controlan el acceso a la configuración de red de una organización roles/dns.* Todos los roles de Cloud DNS
roles/domains.* Todos los roles de Cloud Domains
roles/networkconnectivity.* Todos los roles de Network Connectivity Center
roles/networkmanagement.* Todos los roles de Network Connectivity Center
roles/privateca.* Todos los roles de Certificate Authority Service
Funciones de servicio: Controlan el acceso a los recursos de servicio en Google Cloud roles/cloudasset.* Todos los roles de Cloud Asset Inventory
roles/servicedirectory.* Todos los roles del Directorio de servicios
roles/servicemanagement.* Todos los roles de Service Management
roles/servicenetworking.* Todos los roles de Herramientas de redes de servicio
roles/serviceusage.* Todos los roles de Service Usage
Funciones de Compute Engine: Controlan el acceso a las máquinas virtuales de Compute Engine, que llevan trabajos de larga duración y se asocian con reglas de firewall

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

Todos los roles de administrador y de editor de Compute Engine
Tabla 2: Funciones de sensibilidad media
Categoría Rol Descripción
Funciones de edición: funciones de IAM que incluyen permisos para realizar cambios en los recursos de Google Cloud

Ejemplos:

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

Por lo general, los nombres de los roles terminan con títulos como Administrador, Propietario, Editor o Escritor.

Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.

Funciones de almacenamiento de datos: Funciones de IAM que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos

Ejemplos:

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

Expande el nodo en la última fila de la tabla para ver todos los roles de sensibilidad media.
Todos los roles de sensibilidad media

Aprobación de acceso
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

Acciones
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

Puerta de enlace de API
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Autorización binaria
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdminBeta

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

Container Analysis
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
2 /2/2

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

Identity-Aware Proxy
roles/iap.admin
roles/iap.settingsAdmin

Servicio administrado para Microsoft Active Directory
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Memorystore para Redis
roles/redis.admin
roles/redis.editor

API de On‐Demand Scanning
roles/ondemandscanning.admin

Supervisión de configuración de operaciones
roles/opsconfigmonitoring.resourceMetadata.writer

Servicio de políticas de la organización
roles/axt.admin
roles/orgpolicy.policyAdmin

Otras funciones
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

Píxel contador de proximidad
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recomendaciones IA
roles/automlrecommendations.admin
roles/automlrecommendations.editor

Recomendador
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

Configuración de recursos
roles/resourcesettings.admin

Acceso a VPC sin servidores
roles/vpcaccess.admin

Administración de consumidores de servicios
roles/serviceconsumermanagement.tenancyUnitsAdmin

Servicio de transferencia de almacenamiento
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

notebooks de Vertex AI Workbench administrados por el usuario
roles/notebooks.admin
roles/notebooks.legacyAdmin

Flujos de trabajo
roles/workflows.admin
roles/workflows.editor

Tipos de registros

Event Threat Detection se basa en registros generados por Google Cloud y Google Workspace. La mayoría de los registros están desactivados de forma predeterminada, lo que te permite decidir qué registros se deben generar y qué productos pueden acceder a ellos. Sin embargo, para usar Event Threat Detection, debes activar los registros en la organización, las carpetas y los proyectos en los que quieres que Event Threat Detection tenga una visibilidad completa.

Event Threat Detection consume de forma automática los registros de actividad del administrador, que son parte de los Registros de auditoría de Cloud. No es necesario que configures los registros de actividad del administrador, ya que se generan de forma automática.

Además, Event Threat Detection funciona mejor cuando activas registros adicionales, que el servicio usa para detectar amenazas específicas. Si deseas habilitar los registros para cada uno de los siguientes recursos, usa las siguientes guías:

Los registros de auditoría de Google Workspace se habilitan y mantienen en tu entorno de Google Workspace. Sin embargo, debes compartirlas con Google Cloud para que Event Threat Detection tenga acceso y detecte las amenazas de Google Workspace. Para obtener instrucciones sobre cómo compartir registros de Google Workspace, consulta las siguientes guías:

¿Qué sigue?