Resumen conceptual de Event Threat Detection

>

¿Qué es Event Threat Detection?

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center, que supervisa tu organización de forma continua y que identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza de forma periódica con nuevos detectores para identificar las amenazas emergentes a escala de la nube.

Cómo funciona Event Threat Detection

Event Threat Detection supervisa la transmisión de Cloud Logging de tu organización y consume registros para uno o más proyectos a medida que están disponibles. Las entradas de registro contienen información de estado y eventos que la Detección de eventos de amenazas usa para detectar amenazas rápidamente. La Detección de eventos de amenazas aplica la lógica de detección y la inteligencia de propietario de la información a la información detallada que contiene los registros.

La Detección de eventos de amenazas usa una variedad de técnicas de análisis, que incluyen coincidencias de indicadores de tripwire, generación de perfiles con ventanas, generación de perfiles avanzada, aprendizaje automático y detección de anomalías para identificar amenazas casi en tiempo real.

Cuando la Detección de eventos de amenazas detecta una amenaza, escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Desde Cloud Logging, puedes exportar los resultados a otros sistemas con Pub/Sub y procesarlos con Cloud Functions.

Reglas

Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que se deben habilitar para que funcione el detector. Los registros de auditoría de la actividad del administrador se escriben siempre; no puede configurarlos ni inhabilitarlos.

Actualmente, la Detección de eventos de amenazas incluye las siguientes reglas predeterminadas:

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Robo de datos a tabla externa org_exfiltration Registros de auditoría de Cloud : Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ
Detección de recursos que pertenecen a la organización protegida que se guardan fuera de la organización, incluidas las operaciones de copia o transferencia.
Incumplimiento del perímetro de VPC vpc_perimeter_violation Registros de auditoría de Cloud : Registros de acceso a los datos de BigQueryAuditMetadata
Permisos:
DATA_READ
Detección de intentos para acceder a recursos de BigQuery que los Controles del servicio de VPC protegen.
Software malicioso: error de dominio malware_bad_domain Registros de Cloud DNS:
Registro de actividad de administrador
Detección de software malicioso basado en una conexión a un dominio malicioso conocido o una búsqueda de él
Software malicioso: error de IP malware_bad_ip Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de software malicioso basado en una conexión a una dirección IP incorrecta conocida
Criptominería: dominio de grupo cryptomining_pool_domain Registros de Cloud DNS:
Registros de actividad del administrador
Detección de criptominería basada en una conexión de, o una búsqueda de, un dominio de minería conocido
Criptominería: IP de grupo cryptomining_pool_ip Registros de flujo de VPC
Registros de reglas de firewall
Registros de Cloud NAT
Detección de criptominería basada en una conexión a una dirección IP de minería conocida
Ataques de fuerza bruta a SSH brute_force_ssh syslog Detección de fuerza bruta SSH exitosa en un host
DoS Salientes outgoing_dos Registros de flujo de VPC Detección del tráfico saliente de denegación del servicio
Persistencia: Otorgar anómalo de IAM iam_anomalous_grant Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de privilegios otorgados a usuarios y cuentas de servicio de la administración de identidades y accesos (IAM) que no son miembros de la organización. Nota: Por el momento, este resultado solo se activa para los usuarios de Security Command Center con una dirección de correo electrónico de gmail.com.
Persistence: nueva geografía
Vista previa
iam_anomalous_behavior_ip_geolocation Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de usuarios de administración de identidades y accesos (IAM) que acceden a Google Cloud desde una ubicación anómala, según la ubicación geográfica de la dirección IP solicitante.
Persistencia: Nuevo usuario-agente
Vista previa
iam_anomalous_behavior_user_agent Registros de auditoría de Cloud:
Registros de actividad del administrador
Detección de usuarios de administración de identidades y accesos (IAM) que acceden a Google Cloud desde un usuario-agente anómalo.
Descubrimiento: autodetección de cuentas de servicio service_account_self_investigation Registros de auditoría de Cloud:
Registros de acceso a datos de Resource Manager
Permisos:
DATA_READ
Detecta cuando se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.

Para crear reglas de detección personalizadas, puedes almacenar tus datos de registros en BigQuery y, luego, ejecutar consultas de SQL únicas o recurrentes que capturen tus modelos de amenaza.

Tipos de registros

Event Threat Detection se basa en los registros que genera Google Cloud. Los registros están desactivados de forma predeterminada, lo que te permite decidir qué registros se deben generar y qué productos pueden acceder a ellos. Sin embargo, para usar Event Threat Detection, debes activar los registros de tu organización, tus carpetas y proyectos en los que quieras que tenga visibilidad completa.

En la actualidad, Event Threat Detection consume registros de las siguientes fuentes de Google Cloud. Sigue las instrucciones de los siguientes vínculos para habilitar los registros de cada fuente.

Activa los registros de flujo de la nube privada virtual

La Detección de eventos de amenazas analiza los registros de flujo de la nube privada virtual (VPC) para detectar software malicioso, suplantación de identidad (phishing), criptominería y detección de DSD saliente. Event Threat Detection funciona mejor cuando el registro de flujo de VPC está activo. Obtén más información sobre los registros de flujo de VPC.

Event Threat Detection funciona mejor con intervalos de agregación breves y muestras frecuentes. Si estableces tasas de muestreo más bajas o intervalos de agregación más largos, puede haber un retraso entre el caso y la detección de un evento. Esta demora puede dificultar la evaluación de posibles aumentos de software malicioso, criptominería o suplantación de identidad (phishing).

Activa registros de Cloud DNS

Event Threat Detection analiza los registros de DNS en busca de software malicioso, suplantación de identidad (phishing) y detección de criptominería. Event Threat Detection funciona mejor cuando el registro de Cloud DNS está activo. Obtén más información sobre los registros de Cloud DNS.

¿Qué sigue?