Servicios de detección

En esta página se incluye una lista de los servicios de detección, a los que a veces también se hace referencia como fuentes de seguridad, que Security Command Center usa para detectar problemas de seguridad en tus entornos de nube.

Cuando estos servicios detectan un problema, generan un hallazgo, que es un registro que identifica el problema de seguridad y te proporciona la información que necesitas para priorizarlo y resolverlo.

Puedes ver los resultados en la Google Cloud consola y filtrarlos de muchas formas, como por tipo de resultado, tipo de recurso o por un recurso específico. Cada fuente de seguridad puede proporcionar más filtros para ayudarte a organizar tus hallazgos.

Los roles de gestión de identidades y accesos de Security Command Center se pueden conceder a nivel de organización, carpeta o proyecto. La posibilidad de ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel de acceso que se te haya concedido. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Servicios de detección de vulnerabilidades

Los servicios de detección de vulnerabilidades incluyen servicios integrados que detectan vulnerabilidades de software, errores de configuración e infracciones de postura en tus entornos de nube. En conjunto, estos tipos de problemas de seguridad se denominan vulnerabilidades.

Evaluación de vulnerabilidades de Artifact Registry

La evaluación de vulnerabilidades de Artifact Registry es un servicio de detección que te avisa de las vulnerabilidades de las imágenes de contenedor desplegadas.

Este servicio de detección genera resultados de vulnerabilidades de imágenes de contenedor en las siguientes condiciones:

  • La imagen de contenedor se almacena en Artifact Registry.

  • La imagen de contenedor se implementa en uno de los siguientes recursos:

    • Clúster de Google Kubernetes Engine
    • Servicio de Cloud Run
    • Tarea de Cloud Run
    • App Engine

La evaluación de vulnerabilidades de Artifact Registry no generará resultados para las imágenes de contenedor que no cumplan estos criterios.

Si habilitas la evaluación de vulnerabilidades de Artifact Registry con Security Command Center, la evaluación de vulnerabilidades de Artifact Registry escribirá automáticamente los resultados de gravedad alta y crítica en Security Command Center. Si tus imágenes de contenedor tienen vulnerabilidades clasificadas como medias o bajas, puedes gestionarlas en la evaluación de vulnerabilidades de Artifact Registry, pero Security Command Center no las muestra.

Una vez que se generan los resultados de la evaluación de vulnerabilidades de Artifact Registry, puedes consultarlos hasta cinco semanas después del último análisis de imágenes de contenedor realizado. Para obtener más información sobre la conservación de datos de Security Command Center, consulta el artículo Conservación de datos.

Habilitar los resultados de la evaluación de vulnerabilidades de Artifact Registry

Para que la evaluación de vulnerabilidades de Artifact Registry genere resultados en Security Command Center para las imágenes de contenedor desplegadas que se almacenan en Artifact Registry, la API Container Scanning debe estar habilitada en tu proyecto.

Si no ha habilitado la API Container Scanning, siga estos pasos:

  1. En la Google Cloud consola, ve a la página API Container Scanning.

    Ir a la API Container Scanning

  2. Selecciona el proyecto en el que quieras habilitar la API Container Scanning.

  3. Haz clic en Enable (Habilitar).

Security Command Center mostrará los resultados de las imágenes de contenedores vulnerables analizadas que se hayan desplegado activamente en los recursos de tiempo de ejecución aplicables. Sin embargo, el servicio de detección se comporta de forma diferente en función de cuándo habilitaste Security Command Center y cuándo habilitaste la API Container Scanning.

Situación de habilitación Comportamiento del servicio de detección

Has habilitado Security Command Center después de habilitar la API Container Scanning y de desplegar una imagen de contenedor.

La evaluación de vulnerabilidades de Artifact Registry generará resultados de las vulnerabilidades detectadas en análisis anteriores de Artifact Registry en un plazo de 24 horas tras habilitarla.

Has habilitado Security Command Center y has desplegado una imagen de contenedor antes de habilitar la API Container Scanning.

La evaluación de vulnerabilidades de Artifact Registry no generará automáticamente resultados de vulnerabilidades de las imágenes de contenedor que hayas desplegado antes de habilitar la API hasta que se active un nuevo análisis. Para activar manualmente un nuevo análisis, vuelve a desplegar la imagen de contenedor en el mismo recurso de tiempo de ejecución. La evaluación de vulnerabilidades de Artifact Registry generará resultados inmediatamente si se detecta alguna vulnerabilidad durante el análisis.

Has habilitado Security Command Center y la API Container Scanning antes de desplegar una imagen de contenedor.

La imagen de contenedor recién implementada se analiza inmediatamente en Artifact Registry y la evaluación de vulnerabilidades de Artifact Registry genera resultados si el análisis detecta alguna vulnerabilidad.

Inhabilitar los resultados de la evaluación de vulnerabilidades de Artifact Registry

Para inhabilitar los resultados de la evaluación de vulnerabilidades de Artifact Registry, haga lo siguiente:

  1. En la Google Cloud consola, ve a la página Detalles de la API o del servicio de la API Container Scanning.

    Ir a Detalles de la API o del servicio

  2. Selecciona el proyecto en el que quieras inhabilitar la API Container Scanning.

  3. Haz clic en Inhabilitar API.

Security Command Center no mostrará los resultados de las vulnerabilidades detectadas en futuros análisis de imágenes de contenedor. Security Command Center conserva los resultados de las evaluaciones de vulnerabilidades de Artifact Registry durante al menos 35 días después del último análisis de imágenes de contenedor realizado. Para obtener más información sobre la conservación de datos de Security Command Center, consulta el artículo Conservación de datos.

También puede inhabilitar la evaluación de vulnerabilidades de Artifact Registry si inhabilita el ID de fuente VulnerabilityAssessment en la configuración de Security Command Center. Sin embargo, no le recomendamos que lo haga. Si inhabilitas el ID de la fuente de evaluación de vulnerabilidades, se inhabilitarán todos los servicios de detección clasificados en ese ID. Por lo tanto, te recomendamos que inhabilite la API Container Scanning siguiendo el procedimiento anterior.

Ver los resultados de la evaluación de vulnerabilidades de Artifact Registry en la consola

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Evaluación de vulnerabilidades. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

Resultados de la gestión de la posición de seguridad de los datos

La gestión de la postura de seguridad de los datos (DSPM) genera resultados sobre posibles infracciones de los marcos de seguridad de los datos y los controles en la nube que apliques en tu entorno. Puedes ver estos resultados en la página Seguridad y cumplimiento de datos, en la página Resumen de riesgos (en la pestaña Datos) o en la página Resultados de Security Command Center.

Ver los hallazgos de DSPM en la consola

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, seleccione Gestión de la postura de seguridad de los datos. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

Panel de control de la postura de seguridad de GKE

El panel de control de la postura de seguridad de Google Kubernetes Engine (GKE) es una página de la consola que te proporciona información valiosa y práctica sobre posibles problemas de seguridad en tus clústeres de GKE.Google Cloud

Para ver estas conclusiones, habilita cualquiera de las siguientes funciones del panel de control de postura de seguridad de GKE:

Panel de control de la postura de seguridad de GKE Clase de resultados de Security Command Center
Auditoría de la configuración de la carga de trabajo1 MISCONFIGURATION
Principales amenazas2 THREAT
VULNERABILITY
  1. Solo está disponible si habilitas esta función en GKE.
  2. Disponible en los niveles de servicio Premium y Enterprise de Security Command Center.

Los resultados muestran información sobre el problema de seguridad y ofrecen recomendaciones para resolverlo en tus cargas de trabajo o clústeres.

Ver los resultados del panel de control de postura de seguridad de GKE en la consola

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Postura de seguridad de GKE. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

Recomendador de gestión de identidades y accesos

El recomendador de gestión de identidades y accesos genera recomendaciones que puedes seguir para mejorar la seguridad quitando o sustituyendo roles de gestión de identidades y accesos de las entidades principales cuando los roles contienen permisos de gestión de identidades y accesos que la entidad principal no necesita.

Recomendador de IAM se habilita automáticamente cuando activas Security Command Center.

Habilitar o inhabilitar las detecciones del recomendador de gestión de identidades y accesos

Para habilitar o inhabilitar las recomendaciones de IAM en Security Command Center, sigue estos pasos:

  1. Ve a la pestaña Servicios integrados de la página Configuración de Security Command Center en la Google Cloud consola:

    Ir a Servicios integrados

  2. Ve a la entrada Recomendador de gestión de identidades y accesos.

  3. A la derecha de la entrada, selecciona Habilitar o Inhabilitar.

Las detecciones del recomendador de gestión de identidades y accesos se clasifican como vulnerabilidades.

Para corregir un resultado del recomendador de gestión de identidades y accesos, despliega la siguiente sección para ver una tabla con los resultados del recomendador de gestión de identidades y accesos. Los pasos para solucionar cada problema se incluyen en la entrada de la tabla.

Ver los resultados del recomendador de gestión de identidades y accesos en la consola

Selecciona la pestaña correspondiente a tu nivel de servicio.

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Recomendador de IAM. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

En Security Command Center Premium, también puedes ver los resultados del recomendador de gestión de identidades y accesos en la página Vulnerabilidades seleccionando la consulta predefinida Recomendador de gestión de identidades y accesos.

Mandiant Attack Surface Management

Mandiant es un líder mundial en inteligencia sobre amenazas de primera línea. Mandiant Attack Surface Management identifica vulnerabilidades y configuraciones erróneas en tus superficies de ataque externas para ayudarte a estar al día frente a los ciberataques más recientes.

Mandiant Attack Surface Management se habilita automáticamente cuando activa el nivel Enterprise de Security Command Center y los resultados están disponibles en la Google Cloud consola.

Para obtener información sobre las diferencias entre el producto independiente Mandiant Attack Surface Management y la integración de Mandiant Attack Surface Management en Security Command Center, consulta el artículo ASM y Security Command Center en el portal de documentación de Mandiant. Este enlace requiere autenticación de Mandiant.

Revisar los resultados de Mandiant Attack Surface Management en la consola

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Mandiant Attack Surface Management. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

Ni Security Command Center ni Mandiant Attack Surface Management marcan los hallazgos como resueltos. Una vez que hayas resuelto un problema, puedes marcarlo manualmente como resuelto. Si no se identifica en la siguiente búsqueda de Mandiant Attack Surface Management, se mantendrá como resuelto.

Model Armor

Model Armor es un servicio totalmente gestionado Google Cloud que mejora la seguridad de las aplicaciones de IA analizando las peticiones y respuestas de los LLMs.

Vulnerabilidades detectadas por el servicio Model Armor

Hallazgo Resumen

Nombre de la categoría en la API: FLOOR_SETTINGS_VIOLATION

Descripción del hallazgo: una infracción de la configuración mínima que se produce cuando una plantilla de Model Armor no cumple los estándares de seguridad mínimos definidos por la configuración mínima de la jerarquía de recursos.

Nivel de precios: Premium

Corregir este resultado:

Para solucionar este problema, debe actualizar la plantilla Model Armor para que se ajuste a la configuración mínima definida en la jerarquía de recursos.

Notebook Security Scanner

Notebook Security Scanner es un servicio integrado de detección de vulnerabilidades de paquetes de Security Command Center. Una vez habilitado Notebook Security Scanner, analiza automáticamente los cuadernos de Colab Enterprise (archivos con la extensión de nombre de archivo ipynb) cada 24 horas para detectar vulnerabilidades en los paquetes de Python y publica estos resultados en la página Resultados de Security Command Center.

Puedes usar el análisis de seguridad de cuadernos en los cuadernos de Colab Enterprise que se creen en las siguientes regiones: us-central1, us-east4, us-west1 y europe-west4.

Para empezar a usar Notebook Security Scanner, consulta el artículo Habilitar y usar Notebook Security Scanner.

Policy Controller

Policy Controller permite aplicar políticas programables en tus clústeres de Kubernetes. Estas políticas actúan como medidas de protección y pueden ayudarte a aplicar las prácticas recomendadas, la seguridad y la gestión del cumplimiento de tus clústeres y tu flota.

Si instalas Policy Controller y habilitas alguno de los paquetes de Policy Controller, Policy Controller escribirá automáticamente las infracciones de clúster en Security Command Center como resultados de la clase Misconfiguration. La descripción de la detección y los pasos siguientes de las detecciones de Security Command Center son los mismos que la descripción de la restricción y los pasos de corrección del paquete de Policy Controller correspondiente.

Los resultados de Policy Controller proceden de los siguientes paquetes de Policy Controller:

Para buscar y corregir los resultados de Policy Controller, consulta Corregir los resultados de Policy Controller.

Risk Engine

El motor de riesgos de Security Command Center evalúa la exposición a riesgos de tus implementaciones en la nube, asigna puntuaciones de exposición a ataques a los hallazgos de vulnerabilidades y a tus recursos de alto valor, y dibuja las rutas que un posible atacante podría seguir para acceder a tus recursos de alto valor.

En los niveles Enterprise o Premium de Security Command Center, el motor de riesgos detecta grupos de problemas de seguridad que, cuando se producen juntos con un patrón concreto, crean una ruta a uno o varios de tus recursos de alto valor que un atacante determinado podría usar para acceder a esos recursos y ponerlos en peligro.

Cuando el motor de riesgos detecta una de estas combinaciones, genera un hallazgo de clase TOXIC_COMBINATION. En el hallazgo, se indica que el origen es Risk Engine.

Risk Engine también identifica los recursos o grupos de recursos comunes en los que convergen varias rutas de ataque y, a continuación, genera un resultado de clase CHOKEPOINT.

Para obtener más información, consulta el artículo Combinaciones tóxicas y puntos de bloqueo.

Security Health Analytics

Security Health Analytics es un servicio de detección integrado de Security Command Center que proporciona análisis gestionados de tus recursos en la nube para detectar errores de configuración comunes.

Cuando se detecta un error de configuración, Security Health Analytics genera un hallazgo. La mayoría de los resultados de Security Health Analytics se asignan a controles de estándares de seguridad para que puedas evaluar el cumplimiento.

Security Health Analytics analiza tus recursos en Google Cloud. Si utilizas el nivel Enterprise y estableces conexiones con otras plataformas en la nube, Security Health Analytics también puede analizar tus recursos en esas plataformas.

Los detectores disponibles varían en función del nivel de servicio de Security Command Center que utilices:

  • En el nivel Standard, Security Health Analytics solo incluye un grupo básico de detectores de vulnerabilidades de gravedad media y alta.
  • El nivel Premium incluye todos los detectores de vulnerabilidades de Google Cloud.
  • El nivel Enterprise incluye detectores adicionales para otras plataformas en la nube.

Security Health Analytics se habilita automáticamente al activar Security Command Center.

Para obtener más información, consulta estos artículos:

Servicio de posición de seguridad

El servicio de postura de seguridad es un servicio integrado del nivel Premium de Security Command Center que te permite definir, evaluar y monitorizar el estado general de tu seguridad en Google Cloud. Proporciona información sobre cómo se alinea tu entorno con las políticas que definas en tu postura de seguridad.

El servicio de postura de seguridad no está relacionado con el panel de control de postura de seguridad de GKE, que solo muestra resultados en clústeres de GKE.

Protección de datos sensibles

Protección de Datos Sensibles es un servicio totalmente gestionado Google Cloud que te ayuda a descubrir, clasificar y proteger tus datos sensibles. Puedes usar Protección de datos sensibles para determinar si almacenas información sensible o información personal identificable (IPI), como la siguiente:

  • Nombres de personas
  • Números de tarjetas de crédito
  • Números de identificación nacional o estatal
  • Números de identificación de seguros médicos
  • Secretos

En Protección de Datos Sensibles, cada tipo de dato sensible que buscas se denomina infoType.

Si configura su operación de Protección de Datos Sensibles para enviar los resultados a Security Command Center, puede ver los resultados directamente en la sección Security Command Center de la Google Cloud consola, además de en la sección Protección de Datos Sensibles.

Resultados de vulnerabilidades del servicio de descubrimiento de Protección de Datos Sensibles

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.

Categoría Resumen

Nombre de la categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción del hallazgo: el recurso especificado tiene datos de alta sensibilidad a los que puede acceder cualquier usuario de Internet.

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Segmento de Amazon S3
  • Contenedor de Azure Blob Storage

Corrección:

Para los datos de Google Cloud , quite allUsers y allAuthenticatedUsers de la política de gestión de identidades y accesos del recurso de datos.

En el caso de los datos de Amazon S3, configure los ajustes de bloqueo del acceso público o actualice la LCA del objeto para denegar el acceso de lectura público. Para obtener más información, consulta los artículos Configurar los ajustes de bloqueo del acceso público para los buckets de S3 y Configurar ACLs en la documentación de AWS.

En el caso de los datos de Azure Blob Storage, elimina el acceso público al contenedor y a los blobs. Para obtener más información, consulta el artículo Información general: corregir el acceso de lectura anónimo a datos de blob de la documentación de Azure.

Estándares de cumplimiento: no asignado

Nombre de la categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción del problema: hay secretos, como contraseñas, tokens de autenticación y Google Cloud credenciales, en variables de entorno.

Para habilitar este detector, consulta el artículo Informar de secretos en variables de entorno a Security Command Center de la documentación de Protección de Datos Sensibles.

Recursos admitidos:

Corrección:

En el caso de las variables de entorno de las funciones de Cloud Run, elimina el secreto de la variable de entorno y almacénalo en Secret Manager.

En el caso de las variables de entorno de la revisión del servicio de Cloud Run, desvía todo el tráfico de la revisión y, a continuación, elimina la revisión.

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nombre de la categoría en la API:

SECRETS_IN_STORAGE

Descripción del hallazgo: hay secretos, como contraseñas, tokens de autenticación y credenciales de nube, en el recurso especificado.

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Segmento de Amazon S3
  • Contenedor de Azure Blob Storage

Corrección:

  1. Para los datos, usa Protección de datos sensibles para ejecutar un análisis de inspección exhaustivo del recurso especificado para identificar todos los recursos afectados. Google Cloud En el caso de los datos de Cloud SQL, expórtalos a un archivo CSV o AVRO en un segmento de Cloud Storage y ejecuta un análisis de inspección detallada del segmento.

    En el caso de los datos de otros proveedores de la nube, inspecciona manualmente el segmento o el contenedor especificados.

  2. Elimina los secretos detectados.
  3. Plantéate la posibilidad de restablecer las credenciales.
  4. Para los datos, te recomendamos que almacenes los secretos detectados en Secret Manager. Google Cloud

Estándares de cumplimiento: no asignado

Resultados de configuraciones erróneas del servicio de descubrimiento de Protección de Datos Sensibles

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si tienes configuraciones incorrectas que puedan exponer datos sensibles.

Categoría Resumen

Nombre de la categoría en la API:

SENSITIVE_DATA_CMEK_DISABLED

Descripción de la detección: el recurso especificado tiene datos de alta o media sensibilidad y no usa una clave de encriptado gestionada por el cliente (CMEK).

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Segmento de Amazon S3
  • Contenedor de Azure Blob Storage

Corrección:

Estándares de cumplimiento: no asignado

Resultados de las observaciones de Protección de Datos Sensibles

En esta sección se describen los resultados de las observaciones que genera Protección de Datos Sensibles en Security Command Center.

Resultados de las observaciones del servicio de descubrimiento

El servicio de descubrimiento de Protección de Datos Sensibles te ayuda a determinar si tus datos contienen infoTipos específicos y dónde se encuentran en tu organización, carpetas y proyectos. Genera las siguientes categorías de resultados de observaciones en Security Command Center:

Data sensitivity
Indica el nivel de sensibilidad de los datos de un recurso de datos concreto. Los datos son sensibles si contienen IIP u otros elementos que pueden requerir controles o gestión adicionales. La gravedad de la detección es el nivel de sensibilidad que Protección de Datos Sensibles ha calculado al generar el perfil de datos.
Data risk
El riesgo asociado a los datos en su estado actual. Al calcular el riesgo de los datos, Protección de Datos Sensibles tiene en cuenta el nivel de sensibilidad de los datos del recurso de datos y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de los datos que Protección de Datos Sensibles ha calculado al generar el perfil de datos.

En función del tamaño de tu organización, los resultados de Protección de Datos Sensibles pueden empezar a aparecer en Security Command Center unos minutos después de habilitar la detección de datos sensibles. En el caso de las organizaciones más grandes o de las que tienen configuraciones específicas que afectan a la generación de resultados, pueden pasar hasta 12 horas antes de que aparezcan los primeros resultados en Security Command Center.

Después, Protección de Datos Sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analice tus recursos.

Para obtener información sobre cómo enviar los resultados de los perfiles de datos a Security Command Center, consulta lo siguiente:

Resultados de las observaciones del servicio de inspección de Protección de Datos Sensibles

Un trabajo de inspección de Protección de Datos Sensibles identifica cada instancia de datos de un infoType específico en un sistema de almacenamiento, como un segmento de Cloud Storage o una tabla de BigQuery. Por ejemplo, puedes ejecutar una tarea de inspección que busque todas las cadenas que coincidan con el detector de CREDIT_CARD_NUMBER infoType en un segmento de Cloud Storage.

Por cada detector de infoType que tenga una o varias coincidencias, Protección de Datos Sensibles genera un resultado de Security Command Center correspondiente. La categoría de resultado es el nombre del detector de infoType que ha encontrado una coincidencia. Por ejemplo, Credit card number. El resultado incluye el número de cadenas coincidentes que se han detectado en el texto o las imágenes del recurso.

Por motivos de seguridad, las cadenas reales que se han detectado no se incluyen en el resultado. Por ejemplo, un Credit card number muestra cuántos números de tarjetas de crédito se han encontrado, pero no muestra los números de tarjetas de crédito reales.

Como Protección de Datos Sensibles incluye más de 150 detectores de infoTypes integrados, no se muestran aquí todas las categorías posibles de resultados de Security Command Center. Para ver una lista completa de los detectores de infoType, consulta la referencia de detectores de infoType.

Para obtener información sobre cómo enviar los resultados de un trabajo de inspección a Security Command Center, consulta el artículo Enviar los resultados de un trabajo de inspección de Protección de Datos Sensibles a Security Command Center.

Revisar los resultados de Protección de Datos Sensibles en la consola

  1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

    Ir a Resultados

  2. Selecciona tu Google Cloud proyecto u organización.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, seleccione Protección de Datos Sensibles. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
  4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
  6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

VM Manager

VM Manager es un paquete de herramientas que sirve para gestionar los sistemas operativos de grandes flotas de máquinas virtuales que utilicen Windows o Linux en Compute Engine.

Para usar Gestor de VMs con activaciones a nivel de proyecto de Security Command Center Premium, activa Security Command Center Standard en la organización superior.

Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe automáticamente los resultados de high y critical de sus informes de vulnerabilidades, que están en versión preliminar, en Security Command Center. Los informes identifican las vulnerabilidades de los sistemas operativos (SO) que se han instalado en las VMs, incluidas las vulnerabilidades y exposiciones comunes (CVEs).

Los informes de vulnerabilidades no están disponibles en Security Command Center Standard.

Los resultados simplifican el proceso de uso de la función Cumplimiento de parches de Gestor de VMs, que está en versión preliminar. Esta función te permite llevar a cabo la gestión de parches a nivel de organización en todos tus proyectos. VM Manager admite la gestión de parches a nivel de proyecto único.

Para corregir los resultados de VM Manager, consulta Corregir resultados de VM Manager.

Para evitar que los informes de vulnerabilidades se escriban en Security Command Center, consulta Silenciar resultados de VM Manager.

Todas las vulnerabilidades de este tipo están relacionadas con los paquetes de sistemas operativos instalados en las máquinas virtuales de Compute Engine compatibles.

Detector Resumen Configuración de análisis de recursos

Nombre de la categoría en la API: OS_VULNERABILITY

Descripción del hallazgo: VM Manager ha detectado una vulnerabilidad en el paquete del sistema operativo (SO) instalado en una VM de Compute Engine.

Nivel de precios: Premium

Recursos admitidos

compute.googleapis.com/Instance

Corregir este resultado

Los informes de vulnerabilidades de VM Manager detallan las vulnerabilidades de los paquetes de sistemas operativos instalados en las máquinas virtuales de Compute Engine, incluidas las vulnerabilidades y exposiciones comunes (CVEs).

Para ver una lista completa de los sistemas operativos compatibles, consulta los detalles del sistema operativo.

Los resultados aparecen en Security Command Center poco después de que se detecten las vulnerabilidades. Los informes de vulnerabilidades de VM Manager se generan de la siguiente forma:

  • Cuando se instala o actualiza un paquete en el sistema operativo de una VM, puedes ver información sobre vulnerabilidades y exposiciones comunes (CVEs) de la VM en Security Command Center en un plazo de dos horas después del cambio.
  • Cuando se publican nuevos avisos de seguridad para un sistema operativo, los CVEs actualizados suelen estar disponibles en un plazo de 24 horas después de que el proveedor del sistema operativo publique el aviso.

Evaluación de vulnerabilidades de AWS

Enterprise

El servicio Evaluación de vulnerabilidades de Amazon Web Services (AWS) detecta vulnerabilidades de software en las cargas de trabajo que se ejecutan en máquinas virtuales (VMs) de EC2 en la plataforma en la nube de AWS.

Por cada vulnerabilidad detectada, Vulnerability Assessment para AWS genera un hallazgo de clase Vulnerability en la categoría de hallazgos Software vulnerability de Security Command Center.

El servicio Evaluación de vulnerabilidades para AWS analiza las instantáneas de las instancias de máquinas EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se denomina análisis de discos sin agente porque no se instalan agentes en los destinos del análisis.

Para obtener más información, consulta las siguientes secciones:

Evaluación de vulnerabilidades de Google Cloud

El servicio de evaluación de vulnerabilidades de Google Cloud detecta vulnerabilidades de software en los siguientes recursos de la plataforma Google Cloud :

  • Ejecutar instancias de VM de Compute Engine
  • Nodos de clústeres de GKE Standard
  • Contenedores que se ejecutan en clústeres estándar y Autopilot de GKE

Por cada vulnerabilidad detectada, Vulnerability Assessment for Google Cloud genera un Vulnerability resultado de clase en la categoría de resultados Software vulnerability o OS vulnerability en Security Command Center.

El servicio Vulnerability Assessment for Google Cloud analiza tus instancias de VM de Compute Engine clonando sus discos aproximadamente cada 12 horas, montándolos en una instancia de VM segura y evaluándolos con el escáner SCALIBR.

Para obtener más información, consulta Evaluación de vulnerabilidades de Google Cloud.

Web Security Scanner

Web Security Scanner ofrece análisis de vulnerabilidades web gestionados y personalizados para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis gestionados

Security Command Center configura y gestiona los análisis gestionados de Web Security Scanner. Los análisis gestionados se ejecutan automáticamente una vez a la semana para detectar y analizar endpoints web públicos. Estos análisis no usan autenticación y envían solicitudes GET únicamente, por lo que no envían ningún formulario en sitios web activos.

Los análisis gestionados se ejecutan de forma independiente a los análisis personalizados.

Si Security Command Center está activado a nivel de organización, puedes usar análisis gestionados para gestionar de forma centralizada la detección de vulnerabilidades básicas de aplicaciones web en los proyectos de tu organización sin tener que involucrar a los equipos de cada proyecto. Cuando se detecten resultados, puedes colaborar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas Web Security Scanner como servicio, los resultados de los análisis gestionados están disponibles automáticamente en la página Vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener información sobre cómo habilitar los análisis gestionados de Web Security Scanner, consulta el artículo Configurar los servicios de Security Command Center.

Los análisis gestionados solo admiten aplicaciones que usan el puerto predeterminado, que es el 80 para las conexiones HTTP y el 443 para las conexiones HTTPS. Si tu aplicación usa un puerto no predeterminado, haz un análisis personalizado.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre las vulnerabilidades detectadas en las aplicaciones, como las bibliotecas obsoletas, el cross-site scripting o el uso de contenido mixto.

Puedes definir análisis personalizados a nivel de proyecto.

Los resultados de los análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

Detectores y cumplimiento

Web Security Scanner admite categorías de OWASP Top Ten, un documento que clasifica y proporciona directrices de corrección para los 10 riesgos de seguridad más críticos de las aplicaciones web, según lo determinado por el proyecto abierto de seguridad de aplicaciones web (OWASP). Para obtener información sobre cómo reducir los riesgos de OWASP, consulta las opciones de mitigación de los diez riesgos principales según la OWASP en Google Cloud.

El mapeo de cumplimiento se incluye como referencia y no lo proporciona ni lo revisa la Fundación OWASP.

Esta función solo está pensada para que monitorices las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan para que se utilicen como base o sustituto de la auditoría, la certificación o el informe de cumplimiento de tus productos o servicios con respecto a los estándares o las referencias del sector o de los organismos reguladores.

Para obtener más información, consulta el resumen de Web Security Scanner.

Servicios de detección de amenazas

Los servicios de detección de amenazas incluyen servicios integrados que detectan eventos que pueden indicar sucesos potencialmente dañinos, como recursos vulnerados o ciberataques.

Detección de anomalías

Anomaly Detection es un servicio integrado que usa señales de comportamiento procedentes de fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas en tus cuentas de servicio, como posibles filtraciones de credenciales. La detección de anomalías se habilita automáticamente cuando activas el nivel Standard o Premium de Security Command Center, y las detecciones están disponibles en la Google Cloud consola.

Los resultados de Detección de anomalías incluyen lo siguiente:

Nombre de la anomalía Categorías de resultado Descripción
account_has_leaked_credentials

Las credenciales de una cuenta de servicio Google Cloud se filtran por error en Internet o se ven comprometidas.

Gravedad: crítica

La cuenta tiene credenciales filtradas

GitHub ha notificado a Security Command Center que las credenciales que se han usado en una confirmación parecen ser las credenciales de una cuenta de servicio deGoogle Cloud Identity and Access Management.

La notificación incluye el nombre de la cuenta de servicio y el identificador de la clave privada. Google Cloud también envía una notificación por correo electrónico a la persona de contacto designada para cuestiones de seguridad y privacidad.

Para solucionar este problema, realice una o varias de las siguientes acciones:

  • Identifica al usuario legítimo de la clave.
  • Gira la llave.
  • Elimina la llave.
  • Investiga las acciones que haya realizado la clave después de que se haya filtrado para asegurarte de que ninguna de ellas sea maliciosa.

JSON: finding de credenciales de cuenta filtradas

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection puede detectar los ataques más habituales al entorno de ejecución de contenedores y enviarte alertas en Security Command Center y, opcionalmente, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de detección de amenazas de contenedores recoge comportamientos de bajo nivel en el kernel invitado y realiza un procesamiento del lenguaje natural en el código para detectar los siguientes eventos:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (Vista previa)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (Vista previa)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (Vista previa)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47177)
  • Execution: Possible Remote Command Execution Detected (Vista previa)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Socat Reverse Shell Detected
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (Vista previa)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Abuse of Sudo For Privilege Escalation (CVE-2019-14287)
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Privilege Escalation: Polkit Local Privilege Escalation Vulnerability (CVE-2021-4034)
  • Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156)
  • Reverse Shell
  • Unexpected Child Shell

Más información sobre Container Threat Detection

Event Threat Detection

Event Threat Detection usa datos de registro de dentro de tus sistemas. Monitoriza el flujo de Cloud Logging de los proyectos y consume los registros a medida que estén disponibles. Cuando se detecta una amenaza, Event Threat Detection escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita automáticamente cuando activas el nivel Premium de Security Command Center y los resultados están disponibles en laGoogle Cloud consola.

En la siguiente tabla se muestran ejemplos de resultados de Event Threat Detection.

Tabla C. Tipos de detecciones de Event Threat Detection

Event Threat Detection detecta la destrucción de datos examinando los registros de auditoría del servidor de gestión del servicio Backup and DR en los siguientes casos:

  • Eliminación de una imagen de backup
  • Eliminación de todas las imágenes de copia de seguridad asociadas a una aplicación
  • Eliminación de un dispositivo de copia de seguridad o de recuperación

Detección de amenazas de eventos detecta la filtración de datos de BigQuery y Cloud SQL examinando los registros de auditoría de los siguientes casos:

  • Un recurso de BigQuery se ha guardado fuera de tu organización o se ha intentado realizar una operación de copia que ha bloqueado Controles de Servicio de VPC.
  • Se intenta acceder a recursos de BigQuery que están protegidos por Controles de Servicio de VPC.
  • Un recurso de Cloud SQL se exporta total o parcialmente a un segmento de Cloud Storage que no pertenece a tu organización o a un segmento que sí pertenece a tu organización y al que se puede acceder públicamente.
  • Una copia de seguridad de Cloud SQL se restaura en una instancia de Cloud SQL que no pertenece a tu organización.
  • Un recurso de BigQuery propiedad de tu organización se exporta a un segmento de Cloud Storage que no pertenece a tu organización o a un segmento de tu organización que es de acceso público.
  • Un recurso de BigQuery propiedad de tu organización se exporta a una carpeta de Google Drive.
  • Un recurso de BigQuery se guarda en un recurso público propiedad de tu organización.

Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos, que pueden indicar que se ha vulnerado una cuenta de usuario válida en instancias de Cloud SQL:

  • Se conceden todos los privilegios a un usuario de base de datos en una base de datos de Cloud SQL para PostgreSQL o a todas las tablas, procedimientos o funciones de un esquema.
  • Se usa una cuenta de superusuario de base de datos predeterminada de Cloud SQL (`postgres` en instancias de PostgreSQL o "root" en instancias de MySQL) para escribir en tablas que no son del sistema.

Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que pueden indicar que se ha vulnerado una cuenta de usuario válida en instancias de AlloyDB para PostgreSQL:

  • A un usuario de la base de datos se le conceden todos los privilegios de una base de datos de AlloyDB para PostgreSQL o de todas las tablas, procedimientos o funciones de un esquema.
  • Se usa un superusuario de cuenta de base de datos predeterminada de AlloyDB para PostgreSQL (`postgres`) para escribir en tablas que no son del sistema.
Event Threat Detection detecta ataques de fuerza bruta de autenticación de contraseñas SSH examinando los registros syslog en busca de fallos repetidos seguidos de un éxito.
Event Threat Detection detecta malware de minería de criptomonedas examinando los registros de flujo de las VPC y los registros de Cloud DNS para identificar conexiones con dominios o direcciones IP maliciosos conocidos de pools de minería.

Concesiones anómalas de gestión de identidades y accesos: Event Threat Detection detecta la adición de concesiones de gestión de identidades y accesos que podrían considerarse anómalas, como las siguientes:

  • Añadir un usuario de gmail.com a una política con el rol de editor del proyecto.
  • Invitar a un usuario de gmail.com como propietario de un proyecto desde la consola Google Cloud
  • Cuenta de servicio que concede permisos sensibles.
  • Rol personalizado que tiene permisos sensibles.
  • Se ha añadido una cuenta de servicio ajena a tu organización.

Event Threat Detection detecta cambios anómalos en Backup y Recuperación tras Desastres que pueden afectar a la postura de las copias de seguridad, como cambios importantes en las políticas y la eliminación de componentes críticos de Backup y Recuperación tras Desastres.
Event Threat Detection detecta posibles intentos de explotación de Log4j y vulnerabilidades activas de Log4j.
Event Threat Detection detecta malware examinando los registros de flujo de VPC y los registros de Cloud DNS para identificar conexiones con dominios e IPs de comando y control conocidos.
Event Threat Detection examina los registros de flujo de VPC para detectar el tráfico de denegación de servicio saliente.
Event Threat Detection detecta accesos anómalos examinando los registros de auditoría de Cloud en busca de modificaciones de servicios que se hayan originado a partir de direcciones IP de proxy anónimas, como las direcciones IP de Tor. Google Cloud
Event Threat Detection detecta comportamientos anómalos de IAM examinando los registros de auditoría de Cloud en los siguientes casos:
  • Cuentas de usuario y de servicio de IAM que acceden Google Cloud desde direcciones IP anómalas.
  • Cuentas de servicio de IAM que acceden a Google Cloud desde agentes de usuario anómalos.
  • Principales y recursos que suplantan cuentas de servicio de gestión de identidades y accesos para acceder a Google Cloud.
Event Threat Detection detecta cuándo se usan las credenciales de una cuenta de servicio para investigar los roles y los permisos asociados a esa misma cuenta.
Event Threat Detection detecta una modificación en el valor de la clave SSH de los metadatos de la instancia de Compute Engine en una instancia establecida (con más de una semana de antigüedad).
Event Threat Detection detecta una modificación en el valor del script de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (con más de una semana de antigüedad).
Event Threat Detection detecta posibles vulneraciones de cuentas de Google Workspace examinando los registros de auditoría para identificar actividades anómalas en las cuentas, como contraseñas filtradas e intentos de inicio de sesión sospechosos.
Event Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo pueden haber intentado vulnerar la cuenta o el ordenador de un usuario atacantes respaldados por un gobierno.
Detección de amenazas de eventos examina los registros de auditoría de Google Workspace para detectar cuándo se inhabilita el SSO o se cambia la configuración de las cuentas de administrador de Google Workspace.
Event Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo se inhabilita la verificación en dos pasos en las cuentas de usuario y de administrador.
Event Threat Detection detecta comportamientos anómalos de las APIs examinando los registros de auditoría de Cloud para detectar solicitudes a servicios de Google Cloud que un principal no haya visto antes.

Event Threat Detection detecta la elusión de defensas examinando los registros de auditoría de Cloud en los siguientes casos:

  • Cambios en los perímetros de Controles de Servicio de VPC que supongan una reducción de la protección ofrecida.
  • Implementaciones o actualizaciones de cargas de trabajo que usan la marca break-glass para anular los controles de autorización binaria.Vista previa
  • Inhabilita la política storage.secureHttpTransport a nivel de proyecto, carpeta u organización.
  • Cambia la configuración del filtrado por IP de un segmento de Cloud Storage.

Event Threat Detection detecta las operaciones de descubrimiento examinando los registros de auditoría de los siguientes casos:

  • Un agente potencialmente malicioso ha intentado determinar qué objetos sensibles de GKE puede consultar mediante el comando kubectl.
  • Se están usando las credenciales de una cuenta de servicio para investigar los roles y los permisos asociados a esa cuenta.
Event Threat Detection detecta las operaciones de acceso inicial examinando los registros de auditoría de los siguientes casos:
  • Una cuenta de servicio gestionada por el usuario inactiva ha activado una acción.Vista previa
  • Un principal ha intentado invocar varios métodos de Google Cloud , pero no ha podido repetidamente debido a errores de permiso denegado.Vista previa

Event Threat Detection detecta la elevación de privilegios en GKE examinando los registros de auditoría de los siguientes casos:

  • Para aumentar los privilegios, un actor potencialmente malicioso ha intentado modificar un objeto de control de acceso basado en roles (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del rol sensible cluster-admin mediante una solicitud PUT o PATCH.
  • Un agente potencialmente malicioso ha creado una solicitud de firma de certificado (CSR) del plano de control de Kubernetes, lo que le da cluster-admin acceso.
  • Para aumentar los privilegios, un agente potencialmente malicioso ha intentado crear un objeto RoleBinding o ClusterRoleBinding para el rol cluster-admin.
  • Un agente potencialmente malicioso ha consultado una solicitud de firma de certificado (CSR) con el comando kubectl mediante credenciales de arranque vulneradas.
  • Un agente potencialmente malicioso ha creado un pod que contiene contenedores con privilegios o contenedores con funciones de apropiación de privilegios.
Cloud IDS detecta ataques de capa 7 analizando paquetes duplicados y, cuando detecta un evento sospechoso, activa un resultado de Event Threat Detection. Para obtener más información sobre las detecciones de Cloud IDS, consulta Información de registro de Cloud IDS. Vista previa
Event Threat Detection detecta posibles ataques de disco de arranque modificado examinando los registros de auditoría de Cloud para detectar desvinculaciones y revinculaciones frecuentes de discos de arranque en instancias de Compute Engine.

Más información sobre Event Threat Detection

Google Cloud Armor

Cloud Armor te ayuda a proteger tu aplicación proporcionando un filtro de capa 7. Cloud Armor analiza las solicitudes entrantes en busca de ataques web comunes u otros atributos de la capa 7 para bloquear el tráfico antes de que llegue a tus servicios de backend con balanceo de carga o a tus cubos de backend.

Cloud Armor exporta dos resultados a Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection es un servicio integrado de Security Command Center. Este servicio analiza las máquinas virtuales para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecutan en entornos de nube vulnerados.

VM Threat Detection forma parte de la suite de detección de amenazas de Security Command Center y se ha diseñado para complementar las funciones de Event Threat Detection y Container Threat Detection.

Para obtener más información sobre Detección de amenazas en VMs, consulta la descripción general de Detección de amenazas en VMs.

Resultados de amenazas de Virtual Machine Threat Detection

Detección de amenazas en VMs puede generar las siguientes detecciones de amenazas.

Resultados de amenazas de minería de criptomonedas

VM Threat Detection detecta las siguientes categorías de detecciones mediante la coincidencia de hash o las reglas de YARA.

Resultados de amenazas de minería de criptomonedas de VM Threat Detection
Categoría Módulo Descripción
CRYPTOMINING_HASH Compara los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos de software de minería de criptomonedas. De forma predeterminada, los resultados se clasifican como de gravedad alta.
CRYPTOMINING_YARA Coincide con patrones de memoria, como las constantes de prueba de trabajo, que se sabe que utiliza el software de minería de criptomonedas. De forma predeterminada, los resultados se clasifican como de gravedad alta.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Identifica una amenaza que han detectado los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA. Para obtener más información, consulta Detecciones combinadas. De forma predeterminada, los resultados se clasifican como de gravedad alta.

Resultados de amenazas de rootkit en modo kernel

Detección de amenazas en VMs analiza la integridad del kernel en tiempo de ejecución para detectar las técnicas de evasión habituales que usa el malware.

El módulo KERNEL_MEMORY_TAMPERING detecta amenazas comparando el hash del código del kernel y de la memoria de datos de solo lectura del kernel de una máquina virtual.

El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas comprobando la integridad de las estructuras de datos importantes del kernel.

Resultados de amenazas de rootkit en modo kernel de Detección de amenazas de VM
Categoría Módulo Descripción
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Se ha detectado una combinación de señales que coincide con un rootkit conocido en modo kernel. Para recibir resultados de esta categoría, asegúrate de que ambos módulos estén habilitados. De forma predeterminada, los resultados se clasifican como de gravedad alta.
Alteración de la memoria del kernel
KERNEL_MEMORY_TAMPERING Se han detectado modificaciones inesperadas en la memoria de datos de solo lectura del kernel. De forma predeterminada, los resultados se clasifican como de gravedad alta.
Alteración de la integridad del kernel
KERNEL_INTEGRITY_TAMPERING Hay ftrace puntos con retrollamadas que apuntan a regiones que no están en el intervalo de código del kernel o del módulo esperado. De forma predeterminada, los resultados se clasifican como de gravedad alta.
KERNEL_INTEGRITY_TAMPERING Hay controladores de interrupciones que no están en las regiones de código de kernel o de módulo esperadas. De forma predeterminada, los resultados se clasifican como de gravedad alta.
KERNEL_INTEGRITY_TAMPERING Hay páginas de código de kernel que no están en las regiones de código de kernel o de módulo esperadas. De forma predeterminada, los resultados se clasifican como de gravedad alta.
KERNEL_INTEGRITY_TAMPERING Hay kprobe puntos con retrollamadas que apuntan a regiones que no están en el intervalo de código del kernel o del módulo esperado. De forma predeterminada, los resultados se clasifican como de gravedad alta.
KERNEL_INTEGRITY_TAMPERING Hay procesos inesperados en la cola de ejecución del programador. Estos procesos están en la cola de ejecución, pero no en la lista de tareas de proceso. De forma predeterminada, los resultados se clasifican como de gravedad alta.
KERNEL_INTEGRITY_TAMPERING Hay controladores de llamadas de sistema que no están en las regiones de código de módulo o kernel esperadas. De forma predeterminada, los resultados se clasifican como de gravedad alta.

Errores

Los detectores de errores pueden ayudarte a detectar errores en tu configuración que impidan que las fuentes de seguridad generen resultados. Los hallazgos de errores los genera la fuente de seguridad Security Command Center y tienen la clase de hallazgo SCC errors.

Acciones involuntarias

Las siguientes categorías de resultados representan errores que pueden deberse a acciones involuntarias.

Acciones involuntarias
Nombre de la categoría Nombre de la API Resumen Gravedad
API_DISABLED

Descripción del problema: Una API obligatoria está inhabilitada en el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.

Nivel de precios: Premium o Estándar

Recursos admitidos
cloudresourcemanager.googleapis.com/Project

Búsquedas por lotes: cada 60 horas

Corregir este resultado

Crítica
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descripción del hallazgo: Se han definido configuraciones de valor de recursos para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recurso de tu entorno. Las simulaciones están usando el conjunto de recursos de alto valor predeterminado.

Este error puede deberse a cualquiera de los siguientes motivos:

  • Ninguna de las configuraciones de valor de recurso coincide con ninguna instancia de recurso.
  • Una o varias configuraciones de valores de recursos que especifican que NONE anula cualquier otra configuración válida.
  • Todas las configuraciones de valores de recursos definidos especifican el valor NONE.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: antes de cada simulación de ruta de ataque.

Corregir este resultado

Crítica
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descripción del hallazgo: En la última simulación de ruta de ataque, el número de instancias de recursos de alto valor, según se ha identificado en las configuraciones de valor de los recursos, ha superado el límite de 1000 instancias de recursos en un conjunto de recursos de alto valor. Por lo tanto, Security Command Center ha excluido del conjunto de recursos de alto valor el número de instancias que excedía el límite.

El número total de instancias coincidentes y el número total de instancias excluidas del conjunto se identifican en el resultado SCC Error de la consola Google Cloud .

Las puntuaciones de exposición a ataques de los hallazgos que afectan a las instancias de recursos excluidas no reflejan la designación de alto valor de las instancias de recursos.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: antes de cada simulación de ruta de ataque.

Corregir este resultado

Alta
KTD_IMAGE_PULL_FAILURE

Descripción del problema: No se puede habilitar Detección de amenazas de contenedores en el clúster porque no se puede extraer (descargar) una imagen de contenedor obligatoria de gcr.io, el host de imágenes de Container Registry. La imagen es necesaria para desplegar el DaemonSet de Container Threat Detection que requiere Container Threat Detection.

Se ha producido el siguiente error al intentar implementar el DaemonSet de Container Threat Detection:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nivel de precios: Premium

Recursos admitidos
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corregir este resultado

Crítica
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descripción de la detección: no se puede habilitar Container Threat Detection en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere Container Threat Detection.

Cuando se ven en la consola Google Cloud , los detalles de la detección incluyen el mensaje de error que ha devuelto Google Kubernetes Engine cuando Container Threat Detection ha intentado desplegar un objeto DaemonSet de Container Threat Detection.

Nivel de precios: Premium

Recursos admitidos
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corregir este resultado

Alta
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del problema: A una cuenta de servicio le faltan permisos que requiere Container Threat Detection. Es posible que Container Threat Detection deje de funcionar correctamente porque la instrumentación de detección no se puede habilitar, actualizar ni inhabilitar.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: cada 30 minutos

Corregir este resultado

Crítica
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción de la detección: Container Threat Detection no puede generar detecciones para un clúster de Google Kubernetes Engine porque la cuenta de servicio predeterminada de GKE del clúster no tiene permisos. De este modo, se evita que Container Threat Detection se habilite correctamente en el clúster.

Nivel de precios: Premium

Recursos admitidos
container.googleapis.com/Cluster

Análisis por lotes: todas las semanas

Corregir este resultado

Alta
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descripción del resultado: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging.

Nivel de precios: Premium

Recursos admitidos
cloudresourcemanager.googleapis.com/Organization

Análisis por lotes: cada 30 minutos

Corregir este resultado

Alta
VPC_SC_RESTRICTION

Descripción del resultado: Security Health Analytics no puede generar determinados resultados de un proyecto. El proyecto está protegido por un perímetro de servicio y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.

Nivel de precios: Premium o Estándar

Recursos admitidos
cloudresourcemanager.googleapis.com/Project

Búsquedas por lotes: cada 6 horas

Corregir este resultado

Alta
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del problema: La cuenta de servicio de Security Command Center no tiene los permisos necesarios para funcionar correctamente. No se producen hallazgos.

Nivel de precios: Premium o Estándar

Recursos admitidos

Análisis por lotes: cada 30 minutos

Corregir este resultado

Crítica

Para obtener más información, consulta Errores de Security Command Center.

Siguientes pasos