Descripción general de las amenazas correlacionadas

La función Correlated Threats de Security Command Center te ayuda a descubrir amenazas activas críticas en tu entorno. Correlated Threats genera un conjunto de resultados de amenazas relacionadas y proporciona explicaciones detalladas sobre estos resultados, que luego puedes usar para priorizar, comprender y responder a estas amenazas.

Los equipos de seguridad suelen experimentar fatiga por alertas debido a la administración de una cantidad abrumadora de hallazgos de amenazas. Esta situación puede provocar respuestas perdidas o retrasadas. Estos equipos necesitan información priorizada y pertinente rápidamente para identificar la actividad posterior al aprovechamiento de vulnerabilidades.

Las amenazas correlacionadas ayudan a agregar varios hallazgos de amenazas relacionados en un problema. Esta agregación ayuda a proporcionar detecciones más confiables sobre las que puedes tomar medidas. Correlated Threats genera un problema que representa una serie de actividades maliciosas relacionadas.

Esta función ofrece varios beneficios:

  • Reduce la fatiga que generan las alertas, ya que consolida numerosos hallazgos en problemas críticos.
  • Mejora la fidelidad de la detección combinando múltiples indicadores, lo que ayuda a aumentar la confianza en la detección de actividad maliciosa.
  • Proporciona una visualización de la cadena de ataque, que muestra cómo se conectan los eventos para ayudar a formar una historia completa del ataque. Este enfoque te ayuda a anticipar los movimientos del adversario y a identificar rápidamente los recursos comprometidos.
  • Destaca las amenazas críticas y proporciona recomendaciones claras, lo que te ayuda a priorizar y acelerar tu respuesta.

Cómo funcionan las amenazas correlacionadas

La función Correlated Threats usa un motor de reglas para identificar y agrupar los resultados de seguridad relacionados.

El motor de reglas consulta el gráfico de seguridad con consultas de amenazas correlacionadas predefinidas. Luego, el motor traduce los resultados de la búsqueda en problemas. Security Command Center administra el ciclo de vida de estos problemas de amenazas. Un problema permanece activo durante 14 días después del primer hallazgo de amenaza si no lo silencias ni lo marcas como inactivo. Este período se establece automáticamente y no se puede configurar. Las amenazas correlacionadas se resuelven automáticamente si se borran los recursos subyacentes, como las VMs o los nodos de Google Kubernetes Engine.

Las amenazas correlacionadas requieren ejecuciones de reglas más frecuentes que otras reglas del gráfico de seguridad. El sistema procesa las reglas de amenazas cada hora. Este enfoque se integra con las fuentes de detección existentes de Security Command Center.

Reglas de amenazas correlacionadas

Las amenazas correlacionadas ayudan a identificar varios patrones de ataque de varias etapas en los recursos de la nube. Las siguientes reglas de Correlated Threats están disponibles:

  • Múltiples indicadores de amenazas correlacionados de software de minería de criptomonedas: Esta regla busca múltiples indicadores distintos de software malicioso provenientes de máquinas virtuales Google Cloud , incluidas las VMs de Compute Engine y los nodos (y sus Pods) de Google Kubernetes Engine (GKE).

    Algunos ejemplos son los siguientes:

    • VM Threat Detection detecta un programa de criptomonedas, y Event Threat Detection detecta conexiones a direcciones IP o dominios de criptomonedas desde la misma VM.
    • Container Threat Detection detecta un programa que usa el protocolo stratum de minería de criptomonedas, y Event Threat Detection detecta una conexión a una dirección IP de minería de criptomonedas desde el mismo nodo de Google Kubernetes Engine.

  • Varios indicadores de amenazas correlacionados de software malicioso: Esta regla busca varios indicadores distintos de software malicioso provenientes de máquinas virtuales deGoogle Cloud , incluidas las VMs de Compute Engine y los nodos de GKE (y sus Pods).

    Algunos ejemplos son los siguientes:

    • Container Threat Detection detecta la ejecución de un objeto binario malicioso y una secuencia de comandos de Python maliciosa en el mismo Pod.
    • Event Threat Detection detecta una conexión a una dirección IP de software malicioso, y VM Threat Detection detecta software malicioso en el disco de la misma VM.

  • Movimiento lateral de una cuenta de GCP potencialmente vulnerada a una instancia de GCE vulnerada: Esta regla busca evidencia de llamadas sospechosas a las APIs de Compute Engine que modifican una VM (incluidos los nodos de GKE). Luego, la regla correlaciona esa actividad con la actividad maliciosa que se origina en la VM en un período breve. Los atacantes usan este patrón común de movimiento lateral. Esta regla podría indicar que la VM está en riesgo. Esta regla también puede indicar que la cuenta Google Cloud(ya sea de usuario o de servicio) podría ser la causa de la actividad maliciosa.

    Algunos ejemplos son los siguientes:

    • Event Threat Detection detecta que un usuario agregó una nueva clave SSH a una instancia de Compute Engine, y VM Threat Detection detecta un minero de criptomonedas que se ejecuta en la misma instancia.
    • Event Threat Detection detecta que una cuenta de servicio accedió a una instancia con la API de Compute Engine desde la red de Tor, y también detecta conexiones a una dirección IP maliciosa desde la misma instancia.

Investiga las amenazas correlacionadas

Las amenazas correlacionadas te guían a través de un proceso de investigación estructurado. Este proceso te ayuda a comprender los incidentes de seguridad y responder a ellos de manera eficaz. Puedes usar el Índice de resultados de amenazas para encontrar más información sobre un resultado de amenaza específico. En cada página específica de un hallazgo, se describe cómo investigar y responder a la amenaza.

Recepción

Recibes un problema de Correlated Threats a través de Security Command Center. Este problema indica que el sistema detectó y agrupó varios hallazgos sospechosos. Reconoces este problema como de alta prioridad, ya que está marcado como una amenaza activa. La correlación de varios indicadores indica un verdadero positivo que justifica un enfoque inmediato. Para obtener más información, consulta Administra y corrige problemas.

Deconstrucción

Abre el problema para ver sus partes. En la vista de detalles del problema, puedes expandir una sección para ver los hallazgos individuales. Por ejemplo, si se ejecuta una secuencia de comandos dañina en un nodo de GKE y, luego, se conecta a una dirección IP maliciosa, ambos eventos aparecerán juntos. Verifica los detalles de cada hallazgo, como cuándo ocurrió, qué procesos estuvieron involucrados, las direcciones IP maliciosas y de dónde provino la detección. Esta información indica que los eventos están potencialmente relacionados y explica los detalles técnicos del ataque. Una vista cronológica muestra la secuencia de eventos. El sistema asigna estos detalles a las etapas de la cadena de ataque de MITRE ATT&CK y los presenta en una visualización de la cadena de ataque. Esta función te brinda contexto inmediato sobre la etapa del ataque.

Identificación del alcance

Determina el alcance de la amenaza. Verifica la información contextual sobre los eventos correlacionados, como el activo afectado y su contexto de proyecto o clúster. La plataforma correlaciona los problemas por recurso, utilizando identificadores únicos para vincular los eventos al mismo nodo. Aquí se muestra el recurso afectado. Verifica si otros recursos muestran signos similares. Toma nota de las identidades involucradas, como la cuenta de servicio o el usuario que ejecutó el script malicioso. Esta vista con alcance te ayuda a enfocarte en los sistemas afectados y confirma si el incidente es localizado o generalizado.

Próximas acciones

El sistema marca los problemas de amenazas correlacionadas con un nivel de gravedad crítico. Puedes encontrar las acciones recomendadas en las vistas de Cómo corregir. Contén el activo afectado, por ejemplo, aísla o apaga el nodo de GKE afectado. Sigue las recomendaciones, como bloquear la IP maliciosa conocida a nivel del firewall o de la VPC de Cloud. Las acciones recomendadas te ayudan a responder más rápido, contener el incidente y comenzar una investigación enfocada. Para obtener más información sobre las amenazas, consulta Cómo investigar amenazas.

¿Qué sigue?