Esta página se ha traducido con Cloud Translation API.

Persistencia: nuevo método de API

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se ha detectado actividad de administrador anómala por parte de un agente potencialmente malintencionado en una organización, una carpeta o un proyecto. La actividad anómala puede ser de dos tipos:

Nueva actividad de una entidad de seguridad en una organización, una carpeta o un proyecto
Actividad que no ha visto un principal en una organización, una carpeta o un proyecto en un tiempo

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre el Persistence: New API Method tal como se indica en el artículo Revisar los resultados.
En los detalles de la detección, en la pestaña Resumen, anota los valores de los siguientes campos:
- En Qué se detectó:
  - Correo principal: la cuenta que ha hecho la llamada.
  - Nombre del servicio: el nombre de la API del servicio de Google Cloud usado en la acción.
  - Nombre del método: el método al que se ha llamado
- En Recurso afectado:
  - Nombre visible del recurso: el nombre del recurso afectado, que podría ser el mismo que el de la organización, la carpeta o el proyecto
  - Ruta del recurso: la ubicación en la jerarquía de recursos donde se produjo la actividad.

Paso 2: Investiga los métodos de ataque y respuesta

Revisa las entradas del framework ATT&CK de MITRE de este tipo de hallazgo: Persistencia.
Investiga si la acción estaba justificada en la organización, la carpeta o el proyecto, y si la llevó a cabo el propietario legítimo de la cuenta. La organización, la carpeta o el proyecto se muestran en la fila Ruta del recurso y la cuenta se muestra en la fila Correo principal.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.