Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Se detectó actividad anómala del administrador por parte de un actor potencialmente malicioso en una organización, una carpeta o un proyecto. La actividad anómala puede ser una de las siguientes:
Actividad nueva de una principal en una organización, una carpeta o un proyecto
Actividad que una principal no ha visto en un tiempo en una organización, carpeta o proyecto
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
Paso 1: Revisa los detalles del hallazgo
Abre el hallazgo de Persistence: New API Method como se indica en Revisa los hallazgos.
En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos:
En Qué se detectó, haz lo siguiente:
Correo electrónico principal: Es la cuenta que realizó la llamada.
Nombre del servicio: Es el nombre de la API del servicio de Google Cloud que se usa en la acción.
Nombre del método: Es el método al que se llamó.
En Recurso afectado, haz lo siguiente:
Nombre visible del recurso: Es el nombre del recurso afectado, que podría ser el mismo que el de la organización, la carpeta o el proyecto.
Ruta de acceso al recurso: Es la ubicación en la jerarquía de recursos donde se produjo la actividad.
Paso 2: Investiga los métodos de ataque y respuesta
Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Persistencia.
Investiga si la acción estaba justificada en la organización, la carpeta o el proyecto, y si la realizó el propietario legítimo de la cuenta. La organización, la carpeta o el proyecto se muestran en la fila Ruta de acceso al recurso, y la cuenta se muestra en la fila Correo electrónico principal.
Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nAnomalous admin activity by a potentially malicious actor was detected in an\norganization, folder, or project. Anomalous activity can be either of the following:\n\n- New activity by a principal in an organization, folder, or project\n- Activity that has not been seen in a while by a principal in an organization, folder, or project\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open the `Persistence: New API Method` finding as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. In the finding details, on the **Summary** tab, note the values of the following fields:\n\n - Under **What was detected** :\n - **Principal email**: the account that made the call\n - **Service name**: the API name of the Google Cloud service used in the action\n - **Method name**: the method that was called\n - Under **Affected resource** :\n - **Resource display name**: the name of the affected resource, which could be the same as the name of the organization, folder, or project\n - **Resource path**: the location in the resource hierarchy where the activity took place\n\nStep 2: Research attack and response methods\n\n1. Review MITRE ATT\\&CK framework entries for this finding type: **Persistence**.\n2. Investigate whether the action was warranted in the organization, folder, or project and whether the action was taken by the legitimate owner of the account. The organization, folder, or project is displayed on the **Resource path** row and the account is displayed on the **Principal email** row.\n3. To develop a response plan, combine your investigation results with MITRE research.\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
