Esta página se ha traducido con Cloud Translation API.

Evasión: acceso del proxy anonimizador

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

El acceso anómalo desde un proxy anónimo se detecta examinando los registros de auditoría de Cloud para ver si hay modificaciones de servicios de Google Cloud que se hayan originado en una dirección IP asociada a la red Tor.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre un resultado de Evasion: Access from Anonymizing Proxy, tal como se indica en el artículo Revisar resultados. Se abre el panel de detalles del resultado, que muestra la pestaña Resumen.
En la pestaña Resumen del panel de detalles de la detección, consulta los valores que se indican en las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Correo principal: la cuenta que ha realizado los cambios (una cuenta que podría estar en peligro).
  - IP la dirección IP del proxy desde la que se realizan los cambios.
- Recurso afectado
- Enlaces relacionados, especialmente los siguientes campos:
  - URI de Cloud Logging: enlace a las entradas de registro.
  - Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
  - Hallazgos relacionados: enlaces a los hallazgos relacionados.
También puedes hacer clic en la pestaña JSON para ver más campos de resultados.

Paso 2: Investiga los métodos de ataque y respuesta

Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Proxy: Multi-hop Proxy (Proxy: proxy multisalto).
Ponte en contacto con el propietario de la cuenta que aparece en el campo principalEmail. Confirma si la acción la ha llevado a cabo el propietario legítimo.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.