Investigar amenazas y responder ante ellas

>

En este tema, se ofrece orientación informal para investigar y responder a las amenazas, y usar recursos adicionales a fin de agregar contexto a los hallazgos del Security Command Center. Si sigues estos pasos, podrás comprender qué sucedió durante un posible ataque y desarrollar posibles respuestas para los recursos afectados.

No se garantiza que las técnicas en esta página sean eficaces en caso de amenazas futuras, actuales o futuras. Consulta las medianas de amenazas para comprender por qué la Security Command Center no proporciona una guía de solución oficial para las amenazas.

Antes de comenzar

Necesitas funciones de administración de identidades y accesos (IAM) adecuadas para ver o editar los resultados y los registros, y modificar los recursos de Google Cloud. Si encuentras errores de acceso en Security Command Center, solicita ayuda a tu administrador y consulta Control de acceso para obtener información sobre las funciones. Para resolver los errores de recursos, lee la documentación de los productos afectados.

Comprende los hallazgos de las amenazas

Event Threat Detection produce hallazgos de seguridad mediante la coincidencia de eventos en tu transmisión de Cloud Logging con indicadores de compromiso conocidos (IoC). IoC, desarrolladas por fuentes de seguridad internas de Google, identifica posibles vulnerabilidades y ataques. La Detección de eventos de amenazas también detecta amenazas mediante la identificación de tácticas, técnicas y procedimientos conocidos conocidos en tu transmisión de registro, y mediante la detección de desviaciones del comportamiento observado históricamente de tu organización.

La detección de amenazas a contenedores genera hallazgos mediante la recopilación y el análisis del comportamiento observado de bajo nivel en el kernel invitado de los contenedores.

Los resultados se escriben en Security Command Center y Cloud Logging.

Revisa los resultados

Para revisar los hallazgos de las amenazas, haz lo siguiente:

1. Ve a la página Resultados del Security Command Center en Google Cloud Console.

   Ir a la página de hallazgos

2. Si es necesario, selecciona tu organización o proyecto.

3. En la página de resultados, junto a Ver por, haz clic en Tipo de fuente.

4. Selecciona Event Threat Detection o Container Threat Detection. La tabla se propaga con resultados para la fuente que seleccionaste.

5. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado, en la categoría de la tabla. Se abrirá el panel Detalles de la búsqueda.

Los resultados proporcionan los nombres y los identificadores numéricos de los recursos involucrados en un incidente, junto con las variables de entorno y las propiedades del elemento. Puedes usar esa información para aislar los recursos afectados con rapidez y determinar el alcance potencial de un evento.

Los resultados de la amenaza también contienen vínculos a recursos externos para ayudarte en tus investigaciones. Entre estos recursos, se incluyen los siguientes:

• MITRE ATT&CK. El marco de trabajo explica técnicas para los ataques contra recursos de la nube y proporciona orientación de solución.
• VirusTotal, un servicio de Alphabet que proporciona contexto en archivos, URL, dominios y direcciones IP potencialmente maliciosos

En las siguientes secciones, se describen las posibles respuestas a los hallazgos de amenazas.

Respuestas de detección de amenazas a eventos

Para obtener más información sobre la Detección de eventos de amenazas, consulta cómo funciona Event Threat Detection.

Robo de datos: Exfiltración de datos de BigQuery

El robo de datos de BigQuery se detecta mediante la examinación de los registros de auditoría en tres situaciones:

• Un recurso se guarda fuera de tu organización.
• Los Controles del servicio de VPC bloquean una operación de copia.
• Se intenta acceder a los recursos de BigQuery que están protegidos por los Controles del servicio de VPC.

Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado Exfiltration: BigQuery Data Exfiltration, como se indica en Revisa los resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • properties
     • projectId: el hallazgo involucra un activo en este proyecto
     • jobLink: El vínculo al trabajo de BigQuery que extrae datos
     • Query: La consulta de SQL se ejecuta en el conjunto de datos de BigQuery
     • SourceTables: las tablas a partir de las cuales se robaron datos
     • DestinationTables: las tablas en las que se almacenaron los datos certificados
     • userEmail: la cuenta que se usó para robar los datos
   • contextUris: Recursos internos y externos para agregar contexto a los hallazgos
     • mitreURI: Vínculo a la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado
     • cloudLoggingQueryURI: vínculo a la página Logging
     • relatedFindingURI: vínculo a resultados relacionados

Paso 2: Revise los permisos y la configuración

1. Dirígete a la página IAM en Cloud Console.

   Ir a la página IAM

2. Si es necesario, selecciona el proyecto que aparece en projectID.

3. En la página que aparece, en el cuadro Filtro, ingresa la dirección de correo electrónico que aparece en userEmail y verifica qué permisos se asignan a la cuenta.

Paso 3: Comprueba los registros

1. Haz clic en el vínculo en cloudLoggingQueryURI para ir a la página Explorador de registros en Cloud Console.
2. Busca registros de actividad de administrador relacionados con los trabajos de BigQuery mediante los siguientes filtros:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Exfiltración por servicio web: exfiltración a Cloud Storage.
2. Para revisar los resultados relacionados, haz clic en el vínculo que se encuentra en relatedFindingURI. Los resultados relacionados son del mismo tipo de resultado en la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto con los datos existentes. Los pasos sugeridos podrían afectar las operaciones.
• Considera recuperar los permisos de userEmail hasta que se complete la investigación.
• Para detener el robo de datos, agrega políticas de IAM restrictivas a los conjuntos de datos de BigQuery afectados (SourceTables y DestinationTables).
• Para analizar conjuntos de datos afectados en busca de información sensible, usa Cloud Data Loss Prevention. También puedes enviar datos de Cloud DLP a Security Command Center. Según la cantidad de información, los costos de Cloud DLP pueden ser significativos. Sigue las prácticas recomendadas para mantener los costos de Cloud DLP con el control.
• Para limitar el acceso a la API de BigQuery, usa los Controles del servicio de VPC.
• Para identificar y corregir las funciones demasiado permisivas, usa el Recommender de IAM.

Fuerza bruta: SSH

Detección de fuerza bruta SSH exitosa en un host Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado Brute Force: SSH, como se indica en Cómo encontrar resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • sourceLogId: el ID del proyecto y la marca de tiempo para identificar la entrada de registro
     • projectId: el proyecto que contiene el resultado.
   • Attempts: la cantidad de intentos de acceso
     • sourceIP: la dirección IP en la que se inició el ataque
     • username: la cuenta con la que accedió
     • vmName: el nombre de la máquina virtual
     • authResult: El resultado de la autenticación SSH
   • contextUris: Recursos internos y externos para agregar contexto a los hallazgos
     • mitreURI: Vínculo a la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado
     • cloudLoggingQueryURI: vínculo a la página Logging
     • relatedFindingURI: Vínculo a resultados relacionados del mismo tipo

Paso 2: Revise los permisos y la configuración

1. Ve a la página Panel en Cloud Console.

   Ir a la página Panel

2. Haz clic en la lista desplegable Seleccionar desde en la parte superior de la página. En la ventana Seleccionar desde que aparece, selecciona el proyecto que aparece en projectId.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincida con el nombre y la zona en vmName. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haga clic en Red de VPC y, luego, en Firewall. Quita o inhabilita las reglas de firewall demasiado permisivas en el puerto 22.

Paso 3: Comprueba los registros

1. Haz clic en el vínculo en cloudLoggingQueryURI para ir a la página Explorador de registros en Cloud Console.
2. En la página que se carga, busca registros de flujo de VPC relacionados con srcIP mediante el siguiente filtro:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Cuentas válidas: cuentas locales.
2. Para revisar los resultados relacionados, haz clic en el vínculo que se encuentra en relatedFindingURI. Los resultados relacionados son el mismo tipo de hallazgo, y la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto para intentar con éxito la operación de fuerza bruta. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Investiga la instancia potencialmente comprometida y quita el software malicioso detectado. Para ayudar con la detección y eliminación, usa una solución de detección y respuesta de extremos.
• Considera inhabilitar el acceso SSH a la VM. Este paso podría interrumpir el acceso autorizado a la VM, así que considera las necesidades de tu organización antes de continuar.
• Solo usa la autenticación SSH con claves autorizadas.
• Para bloquear las direcciones IP maliciosas, actualiza las reglas de firewall o usa Google Cloud Armor. Puedes habilitar Google Cloud Armor en la página Servicios integrados de Security Command Center. Según la cantidad de información, los costos de Google Cloud Armor pueden ser significativos. Consulta la guía de precios de Google Cloud Armor para obtener más información.

Criptominería

Para detectar software malicioso, se analizan los registros de flujo de VPC y los registros de Cloud DNS de conexiones a comandos conocidos y de control y direcciones IP. Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado Cryptomining: Bad IP, según se indica en Cómo revisar los resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • Properties_ip_0: La posible dirección IP de criptominería
   • properties_sourceInstance: la instancia de VM de Compute Engine afectada
   • properties_project_id: el proyecto para la instancia de Compute Engine

Paso 2: Revise los permisos y la configuración

1. Ve a la página Panel en Cloud Console.

   Ir a la página Panel

2. Haz clic en la lista desplegable Seleccionar desde en la parte superior de la página. En la ventana Seleccionar desde que aparece, selecciona el proyecto que aparece en properties_project_id.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincida con properties_sourceInstance. Investigar la instancia potencialmente comprometida para el software malicioso

5. En el panel de navegación, haga clic en Red de VPC y, luego, en Firewall. Quita o inhabilita reglas de firewall demasiado permisivas.

Paso 3: Comprueba los registros

1. Ve a la página Explorador de registros en Cloud Console.

   Ir a la página Explorador de registros

2. Selecciona tu proyecto.

3. En la página que se carga, busca registros de flujo de VPC relacionados con Properties_ip_0 mediante el siguiente filtro:

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: usurpación de recursos.
2. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que contiene software malicioso. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Investiga la instancia potencialmente comprometida y quita el software malicioso detectado. Para ayudar con la detección y eliminación, usa una solución de detección y respuesta de extremos.
• Si es necesario, detén la instancia comprometida y reemplázala por una instancia nueva.
• Para bloquear las direcciones IP maliciosas, actualiza las reglas de firewall o usa Google Cloud Armor. Puedes habilitar Google Cloud Armor en la página Servicios integrados del Security Command Center. Según el volumen de datos, los costos de Google Cloud Armor pueden ser significativos. Consulta la guía de precios de Google Cloud Armor para obtener más información.

Credenciales filtradas

Este resultado se genera cuando las credenciales de la cuenta de servicio de Google Cloud se filtran accidentalmente o están en riesgo. Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado account_has_leaked_credentials, como se indica en Cómo revisar los detalles de los resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • Compromised_account: la cuenta de servicio que puede estar comprometida
   • Project_identifier: el proyecto que contiene las credenciales de cuenta potencialmente filtradas
   • URL: el vínculo al repositorio de GitHub

Paso 2: Revisa los permisos del proyecto y de la cuenta de servicio

1. Dirígete a la página IAM en Cloud Console.

   Ir a la página IAM

2. Si es necesario, selecciona el proyecto que aparece en Project_identifier.

3. En la página que aparece, en el cuadro Filtro, ingresa el nombre de la cuenta que aparece en Compromised_account y verifica los permisos asignados.

4. Dirígete a la página Cuentas de servicio en Cloud Console.

   Ir a la página Cuentas de servicio

5. En la página que aparece, en el cuadro Filtro, ingresa el nombre de la cuenta de servicio vulnerada y verifica las claves y las fechas de creación de la clave.

Paso 3: Comprueba los registros

1. Ve a la página Explorador de registros en Cloud Console.

   Ir a la página Explorador de registros

2. Selecciona tu proyecto.

3. En la página que se carga, verifica los registros para ver la actividad de recursos de IAM nuevos o actualizados mediante los siguientes filtros:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Cuentas válidas: Cloud Accounts.
2. Para revisar los resultados relacionados, haz clic en el vínculo que se encuentra en relatedFindingURI. Los resultados relacionados son el mismo tipo de hallazgo, y la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto con las credenciales filtradas. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Considera borrar la cuenta de servicio comprometida y rotar y borrar todas las claves de acceso de la cuenta de servicio para el proyecto vulnerado. Después de la eliminación, los recursos que usan la cuenta de servicio para la autenticación pierden el acceso. Antes de continuar, tu equipo de seguridad debe identificar todos los recursos afectados y trabajar con los propietarios de recursos para garantizar la continuidad del negocio.
• Trabaja con tu equipo de seguridad para identificar recursos desconocidos, como instancias de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM. Borra los recursos que no se hayan creado con cuentas autorizadas.
• Responde las notificaciones de la Asistencia de Google Cloud.
• Para limitar quién puede crear cuentas de servicio, usa el Servicio de políticas de la organización.
• Para identificar y corregir las funciones demasiado permisivas, usa el Recomendador de IAM.
• Abre el vínculo URL y borra las credenciales filtradas. Recopila más información sobre la cuenta comprometida y comunícate con el propietario.

Software malicioso

Para detectar software malicioso, se analizan los registros de flujo de VPC y los registros de Cloud DNS de conexiones a dominios conocidos de control y direcciones IP, y a controlar dominios. Para responder a estos resultados, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado Malware: Bad IP, según se indica en Cómo revisar los resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • sourceLogId
     • projectId: el proyecto que contiene el resultado.
   • ipConnection
     • srcIP: Un comando conocido de software malicioso y una dirección IP de control
     • srcPort: El puerto de origen de la conexión
     • destIP: la dirección IP de destino del software malicioso
     • destPort: el puerto de destino de la conexión.
   • InstanceDetails: La dirección de recursos para la instancia de Compute Engine
   • contextUris: Recursos internos y externos para agregar contexto a los hallazgos
     • mitreURI: Vínculo a la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado
     • virustotalIndicatorQueryUI: Vínculo a la página de análisis de VirusTotal
     • cloudLoggingQueryURI: Vínculo a la página Logging
     • relatedFindingURI: Vínculo a resultados relacionados del mismo tipo

Paso 2: Revise los permisos y la configuración

1. Ve a la página Panel en Cloud Console.

   Ir a la página Panel

2. Haz clic en la lista desplegable Seleccionar desde en la parte superior de la página. En la ventana Seleccionar desde que aparece, selecciona el proyecto que aparece en projectId.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincida con el nombre y la zona en instanceDetails. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haga clic en Red de VPC y, luego, en Firewall. Quita o inhabilita reglas de firewall demasiado permisivas.

Paso 3: Comprueba los registros

1. Haz clic en el vínculo en cloudLoggingQueryURI para ir a la página Explorador de registros en Cloud Console.
2. En la página que se carga, busca registros de flujo de VPC relacionados con la dirección IP en srcIP mediante el siguiente filtro:
   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="srcIP" OR jsonPayload.connection.dest_ip="destIP")

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Resolución dinámica y Comando y control.
2. Para revisar los resultados relacionados, haz clic en el vínculo que se encuentra en relatedFindingURI. Los resultados relacionados son el mismo tipo de hallazgo, y la misma instancia y red.
3. Verifica las URL y los dominios marcados en VirusTotal haciendo clic en el vínculo en virustotalIndicatorQueryUI. VirusTotal es un servicio de propiedad de Alphabet que proporciona contexto en archivos, URL, dominios y direcciones IP potencialmente maliciosos.
4. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que contiene software malicioso. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Investiga la instancia potencialmente comprometida y quita el software malicioso detectado. Para ayudar con la detección y eliminación, usa una solución de detección y respuesta de extremos.
• Para realizar un seguimiento de la actividad y las vulnerabilidades que permitió la inserción de software malicioso, verifica los registros de auditoría y los syslog asociados con la instancia comprometida.
• Si es necesario, detén la instancia comprometida y reemplázala por una instancia nueva.
• Para bloquear las direcciones IP maliciosas, actualiza las reglas de firewall o usa Google Cloud Armor. Puedes habilitar Google Cloud Armor en la página Servicios integrados del Security Command Center. Según el volumen de datos, los costos de Google Cloud Armor pueden ser significativos. Consulta la guía de precios de Google Cloud Armor para obtener más información.
• Para controlar el acceso y el uso de las imágenes de VM, usa la política de IAM de VM protegida y de imágenes de confianza .

DoS Salientes

Event Threat Detection detecta el posible uso de una instancia para iniciar un ataque de denegación del servicio (DoS) mediante el análisis de los registros de flujo de VPC. Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un búsqueda de Malware: Outgoing DoS como se indica en Revisa los resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • sourceInstanceDetails: la instancia de VM de Compute Engine afectada
   • ipConnection
     • srcIP: Un comando conocido de software malicioso y una dirección IP de control
     • srcPort: El puerto de origen de la conexión
     • destIP: la dirección IP de destino del software malicioso
     • destPort: el puerto de destino de la conexión.
   • contextUris: Recursos internos y externos para agregar contexto a los hallazgos
     • mitreURI: Vínculo a la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado
     • cloudLoggingQueryURI: vínculo a la página Logging
     • relatedFindingURI: Vínculo a resultados relacionados del mismo tipo

Paso 2: Revise los permisos y la configuración

1. Ve a la página Panel en Cloud Console.

   Ir a la página Panel

2. Haz clic en la lista desplegable Seleccionar desde en la parte superior de la página. En la ventana Seleccionar desde que aparece, selecciona el ID del proyecto que aparece en sourceInstanceDetails.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincide con el nombre y la zona de la instancia en sourceInstanceDetails. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haga clic en Red de VPC y, luego, en Firewall. Quita o inhabilita reglas de firewall demasiado permisivas.

Paso 3: Comprueba los registros

1. Haz clic en el vínculo en cloudLoggingQueryURI para ir a la página Explorador de registros en Cloud Console.
2. En la página que se carga, busca registros de flujo de VPC relacionados con la dirección IP en srcIP mediante el siguiente filtro:
   • logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="srcIP" OR jsonPayload.connection.dest_ip="destIP")

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de hallazgo: Rechazo de servicio de red.
2. Para revisar los resultados relacionados, haz clic en el vínculo que se encuentra en relatedFindingURI. Los resultados relacionados son el mismo tipo de hallazgo, y la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que tiene tráfico de DoS saliente. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Investiga la instancia potencialmente comprometida y quita el software malicioso detectado. Para ayudar con la detección y eliminación, usa una solución de detección y respuesta de extremos.
• Para realizar un seguimiento de la actividad y las vulnerabilidades que permitió la inserción de software malicioso, verifica los registros de auditoría y los syslog asociados con la instancia comprometida.
• Si es necesario, detén la instancia comprometida y reemplázala por una instancia nueva.
• Para bloquear las direcciones IP maliciosas, actualiza las reglas de firewall o usa Google Cloud Armor. Puedes habilitar Google Cloud Armor en la página Servicios integrados del Security Command Center. Según el volumen de datos, los costos de Google Cloud Armor pueden ser significativos. Consulta la guía de precios de Google Cloud Armor para obtener más información.
• Para controlar el acceso y el uso de las imágenes de VM, usa la política de IAM de VM protegida y de imágenes de confianza .

Persistencia: Otorgar anómalo de IAM

Los registros de auditoría se analizan para detectar la adición de otorgamientos de funciones de IAM (IAM) que pueden considerarse sospechosas. Los siguientes son ejemplos de otorgamientos anómalos:

• Invitar a un usuario de gmail.com como propietario del proyecto desde Google Cloud Console
• Una cuenta de servicio que otorga permisos sensibles
• Una función personalizada que otorga permisos sensibles
• Una cuenta de servicio agregada desde fuera de tu organización

Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un búsqueda de Persistence: IAM Anomalous Grant como se indica en Cómo revisar resultados.
2. En el panel Buscar detalles, en Información adicional, haz clic en Propiedades de origen y observa los siguientes campos:
   • projectId: el proyecto que contiene el resultado.
   • principalEmail: dirección de correo electrónico del usuario o cuenta de servicio que asignó la función
   • bindingDeltas
     • Action: la acción que realiza el usuario
     • Role: la función asignada al usuario
     • member: la dirección de correo electrónico del usuario que recibió la función
   • contextUris: Recursos internos y externos para agregar contexto a los hallazgos
     • mitreURI: Vínculo a la entrada del marco de trabajo de MITRE ATT&CK para este tipo de resultado
     • virustotalIndicatorQueryUI: Vínculo a la página de análisis de VirusTotal
     • cloudLoggingQueryURI: vínculo a la página Logging
     • relatedFindingURI: Vínculo a resultados relacionados del mismo tipo

Paso 2: Verifica los registros

1. Haz clic en el vínculo en cloudLoggingQueryURI para ir a la página Explorador de registros en Cloud Console.
2. En la página que se carga, busca recursos de IAM nuevos o actualizados mediante los siguientes filtros:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Cuentas válidas: Cloud Accounts.
2. Para revisar los resultados relacionados, haz clic en el vínculo que se encuentra en relatedFindingURI. Los resultados relacionados son el mismo tipo de hallazgo, y la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que tenga la cuenta comprometida. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Borra la cuenta de servicio comprometida y rota y borra todas las claves de acceso de la cuenta de servicio para el proyecto vulnerado. Después de la eliminación, los recursos que usan la cuenta de servicio para la autenticación pierden el acceso.
• Borra los recursos del proyecto creados por cuentas no autorizadas, como instancias desconocidas de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM.
• Para restringir el agregado de usuarios de gmail.com, usa la Política de la organización.
• Para identificar y corregir las funciones demasiado permisivas, usa el Recommender de IAM.

Suplantación de identidad (phishing)

La detección de suplantación de identidad se detecta mediante la examinación de los registros de flujo de VPC y los registros de Cloud DNS de conexiones a dominios de suplantación de identidad conocidos y direcciones IP. Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado resource_used_for_phishing como se indica en Revisa detalles de la búsqueda.

2. En el panel Finding Details, en Additional Information, haz clic en Source Properties y observa los siguientes campos:

   • resourceName: el proyecto que contiene el resultado.
   • urls: La URL de suplantación de identidad (phishing)
   • vm_host_and_zone_names: el nombre de la VM de Compute Engine que aloja la URL de suplantación de identidad (phishing)
   • vm_ips: La dirección IP de la VM de Compute Engine que aloja la URL de suplantación de identidad (phishing)

Paso 2: Revise los permisos y la configuración

1. Ve a la página Panel en Cloud Console.

   Ir a la página Panel

2. Haz clic en la lista desplegable Seleccionar desde en la parte superior de la página. En la ventana Seleccionar desde que aparece, selecciona el proyecto que aparece en resourceName.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincida con el nombre y la zona en InstanceDetails. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haga clic en Red de VPC y, luego, en Firewall. Quita o inhabilita reglas de firewall demasiado permisivas.

Paso 3: Comprueba los registros

1. Ve a la página Explorador de registros en Cloud Console.

   Ir a la página Explorador de registros

2. Selecciona tu proyecto.

3. En la página que se carga, busca registros de flujo de VPC relacionados con vm_ips mediante el siguiente filtro:

   • logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="vm_ips" OR jsonPayload.connection.dest_ip="vm_ips")

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: suplantación de identidad (phishing).
2. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto con la VM comprometida, vm_host_and_zone_names. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Investiga la instancia potencialmente comprometida y quita el software malicioso detectado. Para ayudar con la detección y eliminación, usa una solución de detección y respuesta de extremos.
• Si es necesario, detén la instancia comprometida y reemplázala por una instancia nueva.

Respuestas de detección de amenazas a contenedores

Para obtener más información sobre la detección de amenazas a contenedores, consulta cómo funciona la detección de amenazas a contenedores.

Se ejecutó el objeto binario añadido

Se ejecutó un objeto binario que no formaba parte de la imagen de contenedor original. Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado Added Binary Executed como se indica en Revisa resultados.
2. En el panel Detalles de la búsqueda, haz clic en la pestaña Atributos y observa los siguientes campos:
   • assetDisplayName: el nombre del activo proporcionado por el usuario
   • Resource.project_display_name: es el nombre del proyecto que contiene el elemento.
3. Haz clic en la pestaña Propiedades de origen y observa los siguientes campos:
   • Process_Arguments: Las rutas del objeto binario agregado
   • Container_Image_Uri: El nombre de la imagen del contenedor que se está ejecutando
   • Pod_Name: el nombre del pod de Google Kubernetes Engine
   • Container_Name: el nombre del contenedor afectado

Paso 2: Revise los permisos y la configuración

1. Ve a la página Clústeres de GKE en Cloud Console.

   Ir a la página Clúster de GKE

2. Si es necesario, selecciona el proyecto que aparece en Resource.project_display_name y, luego, selecciona el clúster que aparece en assetDisplayName. Ten en cuenta la información sobre el servicio que se ejecuta en el clúster y el propietario del servicio.

Paso 3: Comprueba los registros

1. Ve a la página Explorador de registros en Cloud Console.

   Ir a la página Explorador de registros

2. Selecciona tu proyecto.

3. En la página que se carga, busca entradas de syslog para Container_Name mediante el filtro siguiente:

   • lprotoPayload.authorizationInfo.permission="container.clusters.get"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Implicante contenedor de imagen.
2. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que tenga el contenedor vulnerado. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Detén o borra el contenedor comprometido y reemplázalo por un contenedor nuevo.

Se cargó la biblioteca agregada

Se cargó una biblioteca que no formaba parte de la imagen de contenedor original. Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un resultado Added Library Loaded como se indica en Revisa resultados.
2. En el panel Detalles de la búsqueda, haz clic en la pestaña Atributos y toma nota de los siguientes campos:
   • assetDisplayName: el nombre del activo proporcionado por el usuario
   • Resource.project_display_name: es el nombre del proyecto que contiene el elemento.
3. Haz clic en la pestaña Propiedades de origen y observa los siguientes campos:
   • Process_Arguments: Las rutas de acceso de la biblioteca agregada
   • Container_Image_Uri: El nombre de la imagen del contenedor que se está ejecutando
   • Pod_Name: el nombre del pod de GKE
   • Container_Name: el nombre del contenedor afectado

Paso 2: Revise los permisos y la configuración

1. Ve a la página Clústeres de GKE en Cloud Console.

   Ir a la página Clúster de GKE

2. Si es necesario, selecciona el proyecto que aparece en Resource.project_display_name y, luego, selecciona el clúster que aparece en assetDisplayName. Ten en cuenta la información sobre el servicio que se ejecuta en el clúster y el propietario del servicio.

Paso 3: Comprueba los registros

1. Ve a la página Explorador de registros en Cloud Console.

   Ir a la página Explorador de registros

2. Selecciona tu proyecto.

3. En la página que se carga, busca entradas de syslog para Container_Name mediante el filtro siguiente:

   • lprotoPayload.authorizationInfo.permission="container.clusters.get"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: Implicante contenedor de imagen.
2. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que tenga el contenedor vulnerado. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Detén o borra el contenedor comprometido y reemplázalo por un contenedor nuevo.

Shells inversas

Un proceso que se inició con el redireccionamiento de transmisión a un socket remoto remoto Para responder a este resultado, haz lo siguiente:

Paso 1: Revisa los detalles del resultado

1. Abre un búsqueda de Reverse Shell como se indica en Cómo revisar resultados.
2. En el panel Detalles de la búsqueda, haz clic en la pestaña Atributos y toma nota de los siguientes campos:
   • assetDisplayName: el nombre del activo proporcionado por el usuario
   • Resource.project_display_name: es el nombre del proyecto que contiene el elemento.
3. Haz clic en la pestaña Propiedades de origen y observa los siguientes campos:
   • Process_Arguments: la ruta del objeto binario.
   • Container_Image_Uri: El nombre de la imagen del contenedor que se está ejecutando
   • Pod_Name: el nombre del pod de GKE
   • Container_Name: el nombre del contenedor afectado
   • Reverse_Shell_Stdin_Redirection_Dst_Ip: el comando conocido y controlar la dirección IP
   • Reverse_Shell_Stdin_Redirection_Dst_Port: el puerto de destino
   • Reverse_Shell_Stdin_Redirection_Src_Ip: La dirección IP de origen de la conexión
   • Reverse_Shell_Stdin_Redirection_Src_Port: el puerto de origen.

Paso 2: Revise los permisos y la configuración

1. Ve a la página Clústeres de GKE en Cloud Console.

   Ir a la página Clúster de GKE

2. Si es necesario, selecciona el proyecto que aparece en Resource.project_display_name y, luego, selecciona el clúster que aparece en assetDisplayName. Ten en cuenta la información sobre el servicio que se ejecuta en el clúster y el propietario del servicio.

Paso 3: Comprueba los registros

1. Ve a la página Explorador de registros en Cloud Console.

   Ir a la página Explorador de registros

2. Selecciona tu proyecto.

3. En la página que se carga, busca entradas de syslog para Container_Name mediante el filtro siguiente:

   • lprotoPayload.authorizationInfo.permission="container.clusters.get"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del marco de trabajo de MITRE ATT&CK para este tipo de resultado: servicios remotos.
2. Para desarrollar un plan de respuesta, combina tus resultados de investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para tu organización. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto que tenga el contenedor vulnerado. Si sigues estos pasos sugeridos, es posible que se vean afectadas las operaciones.
• Detén o borra el contenedor comprometido y reemplázalo por un contenedor nuevo.

Cómo corregir vulnerabilidades relacionadas

Para evitar que se repitan las amenazas, revisa y soluciona las vulnerabilidades identificadas en las estadísticas del estado de seguridad.

• Ve a la página Activos en el panel de Security Command Center.

  Ir a la página Activos

• Junto a Ver por, selecciona Proyecto.
• En la lista Proyecto, selecciona el proyecto que contiene el resultado de la amenaza.
• En el cuadro Filtro, ingresa "securityCenterProperties.resourceType:google.compute.Instance". En la tabla, se enumeran las instancias del proyecto.
• En la columna resourceProperties.name, selecciona la instancia que contiene el resultado.
• En el panel que se carga, en Información adicional, selecciona la pestaña Resultados. Si se muestran los resultados, revisa y sigue las instrucciones de solución para cada resultado.

Además de los indicadores de compromiso que proporciona Google, los usuarios que son clientes de Palo Alto Networks pueden integrar Threat Threat Intelligence de Palo Alto Networks con la Detección de eventos de amenazas. AutoFocus es un servicio de inteligencia de amenazas que proporciona información sobre las amenazas de red. Para obtener más información, visita la página de enfoque automático en Cloud Console.

Soluciona las amenazas

Reemplazar los eventos de detección de amenazas y detección de amenazas a contenedores no es tan simple como solucionar problemas de configuración incorrecta y vulnerabilidades identificadas por Security Command Center.

Las infracciones incorrectas y de incumplimiento identifican las debilidades de los recursos que podrían explotarse. Por lo general, las configuraciones incorrectas tienen correcciones conocidas y implementadas, como habilitar un firewall o rotar una clave de encriptación.

Las amenazas son diferentes de las vulnerabilidades, ya que son dinámicas y, además, indican una posible vulnerabilidad activa en uno o más recursos. Es posible que una recomendación de solución no sea eficaz para proteger tus recursos, ya que no se conocen los métodos exactos utilizados para lograr la vulnerabilidad.

Por ejemplo, un hallazgo de Added Binary Executed indica que un objeto binario no autorizado se inició en un contenedor. Una recomendación de solución básica podría recomendarte que coloques en cuarentena el contenedor y borres el objeto binario, pero es posible que no resuelva la causa raíz subyacente que permitía al atacante acceder a este. Debes averiguar cómo se dañaron la imagen del contenedor para corregir la vulnerabilidad. Para determinar si el archivo se agregó a través de un puerto mal configurado o por otros medios, se requiere una investigación exhaustiva. Es posible que un analista con conocimiento de expertos de tu sistema necesite revisarlo para detectar debilidades.

Los recursos de actores maliciosos usan técnicas diferentes, por lo que aplicar una solución para una vulnerabilidad específica podría no ser eficaz frente a las variaciones de ese ataque. Por ejemplo, en respuesta a un hallazgo de Brute Force: SSH, puedes reducir los niveles de permiso de algunas cuentas de usuario a fin de limitar el acceso a los recursos. Sin embargo, las contraseñas débiles pueden proporcionar una ruta de ataque,

La amplitud de los vectores de ataque dificulta la tarea de proporcionar pasos de solución que funcionen en todas las situaciones. La función del Security Command Center en tu plan de seguridad en la nube es identificar los recursos afectados en tiempo casi real, indicar las amenazas que enfrentas y proporcionar evidencia y contexto para contribuir con tus investigaciones. Sin embargo, el personal de seguridad debe usar la información extensa en los resultados de Security Command Center para determinar las mejores formas de solucionar problemas y proteger los recursos contra ataques futuros.

¿Qué sigue?

• Consulta la Descripción general de la Detección de eventos de amenazas para obtener más información sobre el servicio y las amenazas que detecta.

• Consulta la descripción general de la detección de amenazas a contenedores para obtener información sobre cómo funciona el servicio.