Usa Event Threat Detection

Revisa los resultados de Event Threat Detection en el panel de Security Command Center y consulta ejemplos de estos. Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center. Para ver los resultados de Event Threat Detection, debe estar habilitada en la configuración de fuentes y servicios de Security Command Center.

Revisa los resultados

Cuando Event Threat Detection genera resultados, puedes verlos en el Security Command Center o en Cloud Logging si configuraste receptores de Security Command Center para escribir registros en Google Cloud. operations suite. Para generar un resultado y verificar la configuración, puedes activar de forma intencional un detector y probar Event Threat Detection.

La activación de Event Threat Detection tiene latencia en el orden de segundos y las latencias de extremo a extremo serán de menos de 15 minutos para la latencia del percentil 99, según un período de 30 días.

Revisa resultados en Security Command Center

Para revisar los resultados de Event Threat Detection en Security Command Center, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en Google Cloud Console.
    Ir a la pestaña Resultados
  2. Junto a Ver por, haz clic en Tipo de fuente.
  3. En la lista Tipo de fuente, selecciona .
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en category. El panel de detalles de búsqueda se expande para mostrar información como la siguiente:
    • Cuál fue el evento
    • Cuándo ocurrió el evento
    • La fuente de los datos de los resultados
    • La prioridad de detección, por ejemplo Alta
    • Las acciones realizadas, como agregar una función de administración de identidades y accesos (IAM) a un usuario de Gmail
    • El usuario que realizó la acción, junto a properties_principalEmail
  5. Para mostrar todos los resultados que generaron las mismas acciones del usuario, haz lo siguiente:
    1. En el panel de detalles de los resultados, copia la dirección de correo electrónico junto a properties_principalEmail.
    2. Cierra el panel de detalles de los resultados.
    3. En el cuadro Filtro de esta pestaña, ingresa sourceProperties.properties_principalEmail:user@domain, en el que user@domain es la dirección de correo electrónico que copiaste antes.

Security Command Center muestra todos los resultados asociados con las acciones que realizó el usuario que especificaste.

Visualiza los resultados en Cloud Logging

Para ver los resultados de la Event Threat Detection en Cloud Logging, sigue estos pasos:

  1. Ve a la página Visor de registros para Cloud Logging en Cloud Console.
    Ir a la página Visor de registros
  2. En la página Visor de registros, haz clic en Seleccionar y, luego, en el proyecto en el que almacenas los registros de la detección de eventos de amenazas.
  3. En la lista desplegable de recursos, selecciona Cloud Threat Detector.
    • Para ver los resultados de todos los detectores, selecciona all detection_name.
    • Para ver los resultados de un detector específico, selecciona su nombre.

Resultados de ejemplo

Estos son algunos ejemplos de resultados de Event Threat Detection:

Monitoring y Logging Descripción
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Criptominería Event Threat Detection detecta el software malicioso de creación de criptomonedas mediante el análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos conocidos para grupos mineros.
Abuso de IAM

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalas, como las siguientes:

  • Agregar un usuario de gmail.com a una política con la función de editor de proyectos
  • Invitar a un usuario de gmail.com como propietario del proyecto de Google Cloud Console
  • Cuenta de servicio que otorga permisos sensibles.
  • La función personalizada otorgó permisos sensibles.
  • Se agregó la cuenta de servicio desde fuera de tu organización.
Software Malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
Suplantación de identidad Event Threat Detection detecta la suplantación de identidad (phishing) mediante la evaluación de los registros de flujo de VPC y de los registros de Cloud DNS para conexiones a IP y dominios de suplantación de identidad (phishing) conocidos.

¿Qué sigue?