Usa Event Threat Detection

>

Revisa los resultados de Event Threat Detection en el panel de Security Command Center y consulta ejemplos de estos.

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa la transmisión en Cloud Logging de tu organización y detecta amenazas casi en tiempo real. Para obtener más información, consulta la Descripción general de la detección de eventos de amenazas.

En el siguiente video, se muestran los pasos para configurar la Event Threat Detection y se proporciona información sobre cómo usar el panel. Para obtener más información sobre cómo ver y administrar los resultados de Event Threat Detection, consulta Cómo revisar resultados en esta página.

Revisa los resultados

Para ver los resultados de Event Threat Detection, se debe habilitar en la configuración de Services de Security Command Center. Después de habilitar la Detección de eventos de amenazas y activar los registros para tu organización, carpetas y proyectos, esta función genera resultados.

Puedes ver los resultados de Event Threat Detection en el Security Command Center. También puedes ver los resultados en Cloud Logging si configuraste receptores de Security Command Center para escribir registros en el conjunto de operaciones de Google Cloud. Para generar un resultado y verificar la configuración, puedes activar de forma intencional un detector y probar Event Threat Detection.

La activación de Event Threat Detection se produce en segundos. Las latencias de detección suelen ser inferiores a 15 minutos desde el momento en que se escribe un registro cuando un resultado está disponible en Security Command Center. Para obtener más información sobre la latencia, consulta la descripción general de la latencia de Security Command Center.

Revisa resultados en Security Command Center

Para revisar los resultados de Event Threat Detection en Security Command Center, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en Google Cloud Console.
    Ir a la pestaña Resultados
  2. Junto a Ver por, haz clic en Tipo de fuente.
  3. En la lista Tipo de fuente, selecciona .
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en category. El panel de detalles de resultados se expande para mostrar información que incluye lo siguiente:
    • Cuál fue el evento
    • Cuándo ocurrió el evento
    • La fuente de los datos de los resultados
    • La prioridad de detección, por ejemplo Alta
    • Las acciones realizadas, como agregar una función de administración de identidades y accesos (IAM) a un usuario de Gmail
    • El usuario que realizó la acción, que se encuentra junto a properties_principalEmail
  5. Para mostrar todos los resultados que generaron las mismas acciones del usuario, haz lo siguiente:
    1. En el panel de detalles de los resultados, copia la dirección de correo electrónico junto a properties_principalEmail.
    2. Cierra el panel de detalles de los resultados.
    3. En el cuadro Filtro de la pestaña Resultados, ingresa sourceProperties.properties_principalEmail:USER_EMAIL, en el que USER_EMAIL es la dirección de correo electrónico que copiaste antes.

Security Command Center muestra todos los resultados asociados con las acciones que realizó el usuario que especificaste.

Visualiza los resultados en Cloud Logging

Para ver los resultados de la Event Threat Detection en Cloud Logging, sigue estos pasos:

  1. Ve a la página Visor de registros para Cloud Logging en Cloud Console.
    Ir a la página Visor de registros
  2. En la página Visor de registros, haz clic en Seleccionar y, luego, en el proyecto en el que almacenas los registros de la detección de eventos de amenazas.
  3. En la lista desplegable de recursos, selecciona Threat Detector.
    • Para ver los resultados de todos los detectores, selecciona all detection_name.
    • Para ver los resultados de un detector específico, selecciona su nombre.

Resultados de ejemplo

Estos son algunos ejemplos de resultados de Event Threat Detection:

Monitoring y Logging Descripción
Robo de datos

Event Threat Detection detecta el robo de datos de BigQuery mediante el análisis de los registros de auditoría para dos situaciones:

  • Un recurso se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC.
  • Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen.
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Criptominería Event Threat Detection detecta el software malicioso de creación de criptomonedas mediante el análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos conocidos para grupos mineros.
Abuso de IAM

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:

  • Agregar un usuario gmail.com a una política con la función de editor de proyectos
  • Invitar a un usuario de gmail.com como propietario del proyecto de Google Cloud Console
  • Cuenta de servicio que otorga permisos sensibles
  • La función personalizada otorgó permisos sensibles
  • Se agregó la cuenta de servicio desde fuera de la organización.
Software Malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
Suplantación de identidad Event Threat Detection detecta la suplantación de identidad (phishing) mediante la evaluación de los registros de flujo de VPC y de los registros de Cloud DNS para conexiones a IP y dominios de suplantación de identidad (phishing) conocidos.
Comportamiento de IAM anómalo
Vista previa
La detección de eventos de amenazas detecta los comportamientos de IAM anómalos mediante la examinación de los registros de auditoría de Cloud de los accesos de direcciones IP anómalas y usuarios anómalos.
Autoevaluación de la cuenta de servicio
Vista previa
La Detección de eventos de amenazas detecta cuando se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.

¿Qué sigue?