Usa Event Threat Detection

Revisa los resultados de Event Threat Detection en el panel de Security Command Center y consulta ejemplos de estos. Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center. Para ver los resultados de Event Threat Detection, debe estar habilitado en la configuración de Servicios del Security Command Center.

En el siguiente video, se muestran los pasos para configurar la Event Threat Detection y se proporciona información sobre cómo usar el panel. Obtén más información sobre cómo ver y administrar los resultados de Event Threat Detection en texto más adelante en esta página.

Revisa los resultados

Después de habilitar la Detección de eventos de amenazas y activar los registros para tu organización, carpetas y proyectos, la Detección de eventos de amenazas genera hallazgos.

Puedes ver los resultados de la Detección de eventos de amenazas en Security Command Center. También puedes ver los resultados en Cloud Logging si configuraste receptores de Security Command Center para escribir registros en Google Cloud's operations suite. Para generar un resultado y verificar la configuración, puedes activar de forma intencional un detector y probar Event Threat Detection.

La activación de Event Threat Detection se produce en segundos. Las latencias de detección suelen ser inferiores a 15 minutos desde el momento en que se escribe un registro cuando un resultado está disponible en Security Command Center. Para obtener más información sobre la latencia, consulta Descripción general de la latencia de Security Command Center.

Revisa resultados en Security Command Center

Para revisar los resultados de Event Threat Detection en Security Command Center, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en Google Cloud Console.
    Ir a la pestaña Resultados
  2. Junto a Ver por, haz clic en Tipo de fuente.
  3. En la lista Tipo de fuente, selecciona .
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en category. El panel de detalles de resultados se expande para mostrar información que incluye lo siguiente:
    • Cuál fue el evento
    • Cuándo ocurrió el evento
    • La fuente de los datos de los resultados
    • La prioridad de detección, por ejemplo Alta
    • Las acciones realizadas, como agregar una función de administración de identidades y accesos (IAM) a un usuario de Gmail
    • El usuario que realizó la acción, que se encuentra junto a properties_principalEmail
  5. Para mostrar todos los resultados que generaron las mismas acciones del usuario, haz lo siguiente:
    1. En el panel de detalles de los resultados, copia la dirección de correo electrónico junto a properties_principalEmail.
    2. Cierra el panel de detalles de los resultados.
    3. En el cuadro Filtro de la pestaña Resultados, ingresa sourceProperties.properties_principalEmail:user@domain, en el que user@domain es la dirección de correo electrónico que copiaste antes.

Security Command Center muestra todos los resultados asociados con las acciones que realizó el usuario que especificaste.

Visualiza los resultados en Cloud Logging

Para ver los resultados de la Event Threat Detection en Cloud Logging, sigue estos pasos:

  1. Ve a la página Visor de registros para Cloud Logging en Cloud Console.
    Ir a la página Visor de registros
  2. En la página Visor de registros, haz clic en Seleccionar y, luego, en el proyecto en el que almacenas los registros de la detección de eventos de amenazas.
  3. En la lista desplegable de recursos, selecciona Threat Detector.
    • Para ver los resultados de todos los detectores, selecciona all detection_name.
    • Para ver los resultados de un detector específico, selecciona su nombre.

Resultados de ejemplo

Estos son algunos ejemplos de resultados de Event Threat Detection:

Monitoring y Logging Descripción
Robo de datos

Event Threat Detection detecta el robo de datos de BigQuery mediante el análisis de los registros de auditoría para dos situaciones:

  • Un recurso se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC.
  • Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen.
Ataques de fuerza bruta a SSH Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Criptominería Event Threat Detection detecta el software malicioso de creación de criptomonedas mediante el análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos conocidos para grupos mineros.
Abuso de IAM

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:

  • Agregar un usuario gmail.com a una política con la función de editor de proyectos
  • Invitar a un usuario de gmail.com como propietario del proyecto de Google Cloud Console
  • Cuenta de servicio que otorga permisos sensibles
  • La función personalizada otorgó permisos sensibles
  • Se agregó la cuenta de servicio desde fuera de la organización.
Software Malicioso Event Threat Detection detecta software malicioso mediante la examinación de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
Suplantación de identidad Event Threat Detection detecta la suplantación de identidad (phishing) mediante la evaluación de los registros de flujo de VPC y de los registros de Cloud DNS para conexiones a IP y dominios de suplantación de identidad (phishing) conocidos.

¿Qué sigue?