Se usó la API de Cloud Translation para traducir esta página.

Servicios de detección

En esta página, se incluye una lista de los servicios de detección, también denominados fuentes de seguridad, que Security Command Center usa para detectar problemas de seguridad en tus entornos de nube.

Cuando estos servicios detectan un problema, generan un hallazgo, que es un registro que identifica el problema de seguridad y te proporciona la información que necesitas para priorizar y resolver el problema.

Puedes ver los resultados en la consola de Google Cloud y filtrarlos de muchas maneras diferentes, por ejemplo, por tipo de hallazgo, tipo de recurso o por un recurso específico. Cada fuente podría brindar más filtros para organizar tus hallazgos.

Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorgue acceso. Para obtener más información sobre las funciones de Security Command Center, consulta Control de acceso.

Servicios de detección de vulnerabilidades

Los servicios de detección de vulnerabilidades incluyen servicios integrados y también integrados que detectan vulnerabilidades de software, incumplimientos de postura y parámetros de configuración incorrectos en tus entornos de nube. En conjunto, estos tipos de problemas de seguridad se denominan vulnerabilidades.

Panel de postura de seguridad de GKE

El panel de postura de seguridad de GKE es una página en la consola de Google Cloud que te proporciona hallazgos prácticos y bien definidos sobre posibles problemas de seguridad en tus clústeres de GKE.

Si habilitas cualquiera de las siguientes funciones del panel de postura de seguridad de GKE, verás los hallazgos en el nivel Estándar o Premium de Security Command Center:

Función del panel de postura de seguridad de GKE	Tipo de hallazgo de Security Command Center
Auditoría de la configuración de las cargas de trabajo	`MISCONFIGURATION`
Análisis de vulnerabilidades de Container OS Análisis de vulnerabilidades de paquetes de idiomas Boletines de seguridad prácticos (versión preliminar)	`VULNERABILITY`

Los resultados muestran información sobre el problema de seguridad y proporcionan recomendaciones para resolver los problemas en tus cargas de trabajo o clústeres.

Visualiza los hallazgos del panel de postura de seguridad de GKE en la consola de Google Cloud

Ve a la página Hallazgos de Security Command Center en la consola de Google Cloud:

Ir a hallazgos
Selecciona tu organización o proyecto de Google Cloud.
En el panel Filtros rápidos, en la sección Nombre visible de la fuente, selecciona Postura de seguridad de GKE. Si no ves el filtro Postura de seguridad de GKE, no hay hallazgos activos.

Hallazgos del recomendador de IAM
Detector	Resumen
`IAM role has excessive permissions` Nombre de categoría en la API: `IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	Descripción del resultado: El recomendador de IAM detectó una cuenta de servicio que tiene uno o más roles de IAM que otorgan permisos excesivos a la cuenta de usuario. Nivel de precios: Premium Recursos admitidos: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrige este resultado : Usa el recomendador de IAM a fin de aplicar la corrección recomendada para este hallazgo con los siguientes pasos: En la sección Próximos pasos de los detalles del hallazgo en la consola de Google Cloud, copia y pega la URL de la página de IAM en la barra de direcciones de un navegador y presiona `Intro`. Se carga la página IAM. Cerca de la parte superior de la página de IAM, en el lado derecho, haz clic en `Ver recomendaciones en la tabla`. Las recomendaciones se muestran en una tabla. En la columna Estadísticas de seguridad, haz clic en cualquier recomendación que se relacione con permisos excesivos. Se abrirá el panel de detalles de las recomendaciones. Revisa las recomendaciones sobre las acciones que puedes realizar para resolver el problema. Haz clic en `Aplicar`. Después de que se soluciona el problema, el recomendador de IAM actualiza el estado del hallazgo a `INACTIVE` en un plazo de 24 horas.
`Service agent role replaced with basic role` Nombre de categoría en la API: `SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	Descripción del resultado: El recomendador de IAM detectó que el rol de IAM predeterminado original otorgado a un agente de servicio se reemplazó por uno de los roles básicos de IAM: propietario, editor o visualizador. Los roles básicos son roles heredados demasiado permisivos y no deben otorgarse a agentes de servicio. Nivel de precios: Premium Recursos admitidos: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrige este resultado : Usa el recomendador de IAM a fin de aplicar la corrección recomendada para este hallazgo con los siguientes pasos: En la sección Próximos pasos de los detalles del hallazgo en la consola de Google Cloud, copia y pega la URL de la página de IAM en la barra de direcciones de un navegador y presiona `Intro`. Se carga la página IAM. Cerca de la parte superior de la página de IAM, en el lado derecho, haz clic en `Ver recomendaciones en la tabla`. Las recomendaciones se muestran en una tabla. En la columna Estadísticas de seguridad, haz clic en cualquier permiso que se relacione con permisos excesivos. Se abrirá el panel de detalles de las recomendaciones. Revisa los permisos no utilizados. Haz clic en `Aplicar`. Después de que se soluciona el problema, el recomendador de IAM actualiza el estado del hallazgo a `INACTIVE` en un plazo de 24 horas.
`Service agent granted basic role` Nombre de categoría en la API: `SERVICE_AGENT_GRANTED_BASIC_ROLE`	Descripción del hallazgo: El recomendador de IAM detectó IAM de que a un agente de servicio se le otorgó uno de los roles básicos de IAM: Propietario, Editor o Visualizador. Los roles básicos son roles heredados demasiado permisivos y no deben otorgarse a agentes de servicio. Nivel de precios: Premium Recursos admitidos: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrige este resultado : Usa el recomendador de IAM a fin de aplicar la corrección recomendada para este hallazgo con los siguientes pasos: En la sección Próximos pasos de los detalles del hallazgo en la consola de Google Cloud, copia y pega la URL de la página de IAM en la barra de direcciones de un navegador y presiona `Intro`. Se carga la página IAM. Cerca de la parte superior de la página de IAM, en el lado derecho, haz clic en `Ver recomendaciones en la tabla`. Las recomendaciones se muestran en una tabla. En la columna Estadísticas de seguridad, haz clic en cualquier permiso que se relacione con permisos excesivos. Se abrirá el panel de detalles de las recomendaciones. Revisa los permisos no utilizados. Haz clic en `Aplicar`. Después de que se soluciona el problema, el recomendador de IAM actualiza el estado del hallazgo a `INACTIVE` en un plazo de 24 horas.
`Unused IAM role` Nombre de categoría en la API: `UNUSED_IAM_ROLE`	Descripción del hallazgo: El recomendador de IAM detectó una cuenta de usuario que tiene un rol de IAM que no se usó en los últimos 90 días. Nivel de precios: Premium Recursos admitidos: google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization Corrige este resultado : Usa el recomendador de IAM a fin de aplicar la corrección recomendada para este hallazgo con los siguientes pasos: En la sección Próximos pasos de los detalles del hallazgo en la consola de Google Cloud, copia y pega la URL de la página de IAM en la barra de direcciones de un navegador y presiona `Intro`. Se carga la página IAM. Cerca de la parte superior de la página de IAM, en el lado derecho, haz clic en `Ver recomendaciones en la tabla`. Las recomendaciones se muestran en una tabla. En la columna Estadísticas de seguridad, haz clic en cualquier permiso que se relacione con permisos excesivos. Se abrirá el panel de detalles de las recomendaciones. Revisa los permisos no utilizados. Haz clic en `Aplicar`. Después de que se soluciona el problema, el recomendador de IAM actualiza el estado del hallazgo a `INACTIVE` en un plazo de 24 horas.

Administración de la superficie de ataque de Mandiant

Mandiant es un líder mundial en inteligencia de amenazas de primera línea. Mandiant Attack Surface Management identifica vulnerabilidades y errores de configuración en tus superficies de ataque externas para ayudarte a estar al tanto de los ciberataques más recientes.

Mandiant Attack Surface Management se habilita automáticamente cuando activas el nivel de Security Command Center Enterprise y los hallazgos están disponibles en la consola de Google Cloud.

Revisa los hallazgos de Mandiant Attack Surface Management en la consola de Google Cloud

Usa el siguiente procedimiento para revisar los resultados en la consola de Google Cloud:

Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Ir a resultados
Selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona Administración de la superficie de ataque de Mandiant.

La tabla se completa con los hallazgos de Mandiant Attack Surface Management.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
En la pestaña Resumen, revisa la información sobre el hallazgo, lo que incluye la información sobre lo que se detectó, el recurso que se vio afectado y mucho más.

Policy Controller

El controlador de políticas permite aplicar políticas programables para tus clústeres de Kubernetes. Estas políticas actúan como protecciones y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota.

Si instalas el controlador de políticas y habilitas la comparativa de CIS para Kubernetes v1.5.1 o los paquetes del controlador de políticas de PCI-DSS v3.2.1, o ambos, Policy Controller escribe de forma automática los incumplimientos del clúster en Security Command Center como resultados de la clase Misconfiguration. La descripción del hallazgo y los próximos pasos en los resultados de Security Command Center son los mismos que la descripción de la restricción y los pasos de solución del paquete del controlador de políticas correspondiente.

Los hallazgos de Policy Controller provienen de los siguientes paquetes de Policy Controller:

CIS Kubernetes Benchmark v.1.5.1, un conjunto de recomendaciones para configurar Kubernetes con el fin de admitir una postura de seguridad sólida. También puedes ver información sobre este paquete en el repositorio de GitHub para cis-k8s-v1.5.1.
PCI-DSS v3.2.1, un paquete que evalúa el cumplimiento de los recursos del clúster con respecto a algunos aspectos de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v3.2.1. También puedes ver información sobre este paquete en el repositorio de GitHub para pci-dss-v3.

Para encontrar y corregir los resultados del controlador de políticas, consulta Soluciona los resultados del controlador de políticas.

Detección rápida de vulnerabilidades

La Detección rápida de vulnerabilidades ejecuta análisis administrados que detectan las vulnerabilidades llamadas “n días”, exploits conocidos que permiten el acceso arbitrario a los datos y la ejecución remota de código, incluidas credenciales débiles, interfaces de usuario de administrador incompletas y, además, interfaces de usuario de administrador expuestas.

Para obtener la lista completa de vulnerabilidades que detecta la Detección rápida de vulnerabilidades, consulta Resultados y soluciones de la Detección rápida de vulnerabilidades.

Security Health Analytics

Security Health Analytics es un servicio de detección integrado de Security Command Center que proporciona análisis administrados de tus recursos en la nube para detectar parámetros de configuración incorrectos comunes.

Cuando se detecta una configuración incorrecta, Security Health Analytics emite un hallazgo. La mayoría de los resultados de Security Health Analytics se asignan a controles estándar de seguridad para que puedas evaluar el cumplimiento.

Security Health Analytics analiza tus recursos en Google Cloud. Si usas el nivel empresarial y estableces conexiones con otras plataformas en la nube, Security Health Analytics también puede analizar tus recursos en esas plataformas en la nube.

Según el nivel de servicio de Security Command Center que uses, los detectores disponibles difieren:

En el nivel Estándar, Security Health Analytics incluye solo un grupo básico de detectores de vulnerabilidades de gravedad media y alta.
El nivel Premium incluye todos los detectores de vulnerabilidades para Google Cloud.
El nivel empresarial incluye detectores adicionales para otras plataformas en la nube.

Security Health Analytics se habilita de forma automática cuando activas Security Command Center.

Para obtener más información, consulta:

Servicio de postura de seguridad

El servicio de postura de seguridad es un servicio integrado para el nivel Premium de Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. Proporciona información sobre cómo tu entorno se alinea con las políticas que defines en tu postura de seguridad.

El servicio de postura de seguridad no está relacionado con el panel de postura de seguridad de GKE, que solo muestra los resultados en los clústeres de GKE.

Hallazgos del servicio de postura de seguridad

Hallazgos de la postura de seguridad
Resultado	Resumen
`SHA Canned Module Drifted` Nombre de categoría en la API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en un detector de Security Health Analytics que se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes o reviertas el cambio para que la configuración del detector de tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar el detector de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el detector de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Habilita o inhabilita detectores. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.
`SHA Custom Module Drifted` Nombre de categoría en la API: `SECURITY_POSTURE_DETECTOR_DRIFT`	Descripción del hallazgo: El servicio de postura de seguridad detectó un cambio en un módulo personalizado de Security Health Analytics que se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes el cambio o reviertas el cambio para que la configuración del módulo personalizado en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.
`SHA Custom Module Deleted` Nombre de categoría en la API: `SECURITY_POSTURE_DETECTOR_DELETE`	Descripción del hallazgo: El servicio de postura de seguridad detectó que se borró un módulo personalizado de Security Health Analytics. Esta eliminación se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes el cambio o reviertas el cambio para que la configuración del módulo personalizado en tu postura y tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar el módulo personalizado de Security Health Analytics o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza el módulo personalizado de Security Health Analytics en la consola de Google Cloud. Para obtener instrucciones, consulta Cómo actualizar un módulo personalizado. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.
`Org Policy Canned Constraint Drifted` Nombre de categoría en la API: `SECURITY_POSTURE_POLICY_DRIFT`	Descripción del resultado: El servicio de postura de seguridad detectó un cambio en una política de la organización que se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura y en tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización o la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud. Para obtener instrucciones, consulta Crea y edita políticas. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.
`Org Policy Canned Constraint Deleted` Nombre de categoría en la API: `SECURITY_POSTURE_POLICY_DELETE`	Descripción del resultado: El servicio de postura de seguridad detectó que se borró una política de la organización. Esta eliminación se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización en tu postura y en tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización o la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización en la consola de Google Cloud. Para obtener instrucciones, consulta Crea y edita políticas. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.
`Org Policy Custom Constraint Drifted` Nombre de categoría en la API: `SECURITY_POSTURE_POLICY_DRIFT`	Descripción del resultado: El servicio de postura de seguridad detectó un cambio en una política de la organización personalizada que se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización personalizada en tu postura y en tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización personalizada o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud. Para obtener instrucciones, consulta Actualiza una restricción personalizada. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.
`Org Policy Custom Constraint Deleted` Nombre de categoría en la API: `SECURITY_POSTURE_POLICY_DELETE`	Descripción del resultado: El servicio de postura de seguridad detectó que se borró una política de la organización personalizada. Esta eliminación se produjo fuera de una actualización de postura. Nivel de precios: Premium Corrige este resultado : Este hallazgo requiere que aceptes el cambio o lo reviertas para que las definiciones de la política de la organización personalizada en tu postura y en tu entorno coincidan. Tienes dos opciones para resolver este hallazgo: puedes actualizar la política de la organización personalizada o puedes actualizar la postura y la implementación de la postura. Para revertir el cambio, actualiza la política de la organización personalizada en la consola de Google Cloud. Para obtener instrucciones, consulta Actualiza una restricción personalizada. Para aceptar el cambio, haz lo siguiente: Actualiza el archivo `posture.yaml` con el cambio. Ejecuta el comando `gcloud scc postures update`. Para obtener instrucciones, consulta Actualiza una postura. Implementa la postura actualizada con el nuevo ID de revisión. Para obtener instrucciones, consulta Actualiza una implementación de postura.

Sensitive Data Protection

Sensitive Data Protection es un servicio de Google Cloud completamente administrado que te ayuda a descubrir, clasificar y proteger tus datos sensibles. Puedes usar la protección de datos sensibles para determinar si almacenas información sensible o de identificación personal (PII), como la siguiente:

Nombres de personas
números de tarjetas de crédito
Números de ID nacionales o estatales
Números de ID de seguro médico
Secrets

En Sensitive Data Protection, cada tipo de datos sensibles que buscas se llama infoType.

Si configuras la operación de protección de datos sensibles para enviar resultados a Security Command Center, puedes ver los resultados directamente en la sección de Security Command Center de la consola de Google Cloud, además de la sección de protección de datos sensibles.

Hallazgos de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si las variables de entorno de Cloud Functions contienen secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud. Para obtener una lista completa de los tipos de secretos que detecta la protección de datos sensibles en esta función, consulta Credenciales y secretos.

Tipo de resultado Descripción del resultado Estándares de cumplimiento

Tipo de resultado	Descripción del resultado	Estándares de cumplimiento
`Secrets in environment variables` Nombre de la categoría en la API: `SECRETS_IN_ENVIRONMENT_VARIABLES`	Este detector verifica secretos en las variables de entorno de Cloud Functions. Solución: Quita el secreto de la variable de entorno y guárdalo en Secret Manager.	CIS para GCP Foundation 1.3: 1.18 CIS para GCP Foundation 2.0: 1.18

Secrets in environment variables

Nombre de la categoría en la API:
SECRETS_IN_ENVIRONMENT_VARIABLES

Este detector verifica secretos en las variables de entorno de Cloud Functions.

Solución: Quita el secreto de la variable de entorno y guárdalo en Secret Manager.

CIS para GCP Foundation 1.3: 1.18

CIS para GCP Foundation 2.0: 1.18

Desde el momento en que activas el descubrimiento de secretos en Sensitive Data Protection, el análisis inicial de las variables de entorno puede tardar hasta 12 horas en completarse y los hallazgos de "Secretos en las variables de entorno" aparecen en Security Command Center. Luego, Sensitive Data Protection analiza las variables de entorno cada 24 horas. En la práctica, los análisis se pueden ejecutar con mayor frecuencia.

Para habilitar este detector, consulta Informa los secretos de las variables de entorno a Security Command Center en la documentación de Sensitive Data Protection.

Hallazgos de observación de Sensitive Data Protection

En esta sección, se describen los hallazgos de las observaciones que genera la protección de datos sensibles en Security Command Center.

Hallazgos de observación del servicio de descubrimiento

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tus datos de BigQuery contienen Infotipos específicos y dónde se encuentran en tu organización, carpetas y proyectos.

Una operación de descubrimiento genera perfiles de los datos subyacentes de BigQuery a nivel de proyecto, tabla y columna. Cada perfil de datos de la tabla genera las siguientes categorías de hallazgos en Security Command Center:

Data sensitivity: Una indicación del nivel de sensibilidad de los datos en una tabla en particular. Los datos son sensibles si contienen PII o algún otro elemento que podría requerir control o administración adicionales. La gravedad del hallazgo es el nivel de sensibilidad que calculó Sensitive Data Protection cuando se generaba el perfil de datos.
Data risk: El riesgo asociado con los datos en su estado actual. Cuando se calcula el riesgo de los datos, Sensitive Data Protection considera el nivel de sensibilidad de los datos en la tabla y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de los datos que calculó la protección de datos sensibles cuando se generó el perfil de datos.

Desde el momento en que Sensitive Data Protection genera los perfiles de datos, pueden tardar hasta seis horas en aparecer en Security Command Center los resultados asociados Data sensitivity y Data risk.

Para obtener información sobre cómo enviar los resultados del perfil de datos a Security Command Center, consulta Habilita la detección de datos sensibles.

Hallazgos de observación del servicio de inspección de Sensitive Data Protection

Un trabajo de inspección de la protección de datos sensibles identifica cada instancia de datos de un Infotipo específico en un sistema de almacenamiento, como un bucket de Cloud Storage o una tabla de BigQuery. Por ejemplo, puedes ejecutar un trabajo de inspección que busque todas las strings que coincidan con el detector de Infotipo CREDIT_CARD_NUMBER en un bucket de Cloud Storage.

Para cada detector de Infotipo que tiene una o más coincidencias, Sensitive Data Protection genera un hallazgo de Security Command Center correspondiente. La categoría de hallazgo es el nombre del detector de Infotipo que tuvo una coincidencia, por ejemplo, Credit card number. El hallazgo incluye la cantidad de cadenas coincidentes que se detectaron en el texto o las imágenes del recurso.

Por motivos de seguridad, las cadenas reales que se detectaron no se incluyen en el hallazgo. Por ejemplo, un hallazgo Credit card number muestra cuántos números de tarjetas de crédito se encontraron, pero no muestra los números de tarjetas de crédito reales.

Debido a que hay más de 150 detectores de Infotipo integrados en la protección de datos sensibles, todas las categorías de resultados posibles de Security Command Center no se enumeran aquí. Para obtener una lista completa de los detectores de Infotipo, consulta la referencia del detector de Infotipos.

Para obtener información sobre cómo enviar los resultados de un trabajo de inspección a Security Command Center, consulta Envía los resultados del trabajo de inspección de Sensitive Data Protection a Security Command Center.

Revisa los hallazgos de Sensitive Data Protection en la consola de Google Cloud

Usa el siguiente procedimiento para revisar los resultados en la consola de Google Cloud:

Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Ir a resultados
Selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Protección de datos sensibles.

La tabla se propaga con los resultados de la protección de datos sensibles.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
En la pestaña Resumen, revisa la información sobre el hallazgo, lo que incluye la información sobre lo que se detectó, el recurso que se vio afectado y mucho más.

VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Para usar VM Manager con activaciones a nivel de proyecto de Security Command Center Premium, activa Security Command Center Standard en la organización superior.

Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe de forma automática los resultados de high y critical de sus informes de vulnerabilidades, que están en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos (SO) que están instaladas en las VMs, incluidas las vulnerabilidades y exposiciones comunes (CVE).

Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.

Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos. Actualmente, VM Manager admite la administración de parches a nivel de proyecto único.

Para solucionar los resultados de VM Manager, consulta Soluciona los problemas de VM Manager.

Para evitar que se escriban los informes de vulnerabilidades en Security Command Center, consulta Silencia los resultados de VM Manager.

Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.

**Tabla 24.** Informes de vulnerabilidad de VM Manager
Detector	Resumen	Configuración de análisis de elementos	Estándares de cumplimiento
`OS vulnerability` Nombre de categoría en la API: `OS_VULNERABILITY`	Resultado de la descripción: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado de una VM de Compute Engine. Nivel de precios: Premium Elementos admitidos compute.googleapis.com/Instance Corregir este hallazgo	Los informes de vulnerabilidad de VM Manager detallan vulnerabilidades en los paquetes del sistema operativo instalados para las VM de Compute Engine, incluidos Vulnerabilidades y exposiciones comunes (CVE). Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles de los sistemas operativos. Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera: Cuando se instala o actualiza un paquete en el sistema operativo de una VM, puedes esperar ver información sobre vulnerabilidades y exposiciones comunes (CVE) para la VM en Security Command Center dentro de las dos horas posteriores al cambio. Cuando se publican nuevos avisos de seguridad para un sistema operativo, las CVE actualizadas suelen estar disponibles en un plazo de 24 horas después de que el proveedor del sistema operativo publica el aviso.

Evaluación de vulnerabilidades para AWS

El servicio de Evaluación de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades de software en las cargas de trabajo que se ejecutan en máquinas virtuales (VM) de EC2 en la plataforma en la nube de AWS.

Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un hallazgo de clase Vulnerability en la categoría de hallazgo Software vulnerability en Security Command Center.

La evaluación de vulnerabilidades para el servicio de AWS analiza las instantáneas de las instancias de máquina de EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se denomina análisis de discos sin agente, porque no hay agentes instalados para los objetivos de análisis.

Para obtener más información, consulta lo siguiente:

Web Security Scanner

Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis administrados

Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicas. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.

Los análisis administrados se ejecutan de forma independiente de los personalizados.

Si Security Command Center se activa al nivel de la organización, puedes usar análisis administrados para administrar de forma centralizada la detección básica de vulnerabilidades de aplicaciones web en los proyectos de tu organización, sin tener que involucrar a equipos de proyectos individuales. Cuando se detectan los resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas Web Security Scanner como servicio, los resultados del análisis administrado están disponibles de forma automática en la página Vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener más información sobre cómo habilitar los análisis administrados de Web Security Scanner, consulta Configura los servicios de Security Command Center.

Los análisis administrados solo admiten aplicaciones que usan el puerto predeterminado, que es 80 para conexiones HTTP y 443 para conexiones HTTPS. Si tu aplicación usa un puerto no predeterminado, realiza un análisis personalizado.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los resultados de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto.

Puedes definir análisis personalizados a nivel de proyecto.

Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

Detectores y cumplimiento

Web Security Scanner admite categorías en las OWASP Top Ten, un documento que clasifica y proporciona orientación de solución para los 10 riesgos de seguridad de aplicaciones web más importantes, según lo determinado por Abre el proyecto de seguridad para aplicaciones web (OWASP). Para obtener orientación sobre cómo mitigar los riesgos de OWASP, consulta las 10 opciones de mitigación de OWASP en Google Cloud.

La asignación de cumplimiento se incluye como referencia y no se proporciona ni se revisa mediante OWASP Foundation.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Los análisis personalizados y administrados de Web Security Scanner identifican los siguientes tipos de resultados. En el nivel Estándar, Web Security Scanner admite los análisis personalizados de aplicaciones implementadas con URL e IP públicas que no están detrás de un firewall.

Categoría	Descripción del resultado	Los 10 mejores de OWASP de 2017	Los 10 mejores de OWASP de 2021
`Accessible Git repository` Nombre de categoría en la API: `ACCESSIBLE_GIT_REPOSITORY`	Un repositorio de Git se expone públicamente. Para resolver este problema, quita el acceso público no intencional al repositorio de GIT. Nivel de precios: Estándar Corregir este hallazgo	A5	A01
`Accessible SVN repository` Nombre de categoría en la API: `ACCESSIBLE_SVN_REPOSITORY`	Un repositorio de SVN se expone públicamente. Para solucionar este problema, quita el acceso no intencional al público en el repositorio de SVN. Nivel de precios: Estándar Corregir este hallazgo	A5	A01
`Cacheable password input` Nombre de categoría en la API: `CACHEABLE_PASSWORD_INPUT`	Las contraseñas ingresadas en la aplicación web se pueden almacenar en la caché de un navegador normal, en lugar de un almacenamiento de contraseña seguro. Nivel de precios: Premium Corregir este hallazgo	A3	A04
`Clear text password` Nombre de categoría en la API: `CLEAR_TEXT_PASSWORD`	Las contraseñas se transmiten en texto claro y se pueden interceptar. Para resolver esto, encripta la contraseña que se transmite a través de la red. Nivel de precios: Estándar Corregir este hallazgo	A3	A02
`Insecure allow origin ends with validation` Nombre de categoría en la API: `INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	Un extremo HTTP o HTTPS entre sitios valida solo un sufijo del encabezado de solicitud `Origin` antes de reflejarlo dentro del encabezado de respuesta `Access-Control-Allow-Origin`. Para resolver este resultado, valida que el dominio raíz esperado sea parte del valor del encabezado `Origin` antes de reflejarlo en el encabezado de respuesta `Access-Control-Allow-Origin`. Para los comodines de subdominio, antepón el punto al dominio raíz, por ejemplo, `.endsWith(".google.com")`. Nivel de precios: Premium Corregir este hallazgo	A5	A01
`Insecure allow origin starts with validation` Nombre de categoría en la API: `INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	Un extremo HTTP o HTTPS entre sitios valida solo un prefijo del encabezado de solicitud `Origin` antes de reflejarlo dentro del encabezado de respuesta `Access-Control-Allow-Origin`. Para resolver este resultado, verifica que el dominio esperado coincida por completo con el valor del encabezado `Origin` antes de reflejarlo en el encabezado de respuesta de `Access-Control-Allow-Origin`, por ejemplo, `.equals(".google.com")`. Nivel de precios: Premium Corregir este hallazgo	A5	A01
`Invalid content type` Nombre de categoría en la API: `INVALID_CONTENT_TYPE`	Se cargó un recurso que no coincide con el encabezado HTTP de tipo de contenido de la respuesta. Para resolver este resultado, configura el encabezado HTTP `X-Content-Type-Options` con el valor correcto. Nivel de precios: Estándar Corregir este hallazgo	A6	A05
`Invalid header` Nombre de categoría en la API: `INVALID_HEADER`	Un encabezado de seguridad tiene un error de sintaxis y los navegadores lo ignoran. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Estándar Corregir este hallazgo	A6	A05
`Mismatching security header values` Nombre de categoría en la API: `MISMATCHING_SECURITY_HEADER_VALUES`	Un encabezado de seguridad tiene valores duplicados y no coincidentes, lo que da como resultado un comportamiento indefinido. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Estándar Corregir este hallazgo	A6	A05
`Misspelled security header name` Nombre de categoría en la API: `MISSPELLED_SECURITY_HEADER_NAME`	Un encabezado de seguridad está mal escrito y se ignora. Para solucionar este problema, configura los encabezados de seguridad HTTP de forma correcta. Nivel de precios: Estándar Corregir este hallazgo	A6	A05
`Mixed content` Nombre de categoría en la API: `MIXED_CONTENT`	Los recursos se envían a través de HTTP en una página HTTPS. Para resolver esto, asegúrate de que todos los recursos se entreguen a través de HTTPS. Nivel de precios: Estándar Corregir este hallazgo	A6	A05
`Outdated library` Nombre de categoría en la API: `OUTDATED_LIBRARY`	Se detectó una biblioteca que tiene vulnerabilidades conocidas. Para resolver esto, actualiza las bibliotecas a una versión más reciente. Nivel de precios: Estándar Corregir este hallazgo	A9	A06
`Server side request forgery` Nombre de categoría en la API: `SERVER_SIDE_REQUEST_FORGERY`	Se detectó una vulnerabilidad de falsificación de solicitudes del servidor (SSRF). Para resolver este resultado, usa una lista de entidades permitidas a fin de limitar los dominios y las direcciones IP a las que la aplicación web puede realizar solicitudes. Nivel de precios: Estándar Corregir este hallazgo	No aplicable	A10
`Session ID leak` Nombre de categoría en la API: `SESSION_ID_LEAK`	Cuando se realiza una solicitud de dominio cruzado, la aplicación web incluye el identificador de sesión del usuario en el encabezado de su solicitud `Referer`. Esta vulnerabilidad le otorga al dominio receptor acceso al identificador de sesión, que se puede usar para actuar como el usuario o identificarlo de forma única. Nivel de precios: Premium Corregir este hallazgo	A2	A07
`SQL injection` Nombre de categoría en la API: `SQL_INJECTION`	Se detectó una posible vulnerabilidad de inyección de SQL. Para resolver este resultado, usa consultas con parámetros a fin de evitar que las entradas del usuario influyan en la estructura de la consulta de SQL. Nivel de precios: Premium Corregir este hallazgo	A1	A03
`Struts insecure deserialization` Nombre de categoría en la API: `STRUTS_INSECURE_DESERIALIZATION`	Se detectó el uso de una versión vulnerable de Apache Stuts. Para resolver este resultado, actualiza Apache Stuuts a la versión más reciente. Nivel de precios: Premium Corregir este hallazgo	A8	A08
`XSS` Nombre de categoría en la API: `XSS`	Un campo en esta aplicación web es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Para resolver esto, valida y omite los datos no confiables del usuario. Nivel de precios: Estándar Corregir este hallazgo	A7	A03
`XSS angular callback` Nombre de categoría en la API: `XSS_ANGULAR_CALLBACK`	La string proporcionada por el usuario no está escapadas y AngularJS puede interpolarla. Para resolver resultado, valida y omite los datos que no son de confianza proporcionados por los usuarios y que el framework de Angular controla. Nivel de precios: Estándar Corregir este hallazgo	A7	A03
`XSS error` Nombre de categoría en la API: `XSS_ERROR`	Un campo en esta aplicación web es vulnerable a un ataque de secuencia de comandos entre sitios. Para resolver esto, valida y omite los datos no confiables del usuario. Nivel de precios: Estándar Corregir este hallazgo	A7	A03
`XXE reflected file leakage` Nombre de categoría en la API: `XXE_REFLECTED_FILE_LEAKAGE`	Se detectó una vulnerabilidad XML External Entity (XXE). Esto puede hacer que la aplicación web filtre un archivo en el host. Para resolver este resultado, configura tus analizadores de XML a fin de inhabilitar las entidades externas. Nivel de precios: Premium Corregir este hallazgo	A4	A05
`Prototype pollution` Nombre de categoría en la API: `PROTOTYPE_POLLUTION`	La aplicación es vulnerable a la contaminación prototípica. Esta vulnerabilidad surge cuando se pueden asignar valores que el atacante puede controlar a las propiedades del objeto `Object.prototype`. Se supone universalmente que los valores colocados en estos prototipos se traducen en secuencia de comandos entre sitios o vulnerabilidades similares del cliente, además de errores de lógica. Nivel de precios: Estándar Corregir este resultado	A1	A03

Servicios de detección de amenazas

Los servicios de detección de amenazas incluyen servicios integrados y también integrados que detectan eventos que podrían indicar eventos potencialmente dañinos, como recursos comprometidos o ciberataques.

Detección de anomalías

La detección de anomalías es un servicio integrado que usa señales de comportamiento fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas en los proyectos y las instancias de máquina virtual (VM), como las posibles credenciales filtradas. La detección de anomalías se habilita de forma automática cuando activas el nivel Estándar o Premium de Security Command Center y los hallazgos están disponibles en la consola de Google Cloud.

Los hallazgos de la Detección de anomalías incluyen lo siguiente:

Nombre de la anomalía Categoría Descripción

Nombre de la anomalía	Categoría	Descripción
`Account has leaked credentials`	`account_has_leaked_credentials`	Las credenciales de una cuenta de servicio de Google Cloud se filtraron accidentalmente en línea o se vieron comprometidas. Gravedad: crítica

Account has leaked credentials

account_has_leaked_credentials

Las credenciales de una cuenta de servicio de Google Cloud se filtraron accidentalmente en línea o se vieron comprometidas.

Gravedad: crítica

La cuenta tiene credenciales filtradas

GitHub notificó a Security Command Center que las credenciales que se usaron para una confirmación parecen ser las credenciales de una cuenta de servicio de Google Cloud Identity and Access Management.

La notificación incluye el nombre de la cuenta de servicio y el identificador de clave privada. Google Cloud también envía una notificación por correo electrónico a tu contacto designado para cuestiones de seguridad y privacidad.

Para solucionar este problema, realiza una o más de las siguientes acciones:

Identifica al usuario legítimo de la clave.
Rota la clave.
Quita la llave.
Investiga las acciones que realizó la clave después de que esta se filtró para asegurarte de que ninguna de las acciones haya sido maliciosa.

JSON: hallazgo de credenciales de cuentas filtradas

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución del contenedor y alertarte en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de Container Threat Detection recopila un nivel bajo en el kernel invitado y realiza procesamiento de lenguaje natural en las secuencias de comandos para detectar los siguientes eventos:

Se ejecutó el objeto binario agregado
Se cargó la biblioteca agregada
Ejecución: Se ejecutó el binario malicioso agregado
Ejecución: Se cargó la biblioteca maliciosa agregada.
Ejecución: Objeto binario integrado integrado y ejecutado
Ejecución: ejecución de binario malicioso modificado
Ejecución: Se cargó la biblioteca maliciosa modificada
Secuencia de comandos maliciosa ejecutada
Shells inversas
Shell secundario inesperado

Obtén más información sobre Detección de amenazas a contenedores.

Event Threat Detection

Event Threat Detection usa datos de registro dentro de tus sistemas. Supervisa la transmisión de Cloud Logging para proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Detección de eventos de amenazas escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita de forma automática cuando activas el nivel Premium de Security Command Center y los hallazgos están disponibles en la consola de Google Cloud.

En la siguiente tabla, se enumeran ejemplos de los hallazgos de Event Threat Detection.

**Tabla C.** Tipos de hallazgos de Event Threat Detection
Destrucción de datos	Event Threat Detection detecta la destrucción de datos a través del análisis de los registros de auditoría del servidor de administración de servicios de copia de seguridad y DR para las siguientes situaciones: Eliminación de una imagen de copia de seguridad Eliminación de todas las imágenes de copia de seguridad asociadas a una aplicación Eliminación de un dispositivo de copia de seguridad o recuperación
Robo de datos	Event Threat Detection detecta el robo de datos de BigQuery y Cloud SQL mediante el análisis de los registros de auditoría para las siguientes situaciones: Un recurso de BigQuery se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC. Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen. Un recurso de Cloud SQL se exporta de forma completa o parcial a un bucket de Cloud Storage fuera de tu organización o a un bucket que pertenece a tu organización y al que se puede acceder públicamente. Una copia de seguridad de Cloud SQL se restablece a una instancia de Cloud SQL fuera de tu organización. Un recurso de BigQuery que pertenece a tu organización se exporta a un bucket de Cloud Storage fuera de tu organización o a un bucket de tu organización de acceso público. Un recurso BigQuery de tu organización se exporta a una carpeta de Google Drive.
Actividad sospechosa de Cloud SQL	Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que podrían indicar el compromiso de una cuenta de usuario válida en instancias de Cloud SQL: A un usuario de la base de datos se le otorgan todos los privilegios para una base de datos de Cloud SQL para PostgreSQL o para todas las tablas, procedimientos o funciones de un esquema. Se usa un superusuario de cuenta de base de datos predeterminada de Cloud SQL ("postgres" en instancias de PostgreSQL o "root" en instancias de MySQL) para escribir en tablas que no son del sistema.
Actividad sospechosa de AlloyDB para PostgreSQL	Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que pueden indicar el compromiso de una cuenta de usuario válida en instancias de AlloyDB para PostgreSQL: Un usuario de la base de datos recibe todos los privilegios para una base de datos de AlloyDB para PostgreSQL o para todas las tablas, procedimientos o funciones de un esquema. Se usa un superusuario de cuenta de base de datos predeterminada de AlloyDB para PostgreSQL (“postgres”) para escribir en tablas que no son del sistema.
Ataques de fuerza bruta a SSH	Event Threat Detection detecta la fuerza bruta de SSH para la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de fallas repetidas seguidas de un éxito.
Criptominería	Event Threat Detection detecta software malicioso de minería de criptomonedas a través de un análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos o direcciones IP conocidas de grupos de minería.
Abuso de IAM	Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes: Agrega un usuario de gmail.com a una política con el rol de editor del proyecto. Invitar a un usuario de gmail.com como propietario del proyecto desde la consola de Google Cloud Cuenta de servicio que otorga permisos sensibles La función personalizada otorgó permisos sensibles Se agregó la cuenta de servicio desde fuera de la organización.
Inhibición de la recuperación del sistema	Event Threat Detection detecta cambios anómalos en la copia de seguridad y DR que pueden afectar la postura de la copia de seguridad, incluidos los cambios importantes en las políticas y la eliminación de componentes críticos de Copia de seguridad y DR.
Log4j	Event Threat Detection detecta posibles intentos de explotación de Log4j y vulnerabilidades de Log4j activas.
Software malicioso	Event Threat Detection detecta software malicioso mediante el análisis de los registros de flujo de VPC y de Cloud DNS en busca de conexiones a IP y dominios de comando y control conocidos.
DoS saliente	La Detección de eventos de amenazas examina los registros de flujo de VPC para detectar denegación saliente del tráfico de servicio.
Acceso anómalo	Event Threat Detection detecta el acceso anómalo mediante el análisis de los registros de auditoría de Cloud para las modificaciones del servicio de Google Cloud que se originaron en las direcciones IP de proxy anónimas, como las direcciones IP de Tor.
Comportamiento de IAM anómalo	Event Threat Detection detecta comportamientos anómalos de IAM mediante el examen de los registros de auditoría de Cloud en las siguientes situaciones: Cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde direcciones IP anómalas. Cuentas de servicio de IAM que acceden a Google Cloud desde usuarios-agentes anómalos Principales y recursos que roban la identidad de cuentas de servicio de IAM para acceder a Google Cloud.
Autoinvestigación de la cuenta de servicio	Container Threat Detection detecta cuándo se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.
Clave SSH agregada por el administrador de Compute Engine	Event Threat Detection detecta una modificación en el valor de la llave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana).
Secuencia de comandos de inicio agregada por el administrador de Compute Engine	Event Threat Detection detecta una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Hay actividad sospechosa en la cuenta	La Detección de eventos de amenazas detecta un posible compromiso de las cuentas de Google Workspace mediante el análisis de los registros de auditoría para actividades anómalas de la cuenta, incluidas las filtraciones de contraseñas y los intentos de acceso sospechosos.
Ataque respaldado por el Gobierno	Event Threat Detection examina los registros de auditoría de Google Workspace para detectar el momento en que un atacante respaldado por el Gobierno podría haber intentado vulnerar la cuenta o la computadora de un usuario.
Cambios en el inicio de sesión único (SSO)	La Detección de eventos de amenazas examina los registros de auditoría de Google Workspace a fin de detectar cuándo el SSO está inhabilitado o se cambia la configuración de las cuentas de administrador de Google Workspace.
Verificación en dos pasos	Event Threat Detection examina los registros de auditoría de Google Workspace para detectar cuando la verificación en 2 pasos está inhabilitada en las cuentas de usuario y administrador.
Comportamiento anómalo de la API	Event Threat Detection detecta comportamiento de API anómalo mediante el análisis de los registros de auditoría de Cloud para solicitudes a los servicios de Google Cloud que un principal no vio antes.
Evasión de defensa	Event Threat Detection detecta la evasión de la defensa mediante el análisis de los Registros de auditoría de Cloud para las siguientes situaciones: Cambios en los perímetros de los Controles del servicio de VPC existentes que generarían una reducción en la protección que se ofrece Implementaciones o actualizaciones de cargas de trabajo que usan la marca de emergencia para anular los controles de Autorización Binaria.^{Vista previa}
Descubrimiento	Event Threat Detection detecta operaciones de descubrimiento mediante el examen de los registros de auditoría para las siguientes situaciones: Un agente potencialmente malicioso trató de determinar qué objetos sensibles en GKE se pueden consultar con el comando `kubectl`. Se usa una credencial de cuenta de servicio para investigar los roles y permisos asociados con esa misma cuenta de servicio.
Acceso inicial	Event Threat Detection detecta operaciones de acceso inicial mediante el examen de los registros de auditoría para las siguientes situaciones: Una cuenta de servicio administrada por el usuario inactiva activó una acción.^{Vista previa} Una principal intentó invocar varios métodos de Google Cloud, pero falló repetidamente debido a errores de permiso denegado.^{Vista previa}
Elevación de privilegios	Event Threat Detection detecta la elevación de privilegios en GKE mediante el análisis de los registros de auditoría para las siguientes situaciones: Para elevar privilegios, un agente potencialmente malicioso trató de modificar un objeto de control de acceso basado en roles (RBAC) `ClusterRole`, `RoleBinding` o `ClusterRoleBinding` de la función sensible `cluster-admin` mediante una solicitud `PUT` o `PATCH`. Un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) de instancia principal de Kubernetes, que le otorga acceso de `cluster-admin`. Para elevar privilegios, un agente potencialmente malicioso trató de crear un nuevo objeto `RoleBinding` o `ClusterRoleBinding` para el rol `cluster-admin`. Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando `kubectl`, usando credenciales de arranque comprometidas. Un agente potencialmente malicioso creó un Pod que contiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios.
Detecciones de IDS de Cloud	IDS de Cloud detecta ataques de capa 7 mediante el análisis de paquetes duplicados y, cuando detecta un evento sospechoso, activa un hallazgo de Event Threat Detection. Para obtener más información sobre las detecciones de IDS de Cloud, consulta la información de Logging de IDS de Cloud. ^{Vista previa}
Movimiento lateral	Event Threat Detection detecta posibles ataques de disco de arranque modificados mediante el examen de los Registros de auditoría de Cloud para detectar desconexiones y nuevos adjuntos de discos de arranque frecuentes en las instancias de Compute Engine.

Obtén más información sobre Event Threat Detection.

Seguridad de Foresti

Forseti Security te brinda herramientas para comprender todos los recursos que tienes en Google Cloud. Los módulos principales de Forseti funcionan en conjunto para proporcionar información completa de modo que puedas proteger los recursos y minimizar los riesgos de seguridad.

Para mostrar las notificaciones de incumplimiento de Forseti en Security Command Center, sigue la Guía de notificación de Security Command Center de Forseti.

Para obtener más información, sigue estas sugerencias:

Obtenga más información sobre Forseti.
Obtén ayuda con Forseti.

Google Cloud Armor

Google Cloud Armor ayuda a proteger tu aplicación mediante el filtrado de capa 7. Google Cloud Armor limpia las solicitudes entrantes para ataques web comunes y otros atributos de capa 7 con el fin de bloquear el tráfico antes de que llegue a los servicios de backend con balanceo de cargas o a los buckets de backend.

Google Cloud Armor exporta dos hallazgos a Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, proporciona detección de amenazas mediante instrumentación a nivel de hipervisor y análisis de disco persistente. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube comprometidos.

VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center Premium y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Para obtener más información sobre la detección de amenazas a VM, consulta Descripción general de VM Threat Detection.

Hallazgos de amenazas de la Detección de amenazas de VM

VM Threat Detection puede generar los siguientes hallazgos de amenazas.

Hallazgos de amenazas de minería de criptomonedas

VM Threat Detection detecta las siguientes categorías de hallazgos a través de la coincidencia de hash o las reglas YARA.

Hallazgos de amenazas de minería de criptomonedas de VM Threat Detection
Categoría	Módulo	Descripción
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifica una amenaza que detectaron los módulos `CRYPTOMINING_HASH` y `CRYPTOMINING_YARA`. Para obtener más información, consulta Detecciones combinadas.

Hallazgos de amenazas de rootkit en modo kernel

VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa el software malicioso.

El módulo KERNEL_MEMORY_TAMPERING detecta amenazas mediante una comparación de hash en el código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.

El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas mediante la verificación de la integridad de estructuras de datos importantes del kernel.

Hallazgos de amenazas de rootkit en modo kernel de la detección de amenazas de VM
Categoría	Módulo	Descripción
Manipulación de la memoria del kernel
`Defense Evasion: Unexpected kernel code modification`^{Vista previa}	`KERNEL_MEMORY_TAMPERING`	Hay modificaciones inesperadas de la memoria del código del kernel.
`Defense Evasion: Unexpected kernel read-only data modification`^{Vista previa}	`KERNEL_MEMORY_TAMPERING`	Hay modificaciones inesperadas de la memoria de datos de solo lectura del kernel.
Manipulación de la integridad del kernel
`Defense Evasion: Unexpected ftrace handler`^{Vista previa}	`KERNEL_INTEGRITY_TAMPERING`	Los puntos `ftrace` están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango esperado de código de módulo o kernel.
`Defense Evasion: Unexpected interrupt handler`^{Vista previa}	`KERNEL_INTEGRITY_TAMPERING`	Interrumpe los controladores que no estén presentes en las regiones esperadas de código de kernel o módulo.
`Defense Evasion: Unexpected kernel modules`^{Vista previa}	`KERNEL_INTEGRITY_TAMPERING`	Están presentes las páginas de código de kernel que no se encuentran en las regiones esperadas de código de kernel o módulo.
`Defense Evasion: Unexpected kprobe handler`^{Vista previa}	`KERNEL_INTEGRITY_TAMPERING`	Los puntos `kprobe` están presentes con devoluciones de llamada que apuntan a regiones que no están en el rango esperado de código de módulo o kernel.
`Defense Evasion: Unexpected processes in runqueue`^{Vista previa}	`KERNEL_INTEGRITY_TAMPERING`	Hay procesos inesperados en la cola de ejecución del programador. Tales procesos están en la cola de ejecución, pero no en la lista de tareas de proceso.
`Defense Evasion: Unexpected system call handler`^{Vista previa}	`KERNEL_INTEGRITY_TAMPERING`	Los controladores de llamadas del sistema que no están en las regiones esperadas de código de kernel o módulo, están presentes.
Rootkit
`Defense Evasion: Rootkit`^{Vista previa}	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Existe una combinación de señales que coinciden con un rootkit de modo de kernel conocido. Para recibir resultados de esta categoría, asegúrate de que ambos módulos estén habilitados.

Hallazgo de observación de VM Threat Detection

VM Threat Detection puede generar el siguiente hallazgo de observación.

Resultado de la observación de VM Threat Detection
Nombre de categoría	Nombre de la API	Resumen	Gravedad
`VMTD disabled`	`VMTD_DISABLED`	La detección de amenazas de VM está inhabilitada. Hasta que enable, este servicio no puede analizar tus proyectos de Compute Engine ni tus instancias de VM en busca de aplicaciones no deseadas. Este resultado se establece en `INACTIVE` después de 30 días. Después de eso, este hallazgo no se vuelve a generar.	Alto

Errores

Los detectores de errores pueden ayudarte a detectar errores en la configuración que evitan que las fuentes de seguridad generen resultados. La fuente de seguridad Security Command Center genera los resultados de error y estos tienen la clase de resultado SCC errors.

Acciones involuntarias

Las siguientes categorías de resultados representan errores posiblemente causados por acciones no intencionales.

Acciones involuntarias
Nombre de categoría	Nombre de la API	Resumen	Gravedad
`API disabled`	`API_DISABLED`	Descripción de los resultados: La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center. Nivel de precios: Premium o Estándar Recursos admitidos cloudresourcemanager.googleapis.com/Project Análisis por lotes: Cada 60 horas Corrige este resultado	Esencial
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	Descripción del resultado: Las configuraciones de valores de los recursos se definen para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recursos de tu entorno. En su lugar, las simulaciones usan el conjunto predeterminado de recursos de alto valor. Este error puede tener cualquiera de las siguientes causas: Ninguna de las configuraciones de valores de recursos coincide con ninguna instancia de recursos. Una o más configuraciones de valores de recursos que especifican `NONE` anulan todas las demás configuraciones válidas. Todas las configuraciones definidas de valores de recursos especifican un valor de `NONE`. Nivel de precios: Premium Recursos admitidos cloudresourcemanager.googleapis.com/Organizations Análisis por lotes: Antes de cada simulación de ruta de ataque. Corrige este resultado	Esencial
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	Descripción del resultado: En la última simulación de rutas de ataque, la cantidad de instancias de recursos de alto valor identificadas en las configuraciones de valores de recursos superó el límite de 1,000 instancias de recursos en un conjunto de recursos de alto valor. Como resultado, Security Command Center excluyó la cantidad excedente de instancias del conjunto de recursos de alto valor. La cantidad total de instancias coincidentes y la cantidad total de instancias excluidas del conjunto se identifican en el hallazgo `SCC Error` de la consola de Google Cloud. Las puntuaciones de exposición a ataques de cualquier hallazgo que afecte a las instancias de recursos excluidas no reflejan la designación de alto valor de las instancias de recursos. Nivel de precios: Premium Recursos admitidos cloudresourcemanager.googleapis.com/Organizations Análisis por lotes: Antes de cada simulación de ruta de ataque. Corrige este resultado	Alto
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	Descripción del hallazgo: No se puede habilitar Container Threat Detection en el clúster porque una imagen de contenedor necesaria no se puede extraer (descargar) desde `gcr.io`, el host de imagen de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere Container Threat Detection. El intento de implementar el DaemonSet de detección de amenazas de contenedores dio como resultado el siguiente error: `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` Nivel de precios: Premium Elementos compatibles container.googleapis.com/Cluster Análisis por lotes: cada 30 minutos Corrige este resultado	Esencial
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	Descripción del hallazgo: No se puede habilitar la detección de amenazas a contenedores en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere Container Threat Detection. Cuando se ve en la consola de Google Cloud, los detalles del hallazgo incluyen el mensaje de error que mostró Google Kubernetes Engine cuando Container Threat Detection intentó implementar un objeto DaemonSet de Container Threat Detection. Nivel de precios: Premium Elementos compatibles container.googleapis.com/Cluster Análisis por lotes: cada 30 minutos Corrige este resultado	Alto
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descripción del resultado: A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección. Nivel de precios: Premium Recursos admitidos cloudresourcemanager.googleapis.com/Project Análisis por lotes: cada 30 minutos Corrige este resultado	Crítica
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descripción de los resultados: La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster. Nivel de precios: Premium Elementos compatibles container.googleapis.com/Cluster Análisis por lotes: todas las semanas Corrige este resultado	Alta
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	Descripción de los resultados: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging. Nivel de precios: Premium Elementos admitidos cloudresourcemanager.googleapis.com/Organization Análisis por lotes: cada 30 minutos Corrige este resultado	Alta
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	Descripción del resultado: Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro. Nivel de precios: Premium o Estándar Recursos admitidos cloudresourcemanager.googleapis.com/Project Análisis por lotes: Cada 6 horas Corrige este resultado	Alto
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	Descripción del resultado: A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados. Nivel de precios: Premium o Estándar Recursos admitidos cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project Análisis por lotes: cada 30 minutos Corrige este resultado	Crítica

Para obtener más información, consulta Errores de Security Command Center.

¿Qué sigue?

Obtén información sobre Security Command Center y los casos de uso de ejemplo en la descripción general de Security Command Center.
Aprende a agregar fuentes de seguridad nuevas mediante la configuración de los servicios de Security Command Center.

Servicios de detección

Servicios de detección de vulnerabilidades

Panel de postura de seguridad de GKE

Visualiza los hallazgos del panel de postura de seguridad de GKE en la consola de Google Cloud

Recomendador de IAM

Habilita o inhabilita los resultados del recomendador de IAM

Detectores de recomendador de IAM

Visualiza los resultados del recomendador de IAM en la consola

Administración de la superficie de ataque de Mandiant

Revisa los hallazgos de Mandiant Attack Surface Management en la consola de Google Cloud

Policy Controller

Detección rápida de vulnerabilidades

Security Health Analytics

Servicio de postura de seguridad

Hallazgos del servicio de postura de seguridad

Sensitive Data Protection

Hallazgos de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection

Hallazgos de observación de Sensitive Data Protection

Hallazgos de observación del servicio de descubrimiento

Hallazgos de observación del servicio de inspección de Sensitive Data Protection

Revisa los hallazgos de Sensitive Data Protection en la consola de Google Cloud

VM Manager

Evaluación de vulnerabilidades para AWS

Web Security Scanner

Análisis administrados

Análisis personalizados

Detectores y cumplimiento

Servicios de detección de amenazas

Detección de anomalías

La cuenta tiene credenciales filtradas

JSON: hallazgo de credenciales de cuentas filtradas

Container Threat Detection

Event Threat Detection

Seguridad de Foresti

Google Cloud Armor

Virtual Machine Threat Detection

Hallazgos de amenazas de la Detección de amenazas de VM

Hallazgos de amenazas de minería de criptomonedas

Hallazgos de amenazas de rootkit en modo kernel

Hallazgo de observación de VM Threat Detection

Errores

Acciones involuntarias

¿Qué sigue?