Controles de detección

Las funciones de detección y monitorización de amenazas se proporcionan mediante una combinación de controles de seguridad integrados de Security Command Center y soluciones personalizadas que te permiten detectar y responder a eventos de seguridad.

Registro centralizado para seguridad y auditoría

El plano configura las funciones de registro para monitorizar y analizar los cambios en tus Google Cloud recursos con registros que se agregan en un solo proyecto.

En el siguiente diagrama se muestra cómo agrega el blueprint los registros de varias fuentes de varios proyectos en un receptor de registros centralizado.

En el diagrama se describe lo siguiente:

• Los sumideros de registro se configuran en el nodo de organización para agregar registros de todos los proyectos de la jerarquía de recursos.
• Se configuran varios sumideros de registros para enviar los registros que coincidan con un filtro a diferentes destinos para almacenarlos y analizarlos.
• El proyecto prj-c-logging contiene todos los recursos de almacenamiento y análisis de registros.
• Si quiere, puede configurar herramientas adicionales para exportar registros a un SIEM.

El plano técnico usa diferentes fuentes de registro e incluye estos registros en el filtro de sumidero de registros para que se puedan exportar a un destino centralizado. En la siguiente tabla se describen las fuentes de registro.

Origen del archivo de registro	Descripción
Registros de auditoría de la actividad del administrador	No puedes configurar, inhabilitar ni excluir los registros de auditoría de actividad de administración.
Registros de auditoría de los eventos del sistema	No puedes configurar, inhabilitar ni excluir los registros de auditoría de eventos del sistema.
Registros de auditoría de denegación de acceso por infracción de las políticas	No puedes configurar ni inhabilitar los registros de auditoría de política denegada, pero puedes excluirlos de forma opcional con filtros de exclusión.
Registros de auditoría de acceso a datos	De forma predeterminada, el plano no habilita los registros de acceso a datos porque el volumen y el coste de estos registros pueden ser elevados. Para determinar si debes habilitar los registros de acceso a datos, evalúa dónde gestionan tus cargas de trabajo datos sensibles y considera si tienes que habilitar los registros de acceso a datos de cada servicio y entorno que trabaje con datos sensibles.
Registros de flujo de VPC	El plano técnico habilita los registros de flujo de VPC en todas las subredes. El blueprint configura el muestreo de registros para muestrear el 50% de los registros y reducir los costes. Si creas subredes adicionales, debes asegurarte de que los registros de flujo de VPC estén habilitados en cada subred.
Almacenamiento de registros de reglas de cortafuegos	El plano permite el registro de reglas de cortafuegos para cada regla de política de cortafuegos. Si crea reglas de política de cortafuegos adicionales para cargas de trabajo, debe asegurarse de que el registro de reglas de cortafuegos esté habilitado en cada regla nueva.
Registro de Cloud DNS	El blueprint habilita los registros de Cloud DNS para las zonas gestionadas. Si creas zonas gestionadas adicionales, debes habilitar esos registros de DNS.
Registro de auditoría de Google Workspace	Requiere un paso de habilitación único que no se automatiza con el blueprint. Para obtener más información, consulta el artículo sobre cómo compartir datos con los servicios deGoogle Cloud .
Registros de Transparencia de acceso	Requiere un paso de habilitación único que no automatiza el blueprint. Para obtener más información, consulta el artículo Habilitar Transparencia de acceso.

En la siguiente tabla se describen los receptores de registro y cómo se usan con los destinos admitidos en el plano.

Fregadero	Destino	Finalidad
sk-c-logging-la	Registros enrutar a loscubos de Cloud Logging con Analíticas de registros y un conjunto de datos de BigQuery vinculado habilitados	Analiza los registros de forma activa. Realiza investigaciones puntuales con el Explorador de registros de la consola o escribe consultas, informes y vistas de SQL con el conjunto de datos de BigQuery vinculado.
sk-c-logging-bkt	Registros enrutados a Cloud Storage	Almacena registros a largo plazo para cumplir los requisitos, realizar auditorías y hacer un seguimiento de los incidentes. Si tienes requisitos de cumplimiento para la conservación obligatoria de datos, te recomendamos que configures Bucket Lock.
sk-c-logging-pub	Registros enrutados a Pub/Sub	Exportar registros a una plataforma externa, como tu SIEM. Para ello, es necesario realizar más acciones para integrar la API con tu SIEM, como los siguientes mecanismos: En muchas herramientas, la integración de terceros con Pub/Sub es el método preferido para ingerir registros. En el caso de Google Security Operations, puedes ingerir Google Cloud datos en Google Security Operations sin aprovisionar infraestructura adicional. En Splunk, puedes enviar registros desde Google Cloud a Splunk mediante Dataflow.

Para obtener información sobre cómo habilitar otros tipos de registros y escribir filtros de receptor de registros, consulta la herramienta de definición del ámbito de los registros.

Monitorización de amenazas con Security Command Center

Te recomendamos que actives Security Command Center Premium en tu organización para detectar automáticamente amenazas, vulnerabilidades y errores de configuración en tus recursos de Google Cloud . Security Command Center crea resultados de seguridad a partir de varias fuentes, entre las que se incluyen las siguientes:

• Security Health Analytics: detecta vulnerabilidades y errores de configuración comunes en los Google Cloud recursos.
• Exposición a rutas de ataque: muestra una ruta simulada de cómo podría un atacante aprovechar tus recursos de alto valor, en función de las vulnerabilidades y los errores de configuración que detecten otras fuentes de Security Command Center.
• Event Threat Detection: aplica lógica de detección e inteligencia frente a amenazas propia a tus registros para identificar amenazas casi en tiempo real.
• Container Threat Detection: detecta ataques comunes al entorno de ejecución de contenedores.
• Virtual Machine Threat Detection: detecta aplicaciones potencialmente maliciosas que se ejecutan en máquinas virtuales.
• Web Security Scanner: busca vulnerabilidades de las diez principales de OWASP en tus aplicaciones orientadas a la Web en Compute Engine, App Engine o Google Kubernetes Engine.

Para obtener más información sobre las vulnerabilidades y las amenazas que aborda Security Command Center, consulta el artículo Fuentes de Security Command Center.

Debes activar Security Command Center después de implementar el blueprint. Para obtener instrucciones, consulta Activar Security Command Center en una organización.

Después de activar Security Command Center, le recomendamos que exporte los resultados que genere a sus herramientas o procesos actuales para clasificar y responder a las amenazas. El blueprint crea el proyecto prj-c-scc con un tema de Pub/Sub que se usará en esta integración. En función de las herramientas que ya tengas, utiliza uno de los siguientes métodos para exportar los resultados:

• Si usas la consola para gestionar los hallazgos de seguridad directamente en Security Command Center, configura roles a nivel de carpeta y de proyecto en Security Command Center para que los equipos puedan ver y gestionar los hallazgos de seguridad solo de los proyectos de los que sean responsables.

• Si usas Google SecOps como SIEM, ingiere Google Cloud datos en Google SecOps.

• Si usas una herramienta SIEM o SOAR con integraciones en Security Command Center, comparte datos con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk o QRadar.

• Si utilizas una herramienta externa que puede ingerir resultados de Pub/Sub, configura exportaciones continuas a Pub/Sub y configura tus herramientas para que ingieran resultados del tema de Pub/Sub.

Solución personalizada para el análisis de registros automatizado

Es posible que tengas que crear alertas para eventos de seguridad basadas en consultas personalizadas en los registros. Las consultas personalizadas pueden complementar las funciones de tu SIEM analizando los registros en Google Cloud y exportando solo los eventos que merezcan una investigación, sobre todo si no tienes capacidad para exportar todos los registros de la nube a tu SIEM.

El blueprint ayuda a habilitar este análisis de registros configurando una fuente centralizada de registros que puedes consultar mediante un conjunto de datos de BigQuery vinculado. Para automatizar esta función, debes implementar el código de ejemplo en bq-log-alerting y ampliar las funciones básicas. El código de ejemplo te permite consultar periódicamente una fuente de registro y enviar un resultado personalizado a Security Command Center.

En el siguiente diagrama se muestra el flujo general del análisis de registros automatizado.

En el diagrama se muestran los siguientes conceptos del análisis de registros automatizado:

• Los registros de varias fuentes se agregan en un contenedor de registros centralizado con analíticas de registros y un conjunto de datos de BigQuery vinculado.
• Las vistas de BigQuery se configuran para consultar los registros del evento de seguridad que quieras monitorizar.
• Cloud Scheduler envía un evento a un tema de Pub/Sub cada 15 minutos y activa funciones de Cloud Run.
• Cloud Run Functions consulta las vistas para obtener nuevos eventos. Si encuentra eventos, los envía a Security Command Center como resultados personalizados.
• Security Command Center publica notificaciones sobre nuevos resultados en otro tema de Pub/Sub.
• Una herramienta externa, como un SIEM, se suscribe al tema de Pub/Sub para ingerir nuevos resultados.

La muestra tiene varios casos prácticos para consultar comportamientos potencialmente sospechosos. Por ejemplo, un inicio de sesión desde una lista de superadministradores u otras cuentas con privilegios elevados que especifiques, cambios en la configuración de registro o cambios en las rutas de red. Puedes ampliar los casos prácticos escribiendo nuevas vistas de consulta según tus necesidades. Escribe tus propias consultas o consulta Analíticas de registros de seguridad para acceder a una biblioteca de consultas de SQL que te ayude a analizar los registros. Google Cloud

Solución personalizada para responder a los cambios en los recursos

Para responder a los eventos en tiempo real, le recomendamos que utilice Cloud Asset Inventory para monitorizar los cambios en los recursos. En esta solución personalizada, se configura un feed de recursos para que envíe notificaciones a Pub/Sub sobre los cambios que se producen en los recursos en tiempo real. A continuación, las funciones de Cloud Run ejecutan código personalizado para aplicar tu propia lógica empresarial en función de si se debe permitir el cambio.

El blueprint incluye un ejemplo de esta solución de gobernanza personalizada que monitoriza los cambios de IAM que añaden roles altamente sensibles, como los de administrador de la organización, propietario y editor. En el siguiente diagrama se describe esta solución.

En el diagrama anterior se muestran estos conceptos:

• Se hacen cambios en una política de permiso.
• El feed de Cloud Asset Inventory envía una notificación en tiempo real sobre el cambio de la política de permisos a Pub/Sub.
• Pub/Sub activa una función.
• Cloud Run functions ejecuta código personalizado para aplicar tu política. La función de ejemplo tiene lógica para evaluar si el cambio ha añadido los roles de administrador, propietario o editor de la organización a una política de permiso. Si es así, la función crea un resultado de seguridad personalizado y lo envía a Security Command Center.
• También puedes usar este modelo para automatizar las medidas correctoras. Escribe lógica empresarial adicional en las funciones de Cloud Run para tomar medidas automáticamente en relación con la detección, como restaurar el estado anterior de la política de permiso.

Además, puede ampliar la infraestructura y la lógica que usa esta solución de ejemplo para añadir respuestas personalizadas a otros eventos que sean importantes para su empresa.

Siguientes pasos

• Consulta información sobre los controles preventivos (el siguiente documento de esta serie).