¿Qué es Event Threat Detection?
Event Threat Detection es un servicio integrado del nivel Premium de Security Command Center que monitoriza continuamente tu organización o tus proyectos e identifica amenazas en tus sistemas casi en tiempo real. Event Threat Detection se actualiza periódicamente con nuevos detectores para identificar las amenazas emergentes a escala de la nube.
Cómo funciona Event Threat Detection
Event Threat Detection monitoriza el flujo de Cloud Logging de tu organización o tus proyectos. Si activas el nivel Premium de Security Command Center en la organización, Event Threat Detection consumirá los registros de tus proyectos a medida que se creen y podrá monitorizar los registros de Google Workspace. Cloud Logging contiene entradas de registro de llamadas a la API y otras acciones que crean, leen o modifican la configuración o los metadatos de tus recursos. Los registros de Google Workspace monitorizan los inicios de sesión de los usuarios en tu dominio y proporcionan un registro de las acciones realizadas en la consola de administración de Google Workspace.
Las entradas de registro contienen información sobre el estado y los eventos que Event Threat Detection usa para detectar amenazas rápidamente. Event Threat Detection aplica lógica de detección e inteligencia frente a amenazas propia, como la coincidencia de indicadores de cable trampa, la creación de perfiles por ventanas, la creación de perfiles avanzada, el aprendizaje automático y la detección de anomalías, para identificar amenazas casi en tiempo real.
Cuando Event Threat Detection detecta una amenaza, escribe un hallazgo en Security Command Center. Si activas el nivel Premium de Security Command Center a nivel de organización, Security Command Center puede escribir resultados en un proyecto de Cloud Logging. Desde Cloud Logging y el registro de Google Workspace, puedes exportar resultados a otros sistemas con Pub/Sub y procesarlos con funciones de Cloud Run.
Si activas el nivel Premium de Security Command Center a nivel de organización, también puedes usar Google Security Operations para investigar algunos resultados. Google SecOps es un Google Cloud servicio que te permite investigar amenazas y pasar de una entidad a otra relacionada en una cronología unificada. Para obtener instrucciones sobre cómo enviar resultados a Google SecOps, consulta el artículo Investigar resultados en Google SecOps.
Tu capacidad para ver y editar resultados y registros depende de los roles de Gestión de Identidades y Accesos (IAM) que se te hayan concedido. Para obtener más información sobre los roles de gestión de identidades y accesos de Security Command Center, consulta el artículo sobre control de acceso.
Reglas de Event Threat Detection
Las reglas definen el tipo de amenazas que detecta Event Threat Detection y los tipos de registros que deben habilitarse para que funcionen los detectores. Los registros de auditoría de actividad de administración siempre se escriben; no puedes configurarlos ni inhabilitarlos.
Event Threat Detection incluye las siguientes reglas predeterminadas:
| Nombre visible | Nombre de la API | Tipos de fuentes de registro | Descripción |
|---|---|---|---|
| Análisis activo: Log4j es vulnerable a la ejecución remota de código | No disponible | Registros de Cloud DNS | Se han iniciado escáneres de vulnerabilidades de Log4j y se han identificado consultas DNS de dominios sin ofuscar. Esta vulnerabilidad puede provocar la ejecución remota de código. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Impacto: se ha eliminado el host de copia de seguridad y recuperación tras fallos de Google Cloud | BACKUP_HOSTS_DELETE_HOST |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador del servicio de Backup y DR |
Se ha eliminado un host de la consola de gestión de copia de seguridad y recuperación ante desastres. Es posible que las aplicaciones asociadas al host eliminado no estén protegidas. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: la imagen de copia de seguridad y recuperación tras fallos de Google Cloud caduca | BACKUP_EXPIRE_IMAGE |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Un usuario ha solicitado la eliminación de una imagen de copia de seguridad desde la consola de gestión de Backup and DR. La eliminación de una imagen de backup no impide que se creen copias de seguridad en el futuro. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Impacto: retirada del plan de copia de seguridad y recuperación tras fallos de Google Cloud | BACKUP_REMOVE_PLAN |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado de Backup y DR un plan de copias de seguridad con varias políticas para una aplicación. Si se elimina un plan de copias de seguridad, no se podrán crear copias de seguridad en el futuro. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Impacto: Google Cloud Backup y DR caducan todas las imágenes | BACKUP_EXPIRE_IMAGES_ALL |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Un usuario ha solicitado la eliminación de todas las imágenes de copia de seguridad de una aplicación protegida desde la consola de gestión de copia de seguridad y recuperación ante desastres. La eliminación de imágenes de backup no impide que se creen copias de seguridad en el futuro. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Impacto: plantilla de eliminación de Backup y DR de Google Cloud | BACKUP_TEMPLATES_DELETE_TEMPLATE |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado una plantilla de copia de seguridad predefinida, que se usa para configurar copias de seguridad de varias aplicaciones, de la consola de gestión de copia de seguridad y recuperación ante desastres. Es posible que no puedas configurar copias de seguridad en el futuro. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Impacto: política de eliminación de Backup y DR de Google Cloud | BACKUP_TEMPLATES_DELETE_POLICY |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado una política de Backup y DR, que define cómo se crea una copia de seguridad y dónde se almacena, de la consola de gestión de Backup y DR. Es posible que las copias de seguridad futuras que usen la política fallen. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: eliminación de perfil de Backup y DR de Google Cloud | BACKUP_PROFILES_DELETE_PROFILE |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado un perfil de Backup y DR, que define qué conjuntos de almacenamiento se deben usar para almacenar copias de seguridad, de la consola de gestión de Backup y DR. Es posible que las copias de seguridad que se creen en el futuro con ese perfil no se realicen correctamente. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: Google Cloud Backup and DR remove appliance | BACKUP_APPLIANCES_REMOVE_APPLIANCE |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado un dispositivo de copia de seguridad de la consola de gestión de Backup y DR. Es posible que las aplicaciones asociadas al dispositivo de copia de seguridad eliminado no estén protegidas. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Impacto: Google Cloud Backup and DR elimina el grupo de almacenamiento | BACKUP_STORAGE_POOLS_DELETE |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha quitado de la consola de gestión de Backup y DR un pool de almacenamiento que asociaba un segmento de Cloud Storage con Backup y DR. Las copias de seguridad que se creen en este destino de almacenamiento no se podrán completar. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: Google Cloud Backup and DR ha reducido la caducidad de las copias de seguridad | BACKUP_REDUCE_BACKUP_EXPIRATION |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
La fecha de vencimiento de una copia de seguridad protegida por Backup y DR se ha reducido a través de la consola de gestión de Backup y DR. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: Google Cloud Backup and DR ha reducido la frecuencia de las copias de seguridad | BACKUP_REDUCE_BACKUP_FREQUENCY |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha modificado la programación de copias de seguridad de Backup and DR para reducir la frecuencia de las copias de seguridad a través de la consola de gestión de Backup and DR. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: se ha eliminado el Vault de copia de seguridad y recuperación tras fallos de Google Cloud | BACKUP_DELETE_VAULT |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado un almacén de copias de seguridad. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Impacto: se ha eliminado la copia de seguridad de Backup y DR de Google Cloud | BACKUP_DELETE_VAULT_BACKUP |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado manualmente una copia de seguridad almacenada en un depósito de copias de seguridad. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Impacto: se ha eliminado la asociación del plan de copia de seguridad y recuperación tras fallos de Google Cloud | BACKUP_DELETE_BACKUP_PLAN_ASSOCIATION |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Backup y DR |
Se ha eliminado un plan de copias de seguridad y recuperación tras fallos de una carga de trabajo. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| SSH por fuerza bruta | BRUTE_FORCE_SSH |
authlog | Un actor ha obtenido acceso SSH a un host mediante técnicas de fuerza bruta. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Cloud IDS: THREAT_IDENTIFIER | CLOUD_IDS_THREAT_ACTIVITY |
Registros de Cloud IDS |
Cloud IDS ha detectado eventos de amenazas. Cloud IDS detecta ataques de capa 7 analizando paquetes duplicados y, cuando se detecta un evento de amenaza, envía un resultado de clase de amenaza a Security Command Center. Los nombres de las categorías empiezan por "Cloud IDS" seguido del identificador de la amenaza de Cloud IDS. La integración de Cloud IDS con Detección de Amenazas de Eventos no incluye las detecciones de vulnerabilidades de Cloud IDS. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. Para obtener más información sobre las detecciones de Cloud IDS, consulta Información de registro de Cloud IDS. |
| Elevación de privilegios: miembro externo añadido a un grupo con privilegios | EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP |
Registros de Google Workspace: Auditoría de inicio de sesión Permisos: DATA_READ
|
Se ha añadido un miembro externo a un grupo de Google con privilegios (un grupo al que se han concedido roles o permisos sensibles). Una detección solo se genera si el grupo no contiene ya otros miembros externos de la misma organización que el miembro recién añadido. Para obtener más información, consulta Cambios no seguros en Grupos de Google. Este hallazgo no está disponible para las activaciones a nivel de proyecto. Las conclusiones se clasifican como de gravedad alta o media, en función de la sensibilidad de los roles asociados al cambio de grupo. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos sensibles. |
| Apropiación de privilegios: grupo con privilegios abierto al público | PRIVILEGED_GROUP_OPENED_TO_PUBLIC |
Google Workspace: Auditoría de administrador Permisos: DATA_READ
|
Se ha cambiado un grupo de Google con privilegios (un grupo al que se le han concedido roles o permisos sensibles) para que sea accesible al público en general. Para obtener más información, consulta Cambios no seguros en Grupos de Google. Este hallazgo no está disponible para las activaciones a nivel de proyecto. Las conclusiones se clasifican como de gravedad alta o media, en función de la sensibilidad de los roles asociados al cambio de grupo. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos sensibles. |
| Escalada de privilegios: se ha concedido un rol sensible a un grupo híbrido | SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se han concedido roles sensibles a un grupo de Google con miembros externos. Para obtener más información, consulta Cambios no seguros en Grupos de Google. Las conclusiones se clasifican como de gravedad alta o media, según la sensibilidad de los roles asociados al cambio de grupo. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos sensibles. |
| Evasión de defensas: se ha creado un despliegue de carga de trabajo de emergencia (vista previa) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_CREATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cargas de trabajo se desplegaron mediante la marca de emergencia para anular los controles de autorización binaria. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: se ha actualizado la implementación de cargas de trabajo de acceso de emergencia (vista previa) | BINARY_AUTHORIZATION_BREAKGLASS_WORKLOAD_UPDATE |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cargas de trabajo se actualizaron mediante la marca de acceso de emergencia para anular los controles de Autorización binaria. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: se ha modificado el filtrado de IP de un segmento de GCS | GCS_BUCKET_IP_FILTERING_MODIFIED |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Un usuario o una cuenta de servicio ha cambiado la configuración del filtrado de IP de un segmento de Cloud Storage. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: modificar Controles de Servicio de VPC | DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL |
Registros de auditoría de Cloud Registros de auditoría de Controles de Servicio de VPC |
Se ha cambiado un perímetro de Controles de Servicio de VPC, lo que provocará una reducción de la protección que ofrece ese perímetro. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensa: bloque de política HTTP del proyecto inhabilitado | PROJECT_HTTP_POLICY_BLOCK_DISABLED |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Un usuario o una cuenta de servicio ha activado correctamente una acción para inhabilitar storage.secureHttpTransport en un proyecto. Esto también se aplica cuando la acción se lleva a cabo a nivel de organización o de carpeta, ya que las políticas aplicadas a este nivel se heredan de forma predeterminada en los proyectos secundarios. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Detección: puede obtener una comprobación de objetos de Kubernetes sensibles | GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT |
Registros de auditoría de Cloud: Registros de acceso a datos de GKE |
Un agente potencialmente malicioso ha intentado determinar qué objetos sensibles de GKE puede consultar mediante el comando
De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Detección: autoinvestigación de cuentas de servicio | SERVICE_ACCOUNT_SELF_INVESTIGATION |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM Permisos: DATA_READ
|
Se ha usado una credencial de cuenta de servicio de gestión de identidades y accesos para investigar los roles y los permisos asociados a esa misma cuenta de servicio. Roles sensibles Los resultados se clasifican como de gravedad alta o media, según la sensibilidad de los roles concedidos. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos sensibles. |
| Evasión: acceso del proxy anonimizador | ANOMALOUS_ACCESS |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Google Cloud Las modificaciones del servicio se han originado en una dirección IP asociada a la red Tor. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Filtración externa: filtración externa de datos de BigQuery | DATA_EXFILTRATION_BIG_QUERY |
Registros de auditoría de Cloud:
Registros de acceso a datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta las siguientes situaciones:
|
| Exfiltración: extracción de datos de BigQuery | DATA_EXFILTRATION_BIG_QUERY_EXTRACTION |
Registros de auditoría de Cloud:
Registros de acceso a datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Detecta las siguientes situaciones:
En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, esta detección solo está disponible si el nivel Standard está habilitado en la organización principal. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Exfiltración: datos de BigQuery a Google Drive | DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE |
Registros de auditoría de Cloud:
Registros de acceso a datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Se ha guardado un recurso de BigQuery propiedad de la organización protegida en una carpeta de Google Drive mediante operaciones de extracción. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Exfiltración: pasar a un recurso público de BigQuery | DATA_EXFILTRATION_BIG_QUERY_TO_PUBLIC_RESOURCE |
Registros de auditoría de Cloud:
Registros de acceso a datos de BigQueryAuditMetadata Permisos: DATA_READ
|
Se ha guardado un recurso de BigQuery en un recurso público propiedad de tu organización. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Filtración externa: filtración externa de datos de Cloud SQL |
CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Registros de auditoría de Cloud:
Registros de acceso a datos de MySQL Registros de acceso a datos de PostgreSQL Registros de acceso a datos de SQL Server |
Detecta las siguientes situaciones:
En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, esta detección solo está disponible si el nivel Standard está habilitado en la organización principal. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Exfiltración: restauración de copias de seguridad de Cloud SQL en una organización externa | CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE |
Registros de auditoría de Cloud:
Registros de actividad de administrador de MySQL Registros de actividad de administrador de PostgreSQL Registros de actividad de administrador de SQL Server |
La copia de seguridad de una instancia de Cloud SQL se ha restaurado en una instancia fuera de la organización. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Exfiltración: concesión de privilegios excesivos de Cloud SQL | CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoría de Cloud:
Registros de acceso a datos de PostgreSQL Nota: Para usar esta regla, debes habilitar la extensión pgAudit. |
Se han concedido todos los privilegios a un usuario o rol de Cloud SQL para PostgreSQL en una base de datos o en todas las tablas, procedimientos o funciones de un esquema. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: superusuario de la base de datos escribe en tablas de usuario | CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoría de Cloud:
Registros de acceso a datos de Cloud SQL para PostgreSQL Registros de acceso a datos de Cloud SQL para MySQL Nota: Para usar esta regla, debes habilitar la extensión pgAudit en PostgreSQL o la auditoría de bases de datos en MySQL. |
Un superusuario de Cloud SQL (postgres para servidores PostgreSQL o root para usuarios de MySQL) ha escrito en tablas que no son del sistema. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Apropiación de privilegios: concesión de privilegios excesivos en AlloyDB | ALLOYDB_USER_GRANTED_ALL_PERMISSIONS |
Registros de auditoría de Cloud:
Registros de acceso a datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Se han concedido todos los privilegios a un usuario o rol de AlloyDB para PostgreSQL en una base de datos o en todas las tablas, procedimientos o funciones de un esquema. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Escalada de privilegios: el superusuario de la base de datos de AlloyDB escribe en tablas de usuario | ALLOYDB_SUPERUSER_WRITES_TO_USER_TABLES |
Registros de auditoría de Cloud:
Registros de acceso a datos de AlloyDB para PostgreSQL Nota: Debes habilitar la extensión pgAudit para usar esta regla. |
Un superusuario de AlloyDB para PostgreSQL (postgres) escribió
en tablas que no son del sistema. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Acceso inicial: acción en la cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una cuenta de servicio gestionada por el usuario inactiva ha activado una acción. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Elevación de privilegios: se ha concedido un rol sensible a una cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de IAM |
Se ha concedido uno o varios roles de gestión de identidades y accesos sensibles a una cuenta de servicio gestionada por el usuario inactiva. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. Roles sensibles Los resultados se clasifican como de gravedad alta o media, según la sensibilidad de los roles concedidos. Las detecciones se clasifican como de gravedad media de forma predeterminada. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos sensibles. |
| Escalada de privilegios: rol de suplantación concedido a una cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_IMPERSONATION_ROLE_GRANTED |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de IAM | Se han concedido a un principal permisos para actuar en nombre de una cuenta de servicio gestionada por el usuario inactiva. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Acceso inicial: se ha creado una clave de cuenta de servicio inactiva | DORMANT_SERVICE_ACCOUNT_KEY_CREATED |
Registros de auditoría de Cloud: Registros de actividad del administrador | Se ha creado una clave para una cuenta de servicio gestionada por el usuario inactiva. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso inicial: se ha usado una clave de cuenta de servicio filtrada | LEAKED_SA_KEY_USED |
Registros de auditoría de Cloud:
Registros de actividad del administrador Registros de acceso a los datos |
Se ha usado una clave de cuenta de servicio filtrada para autenticar la acción. En este contexto, una clave de cuenta de servicio filtrada es aquella que se ha publicado en Internet. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso inicial: acciones de denegación de permisos excesivas | EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoría de Cloud: Registros de actividad del administrador | Un principal ha activado repetidamente errores de permiso denegado al intentar hacer cambios en varios métodos y servicios. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Persistencia: autenticación segura inhabilitada |
ENFORCE_STRONG_AUTHENTICATION
|
Google Workspace: Auditoría de administrador |
Se ha inhabilitado la verificación en dos pasos en la organización. Este hallazgo no está disponible para las activaciones a nivel de proyecto. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Persistencia: verificación en dos pasos inhabilitada |
2SV_DISABLE
|
Registros de Google Workspace: Auditoría de inicio de sesión Permisos: DATA_READ
|
Un usuario ha inhabilitado la verificación en dos pasos. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: cuenta inhabilitada y hackeada |
ACCOUNT_DISABLED_HIJACKED
|
Registros de Google Workspace: Auditoría de inicio de sesión Permisos: DATA_READ
|
Se ha suspendido la cuenta de un usuario debido a una actividad sospechosa. Este hallazgo no está disponible para las activaciones a nivel de proyecto. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Acceso inicial: contraseña filtrada inhabilitada |
ACCOUNT_DISABLED_PASSWORD_LEAK
|
Registros de Google Workspace: Auditoría de inicio de sesión Permisos: DATA_READ
|
Se ha inhabilitado la cuenta de un usuario porque se ha detectado una filtración de contraseñas. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: ataque respaldado por un gobierno |
GOV_ATTACK_WARNING
|
Registros de Google Workspace: Auditoría de inicio de sesión Permisos: DATA_READ
|
Es posible que atacantes respaldados por un gobierno hayan intentado vulnerar el ordenador o la cuenta de un usuario. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso inicial: intento de vulneración de Log4j | No disponible |
Registros de Cloud Load Balancing: Balanceador de carga HTTP de Cloud Nota: Para usar esta regla, debes habilitar el registro del balanceador de carga de aplicación externo. |
Se han detectado búsquedas de Java Naming and Directory Interface (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell. Estos hallazgos tienen una gravedad baja, ya que solo indican una detección o un intento de explotación, no una vulnerabilidad ni una brecha de seguridad. Esta regla está siempre activada. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: inicio de sesión sospechoso bloqueado |
SUSPICIOUS_LOGIN
|
Registros de Google Workspace: Auditoría de inicio de sesión Permisos: DATA_READ
|
Se ha detectado y bloqueado un inicio de sesión sospechoso en la cuenta de un usuario. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Malware de Log4j: dominio incorrecto | LOG4J_BAD_DOMAIN |
Registros de Cloud DNS | Se ha detectado tráfico de exploits de Log4j basado en una conexión o una búsqueda de un dominio conocido utilizado en ataques de Log4j. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Malware de Log4j: IP incorrecta | LOG4J_BAD_IP |
Registros de flujo de las VPCs Registros de reglas de cortafuegos Registros de Cloud NAT |
Se ha detectado tráfico de exploit de Log4j basado en una conexión a una dirección IP conocida utilizada en ataques de Log4j. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Malware: dominio incorrecto | MALWARE_BAD_DOMAIN |
Registros de Cloud DNS | Se ha detectado malware en función de una conexión o una búsqueda de un dominio incorrecto conocido. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Malware: IP incorrecta | MALWARE_BAD_IP |
Registros de flujo de las VPCs Registros de reglas de cortafuegos Registros de Cloud NAT |
Se ha detectado malware en función de una conexión a una dirección IP incorrecta conocida. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Malware: dominio incorrecto de minería de criptomonedas | CRYPTOMINING_POOL_DOMAIN |
Registros de Cloud DNS | Se ha detectado minería de criptomonedas en función de una conexión o una búsqueda de un dominio de minería conocido. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Malware: IP incorrecta de minería de criptomonedas | CRYPTOMINING_POOL_IP |
Registros de flujo de las VPCs Registros de reglas de cortafuegos Registros de Cloud NAT |
Se ha detectado minería de criptomonedas en función de una conexión a una dirección IP de minería conocida. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Persistencia: administrador de GCE ha añadido una clave SSH | GCE_ADMIN_ADD_SSH_KEY |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Compute Engine |
Se ha modificado el valor de la clave SSH de los metadatos de la instancia de Compute Engine en una instancia establecida (con más de una semana de antigüedad). De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Persistencia: se ha añadido una secuencia de comandos de inicio de administrador de GCE | GCE_ADMIN_ADD_STARTUP_SCRIPT |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de Compute Engine |
Se ha modificado el valor del script de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (con más de una semana de antigüedad). De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Persistencia: concesión anómala de gestión de identidades y accesos | IAM_ANOMALOUS_GRANT |
Registros de auditoría de Cloud: Registros de auditoría de la actividad del administrador de IAM |
Este resultado incluye subreglas que proporcionan información más específica sobre cada instancia de este resultado. En la siguiente lista se muestran todas las subreglas posibles:
|
| Persistencia: se ha concedido un rol sensible a una cuenta no gestionada (versión preliminar) | UNMANAGED_ACCOUNT_ADDED_IN_IAM_ROLE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha concedido un rol sensible a una cuenta no gestionada. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Persistencia: nuevo método de la API |
ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cuentas de servicio de gestión de identidades y accesos han usado un acceso anómalo a los servicios de Google Cloud . De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Persistencia: nueva geografía | IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha accedido a cuentas de usuario y de servicio de IAM Google Cloud desde ubicaciones anómalas, según la geolocalización de las direcciones IP que han enviado las solicitudes. Este hallazgo no está disponible para las activaciones a nivel de proyecto y, de forma predeterminada, se clasifica como de gravedad baja. |
| Persistencia: nuevo user-agent | IAM_ANOMALOUS_BEHAVIOR_USER_AGENT |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha accedido a cuentas de servicio de IAM Google Cloud desde agentes de usuario anómalos o sospechosos. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Persistencia: activación o desactivación del SSO |
TOGGLE_SSO_ENABLED
|
Google Workspace: Auditoría de administrador |
El ajuste Habilitar SSO (inicio de sesión único) de la cuenta de administrador se ha inhabilitado. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Persistencia: se ha cambiado la configuración de SSO |
CHANGE_SSO_SETTINGS
|
Google Workspace: Auditoría de administrador |
Se ha cambiado la configuración de SSO de la cuenta de administrador. Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Elevación de privilegios: suplantación anómala de una cuenta de servicio para realizar actividades de administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha usado una cuenta de servicio suplantada potencialmente anómala para llevar a cabo una actividad administrativa. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para actividad de administrador | ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha detectado una solicitud delegada de varios pasos anómala en una actividad administrativa. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para acceder a datos | ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a datos |
Se ha detectado una solicitud delegada anómala de varios pasos en una actividad de acceso a datos. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: cuenta de servicio anómala que suplanta la identidad para realizar actividad de administrador | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha usado un llamante o suplantador potencialmente anómalo en una cadena de delegación para realizar una actividad administrativa. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: suplantación anómala de cuenta de servicio para acceder a datos | ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a datos |
Se ha usado un llamante o suplantador potencialmente anómalo en una cadena de delegación para realizar una actividad de acceso a datos. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Apropiación de privilegios: cambios en objetos sensibles de RBAC de Kubernetes | GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Para aumentar los privilegios, un agente potencialmente malicioso ha intentado modificar un objeto de control de acceso basado en roles (RBAC) de ClusterRole, RoleBinding o ClusterRoleBinding
sensible
cluster-admin
mediante una solicitud PUT o PATCH. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Escalada de privilegios: crear CSR de Kubernetes para el certificado de la instancia maestra | GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Un agente potencialmente malicioso ha creado una
solicitud de firma de certificado
(CSR) de un maestro de Kubernetes, lo que le da acceso
cluster-admin. De forma predeterminada, los resultados se clasifican como de gravedad alta.
|
| Apropiación de privilegios: creación de enlaces de Kubernetes sensibles | GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Para aumentar los privilegios, un agente potencialmente malicioso ha intentado crear un objeto RoleBinding o ClusterRoleBinding para el rol
cluster-admin. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Escalada de privilegios: obtener CSR de Kubernetes con credenciales de arranque vulneradas | GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS |
Registros de auditoría de Cloud: Registros de acceso a datos de GKE |
Un agente potencialmente malicioso ha consultado una
solicitud de firma de certificado
(CSR) con el comando kubectl mediante credenciales de arranque vulneradas. De forma predeterminada, los resultados se clasifican como de gravedad alta.
|
| Apropiación de privilegios: lanzamiento de un contenedor de Kubernetes con privilegios | GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Un agente potencialmente malicioso ha creado un pod que contiene contenedores con privilegios o contenedores con funciones de apropiación de privilegios.
Un contenedor con privilegios tiene el campo |
| Persistencia: clave de cuenta de servicio creada | SERVICE_ACCOUNT_KEY_CREATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha creado una clave de cuenta de servicio. Las claves de cuentas de servicio son credenciales de larga duración que aumentan el riesgo de acceso no autorizado a los recursos de Google Cloud. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Apropiación de privilegios: se ha añadido una secuencia de comandos de apagado global | GLOBAL_SHUTDOWN_SCRIPT_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha añadido una secuencia de comandos de apagado global a un proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Persistencia: se ha añadido una secuencia de comandos de inicio global | GLOBAL_STARTUP_SCRIPT_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha añadido una secuencia de comandos de inicio global a un proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: se ha añadido el rol Creador de tokens de cuenta de servicio a nivel de organización | ORG_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha asignado el rol de gestión de identidades y accesos Creador de tokens de cuenta de servicio a nivel de organización. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: se ha añadido el rol Creador de tokens de cuenta de servicio a nivel de proyecto | PROJECT_LEVEL_SERVICE_ACCOUNT_TOKEN_CREATOR_ROLE_ADDED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha asignado el rol de gestión de identidades y accesos Creador de tokens de cuenta de servicio a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Movimiento lateral: ejecución de parches del SO desde una cuenta de servicio | OS_PATCH_EXECUTION_FROM_SERVICE_ACCOUNT |
Registros de auditoría de Cloud. Registros de auditoría de la actividad de administrador de gestión de identidades y accesos |
Una cuenta de servicio ha usado la función de parche de Compute Engine para actualizar el sistema operativo de cualquier instancia de Compute Engine que esté en ejecución. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Movimiento lateral: disco de arranque modificado adjunto a una instancia (vista previa) | MODIFY_BOOT_DISK_ATTACH_TO_INSTANCE |
Registros de auditoría de Cloud: Registros de auditoría de Compute Engine |
Se ha separado un disco de arranque de una instancia de Compute Engine y se ha conectado a otra, lo que podría indicar un intento malicioso de poner en peligro el sistema mediante un disco de arranque modificado. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso a credenciales: secretos a los que se ha accedido en el espacio de nombres de Kubernetes | SECRETS_ACCESSED_IN_KUBERNETES_NAMESPACE |
Registros de auditoría de Cloud: Registros de acceso a datos de GKE |
Una cuenta de servicio ha accedido a secretos o tokens de cuenta de servicio en el espacio de nombres de Kubernetes actual. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Desarrollo de recursos: actividad de distribución de seguridad ofensiva | OFFENSIVE_SECURITY_DISTRO_ACTIVITY |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha manipulado correctamente un recurso Google Cloud mediante pruebas de penetración conocidas o distribuciones de seguridad ofensiva. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Escalada de privilegios: la nueva cuenta de servicio es propietaria o editora | SERVICE_ACCOUNT_EDITOR_OWNER |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha creado una cuenta de servicio con los roles Editor o Propietario en un proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Descubrimiento: herramienta de recogida de información utilizada | INFORMATION_GATHERING_TOOL_USED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha detectado el uso de ScoutSuite. ScoutSuite es una herramienta de auditoría de seguridad en la nube que se sabe que utilizan los agentes de amenazas. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Apropiación de privilegios: generación de tokens sospechosa | SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso iam.serviceAccounts.implicitDelegation se ha usado de forma inadecuada para generar tokens de acceso desde una cuenta de servicio con más privilegios. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Apropiación de privilegios: generación de tokens sospechosa | SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Una cuenta de servicio ha usado el método
serviceAccounts.signJwt
para generar un token de acceso para otra cuenta de servicio. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Apropiación de privilegios: generación de tokens sospechosa | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso de gestión de identidades y accesos Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Apropiación de privilegios: generación de tokens sospechosa | SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso de gestión de identidades y accesos Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Apropiación de privilegios: uso sospechoso de permisos entre proyectos | SUSPICIOUS_CROSS_PROJECT_PERMISSION_DATAFUSION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
El permiso de gestión de identidades y accesos Este hallazgo no está disponible para las activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Comando y control: túneles DNS | DNS_TUNNELING_IODINE_HANDSHAKE |
Registros de Cloud DNS | Se ha detectado la negociación de la herramienta de túnel DNS Iodine. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: intento de enmascaramiento de ruta de VPC | VPC_ROUTE_MASQUERADE |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se han creado manualmente rutas de VPC que se hacen pasar por rutas Google Cloud predeterminadas para permitir que el tráfico de salida llegue a direcciones IP externas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Impacto: facturación inhabilitada | BILLING_DISABLED_SINGLE_PROJECT |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha inhabilitado la facturación de un proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: facturación inhabilitada | BILLING_DISABLED_MULTIPLE_PROJECTS |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha inhabilitado la facturación en varios proyectos de una organización en un breve periodo. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: bloqueo de alta prioridad del cortafuegos de VPC | VPC_FIREWALL_HIGH_PRIORITY_BLOCK |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha añadido una regla de cortafuegos de VPC que bloquea todo el tráfico de salida con prioridad 0. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: eliminación masiva de reglas de cortafuegos de VPC No disponible temporalmente | VPC_FIREWALL_MASS_RULE_DELETION |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se han eliminado en masa reglas de cortafuegos de VPC por cuentas que no son de servicio. Esta regla no está disponible temporalmente. Para monitorizar las actualizaciones de tus reglas de cortafuegos, usa los registros de auditoría de Cloud. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: API de servicio inhabilitada | SERVICE_API_DISABLED |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha inhabilitado una API de servicio en un entorno de producción. Google Cloud De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Impacto: el autoescalado del grupo de instancias gestionado se ha definido como máximo | MIG_AUTOSCALING_SET_TO_MAX |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Se ha configurado un grupo de instancias gestionado para el autoescalado máximo. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Discovery: Unauthorized Service Account API Call | UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Registros de auditoría de Cloud: Registros de auditoría de actividad del administrador de IAM |
Una cuenta de servicio ha realizado una llamada a la API entre proyectos sin autorización. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: sesiones anónimas con acceso de administrador de clúster concedido | ANONYMOUS_SESSIONS_GRANTED_CLUSTER_ADMIN |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Se ha creado un objeto de control de acceso basado en roles (RBAC)
ClusterRoleBinding, que añade el comportamiento
root-cluster-admin-binding a los usuarios anónimos. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Persistencia: nueva geografía para el servicio de IA | AI_IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha accedido a cuentas de usuario y de servicio de IAM Google Cloud a servicios de IA desde ubicaciones anómalas, según la geolocalización de las direcciones IP solicitantes. Este hallazgo no está disponible para las activaciones a nivel de proyecto y, de forma predeterminada, se clasifica como de gravedad baja. |
| Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para actividad de administrador de IA | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha detectado una solicitud delegada anómala de varios pasos para una actividad administrativa de un servicio de IA. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para acceder a datos de IA | AI_ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a datos |
Se ha detectado una solicitud delegada anómala de varios pasos para una actividad de acceso a datos de un servicio de IA. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: cuenta de servicio anómala que suplanta la identidad para realizar actividad de administrador de IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha usado un llamante o suplantador potencialmente anómalo en una cadena de delegación para una actividad administrativa de un servicio de IA. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: suplantación de cuenta de servicio anómala para acceder a datos de IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS |
Registros de auditoría de Cloud: Registros de acceso a datos |
Se ha usado un llamante o suplantador potencialmente anómalo en una cadena de delegación para acceder a los datos de un servicio de IA. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Elevación de privilegios: suplantación anómala de una cuenta de servicio para realizar actividad de administrador de IA | AI_ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha usado una cuenta de servicio suplantada potencialmente anómala para una actividad administrativa de un servicio de IA. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Persistencia: nuevo método de la API de IA |
AI_ANOMALOUS_BEHAVIOR_NEW_API_METHOD |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Las cuentas de servicio de gestión de identidades y accesos han usado un acceso anómalo a los servicios de IA de Google Cloud . De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: actividad de cuenta de servicio inactiva en el servicio de IA | AI_DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una cuenta de servicio gestionada por el usuario inactiva ha activado una acción en los servicios de IA. En este contexto, se considera que una cuenta de servicio está inactiva si no se ha utilizado durante más de 180 días. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso inicial: recurso de GKE anónimo creado desde Internet (vista previa) | GKE_RESOURCE_CREATED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registros de actividad del administrador de GKE. |
Un recurso ha sido creado por un usuario de Internet anónimo. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso inicial: recurso de GKE modificado de forma anónima desde Internet (vista previa) | GKE_RESOURCE_MODIFIED_ANONYMOUSLY_FROM_INTERNET |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Un recurso ha sido manipulado por un usuario de Internet anónimo. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Escalada de privilegios: se concede acceso a clústeres de GKE a usuarios anónimos | GKE_ANONYMOUS_USERS_GRANTED_ACCESS |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un enlace RBAC que hace referencia a uno de los siguientes usuarios o grupos:
Estos usuarios y grupos son anónimos y no se deben usar al crear enlaces de roles o enlaces de roles de clúster a ningún rol de RBAC. Revisa el enlace para asegurarte de que es necesario. Si el enlace no es necesario, quítalo. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Ejecución: ejecución sospechosa o conexión a un pod del sistema (vista previa) | GKE_SUSPICIOUS_EXEC_ATTACH |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha usado los comandos exec o attach para obtener un shell o ejecutar un comando en un contenedor que se ejecuta en el espacio de nombres kube-system.
A veces, estos métodos se usan con fines de depuración legítimos. Sin embargo, el espacio de nombres kube-system está pensado para objetos del sistema creados por Kubernetes, por lo que se debe revisar la ejecución de comandos o la creación de shells inesperadas. Las detecciones se clasifican como de gravedad media de forma predeterminada.
|
| Escalada de privilegios: carga de trabajo creada con un montaje de ruta de host sensible (vista previa) | GKE_SENSITIVE_HOSTPATH |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado una carga de trabajo que contiene un montaje de volumen hostPath en una ruta sensible del sistema de archivos del nodo host. Se puede acceder a estas rutas en el sistema de archivos del host para acceder a información privilegiada o sensible del nodo y para escapar de los contenedores. Si es posible, no permita ningún volumen hostPath en su clúster. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Apropiación de privilegios: carga de trabajo con shareProcessNamespace habilitado (vista previa) | GKE_SHAREPROCESSNAMESPACE_POD |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha desplegado una carga de trabajo con la opción shareProcessNamespace definida como true, lo que permite que todos los contenedores compartan el mismo espacio de nombres de procesos de Linux.
Esto podría permitir que un contenedor no fiable o vulnerado aumente sus privilegios accediendo y controlando variables de entorno, memoria y otros datos sensibles de procesos que se ejecutan en otros contenedores. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Apropiación de privilegios: ClusterRole con verbos privilegiados (vista previa) | GKE_CLUSTERROLE_PRIVILEGED_VERBS |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un ClusterRole de control de acceso basado en roles que contiene los verbos bind, escalate o impersonate. Un sujeto vinculado a un rol con estos verbos puede suplantar la identidad de otros usuarios con privilegios superiores, vincularse a Roles o ClusterRoles adicionales que contengan permisos adicionales o modificar sus propios permisos de ClusterRole. Esto podría provocar que esos sujetos obtengan privilegios de administrador de clúster. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Apropiación de privilegios: ClusterRoleBinding a rol con privilegios | GKE_CRB_CLUSTERROLE_AGGREGATION_CONTROLLER |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un RBAC ClusterRoleBinding que hace referencia al system:controller:clusterrole-aggregation-controller
ClusterRole predeterminado. Este ClusterRole predeterminado tiene el verbo escalate, que permite a los sujetos modificar los privilegios de sus propios roles, lo que permite la apropiación de privilegios. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Evasión de defensas: solicitud de firma de certificado (CSR) eliminada manualmente | GKE_MANUALLY_DELETED_CSR |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha eliminado manualmente una solicitud de firma de certificado (CSR). Los CSRs se eliminan automáticamente mediante un controlador de recolección de elementos no utilizados, pero los agentes maliciosos pueden eliminarlos manualmente para evitar ser detectados. Si el CSR eliminado era de un certificado aprobado y emitido, el agente potencialmente malicioso ahora tiene un método de autenticación adicional para acceder al clúster. Los permisos asociados al certificado varían en función del sujeto que incluyan, pero pueden ser de alto privilegio. Kubernetes no admite la revocación de certificados. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso a credenciales: intento fallido de aprobar una solicitud de firma de certificado (CSR) de Kubernetes | GKE_APPROVE_CSR_FORBIDDEN |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha intentado aprobar manualmente una solicitud de firma de certificado (CSR), pero no se ha podido completar la acción. Crear un certificado para la autenticación de clústeres es un método habitual que utilizan los atacantes para crear un acceso persistente a un clúster vulnerado. Los permisos asociados al certificado varían en función del asunto que incluyan, pero pueden ser de alto privilegio. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso a credenciales: solicitud de firma de certificado de Kubernetes aprobada manualmente (CSR) (Vista previa) | GKE_CSR_APPROVED |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha aprobado manualmente una solicitud de firma de certificado (CSR). Crear un certificado para la autenticación de clústeres es un método habitual que utilizan los atacantes para crear acceso persistente a un clúster vulnerado. Los permisos asociados al certificado varían en función del asunto que incluyan, pero pueden ser de alto privilegio. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Ejecución: se ha creado un pod de Kubernetes con posibles argumentos de shell inverso | GKE_REVERSE_SHELL_POD |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un pod que contiene comandos o argumentos que suelen asociarse a un shell inverso. Los atacantes usan shells inversos para ampliar o mantener su acceso inicial a un clúster y ejecutar comandos arbitrarios. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Evasión de defensas: posible suplantación de identidad de pods de Kubernetes | GKE_POD_MASQUERADING |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha desplegado un pod con una convención de nomenclatura similar a las cargas de trabajo predeterminadas que GKE crea para el funcionamiento normal del clúster. Esta técnica se denomina enmascaramiento. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Escalada de privilegios: nombres de contenedores de Kubernetes sospechosos (explotación y escape) (vista previa) | GKE_SUSPICIOUS_EXPLOIT_POD |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha implementado un pod con una convención de nomenclatura similar a las herramientas comunes que se usan para eludir contenedores o ejecutar otros ataques en el clúster. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Persistencia: cuenta de servicio creada en un espacio de nombres sensible | GKE_SERVICE_ACCOUNT_CREATION_SENSITIVE_NAMESPACE |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado una cuenta de servicio en un espacio de nombres sensible. Los espacios de nombres kube-system y kube-public son fundamentales para las operaciones de los clústeres de GKE, y las cuentas de servicio no autorizadas podrían poner en peligro la estabilidad y la seguridad de los clústeres. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Impacto: nombres de contenedores de Kubernetes sospechosos (minería de criptomonedas) | GKE_SUSPICIOUS_CRYPTOMINING_POD |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha implementado un pod con una convención de nomenclatura similar a la de los mineros de criptomonedas habituales. Puede que se trate de un intento por parte de un atacante que ha conseguido acceso inicial al clúster para usar los recursos del clúster en la minería de criptomonedas. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Ejecución: carga de trabajo activada en un espacio de nombres sensible | GKE_SENSITIVE_NAMESPACE_WORKLOAD_TRIGGERED |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha desplegado una carga de trabajo (por ejemplo, un pod o un despliegue) en los espacios de nombres kube-system o kube-public. Estos espacios de nombres son fundamentales para las operaciones de los clústeres de GKE, y las cargas de trabajo no autorizadas podrían poner en peligro la estabilidad o la seguridad de los clústeres. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Ejecución: contenedor de lanzamiento de GKE con demasiadas funciones (vista previa) | GKE_EXCESSIVELY_CAPABLE_CONTAINER_CREATED |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un contenedor con una o varias de las siguientes funciones en un clúster con un contexto de seguridad elevado:
|
| Persistencia: se ha detectado la configuración de webhook de GKE | GKE_WEBHOOK_CONFIG_CREATED |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Se ha detectado una configuración de webhook en tu clúster de GKE. Los webhooks pueden interceptar y modificar las solicitudes de la API de Kubernetes, lo que podría permitir que los atacantes permanezcan en tu clúster o manipulen recursos. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Evasión de defensas: se ha creado un pod estático | GKE_STATIC_POD_CREATED |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un pod estático en tu clúster de GKE. Los pods estáticos se ejecutan directamente en el nodo y omiten el servidor de la API de Kubernetes, lo que dificulta su monitorización y control. Los atacantes pueden usar pods estáticos para eludir la detección o mantener la persistencia. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: llamada a la API realizada correctamente desde una IP de proxy de TOR | GKE_TOR_PROXY_IP_REQUEST |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Se ha realizado una llamada a la API correcta a tu clúster de GKE desde una dirección IP asociada a la red Tor. Tor proporciona anonimato, que los atacantes suelen aprovechar para ocultar su identidad. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso inicial: se ha creado un servicio NodePort de GKE | GKE_NODEPORT_SERVICE_CREATED |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha creado un servicio NodePort. Los servicios NodePort exponen los pods directamente en la dirección IP y el puerto estático de un nodo, lo que hace que los pods sean accesibles desde fuera del clúster. Esto puede suponer un riesgo de seguridad importante, ya que podría permitir que un atacante aproveche las vulnerabilidades del servicio expuesto para obtener acceso al clúster o a datos sensibles. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Impacto: se ha detectado una modificación de kube-dns de GKE (vista previa) | GKE_KUBE_DNS_MODIFICATION |
Registros de auditoría de Cloud: Registros de actividad de administrador de GKE |
Alguien ha modificado la configuración de kube-dns en tu clúster de GKE. kube-dns de GKE es un componente fundamental de la red de tu clúster y su configuración incorrecta podría provocar una brecha de seguridad. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
| Impacto: comandos de minería de criptomonedas | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Registros de auditoría de Cloud: Registros de auditoría de eventos del sistema de IAM |
Se adjuntaron comandos de minería de criptomonedas específicos a una tarea de Cloud Run durante la ejecución. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Ejecución: imagen de Docker de minería de criptomonedas | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Registros de auditoría de Cloud: Registros de auditoría de eventos del sistema de IAM |
Se han adjuntado imágenes de Docker específicas que se sabe que son incorrectas a un servicio o trabajo de Cloud Run nuevo o ya creado. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Aumento de privilegios: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Registros de auditoría de Cloud: Registros de actividad del administrador |
Se ha usado la cuenta de servicio predeterminada de Compute Engine para definir la política de gestión de identidades y accesos de un servicio de Cloud Run. Esta es una posible acción posterior a la explotación cuando se pone en peligro un token de Compute Engine desde un servicio sin servidor. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: inicio de sesión correcto en CloudDB desde una IP de proxy anonimizador | CLOUD_DB_LOGIN_SUCCEEDED_ANON_IP |
Registros de auditoría de Cloud:
Registros de acceso a datos de AlloyDB para PostgreSQL Registros de acceso a datos de Cloud SQL para PostgreSQL Registros de acceso a datos de Cloud SQL para MySQL Nota: Debes habilitar el registro de IP en PostgreSQL para usar esta regla en AlloyDB y Postgres. |
Se ha detectado un inicio de sesión correcto en tu instancia de base de datos desde una dirección IP de anonimización conocida. Esto podría indicar que un atacante ha obtenido acceso inicial a tu instancia. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Acceso a credenciales: error al iniciar sesión en CloudDB desde una IP de proxy anonimizador | CLOUD_DB_LOGIN_FAILED_ANON_IP |
Registros de auditoría de Cloud:
Registros de acceso a datos de AlloyDB para PostgreSQL Registros de acceso a datos de Cloud SQL para PostgreSQL Registros de acceso a datos de Cloud SQL para MySQL Nota: Debes habilitar el registro de IP en PostgreSQL para usar esta regla en AlloyDB y Postgres. |
Se ha detectado un intento de inicio de sesión fallido en tu instancia de base de datos desde una dirección IP anonimizadora conocida. Esto podría indicar que un atacante está intentando acceder a tu instancia sin autorización. Las detecciones se clasifican como de gravedad media de forma predeterminada. |
Módulos personalizados para Event Threat Detection
Además de las reglas de detección integradas, Event Threat Detection proporciona plantillas de módulos que puedes usar para crear reglas de detección personalizadas. Para obtener más información, consulta Descripción general de los módulos personalizados de Event Threat Detection.
Para crear reglas de detección para las que no haya plantillas de módulos personalizados disponibles, puede exportar sus datos de registro a BigQuery y, a continuación, ejecutar consultas de SQL únicas o periódicas que capturen sus modelos de amenazas.
Cambios no seguros en Grupos de Google
En esta sección se explica cómo usa Event Threat Detection los registros de Google Workspace, los registros de auditoría de Cloud y las políticas de IAM para detectar cambios no seguros en Grupos de Google. La detección de cambios en Grupos de Google solo se admite cuando activas Security Command Center a nivel de organización.
Los clientes deGoogle Cloud pueden usar Grupos de Google para gestionar los roles y los permisos de los miembros de sus organizaciones, o bien aplicar políticas de acceso a colecciones de usuarios. En lugar de asignar roles directamente a los miembros, los administradores pueden asignar roles y permisos a grupos de Google y, a continuación, añadir miembros a grupos específicos. Los miembros de un grupo heredan todos los roles y permisos del grupo, lo que les permite acceder a recursos y servicios específicos.
Aunque los grupos de Google son una forma cómoda de gestionar el control de acceso a gran escala, pueden suponer un riesgo si se añade a usuarios externos ajenos a tu organización o dominio a grupos privilegiados, es decir, grupos a los que se les han concedido roles o permisos sensibles. Los roles sensibles controlan el acceso a la configuración de seguridad y de red, los registros y la información personal identificable (IPI), por lo que no se recomiendan para los miembros de grupos externos.
En las organizaciones grandes, es posible que los administradores no sepan cuándo se añaden miembros externos a grupos con privilegios. Cloud Audit Logs registra las concesiones de roles a grupos, pero esos eventos de registro no contienen información sobre los miembros de los grupos, lo que puede ocultar el impacto potencial de algunos cambios en los grupos.
Si compartes tus registros de Google Workspace con Google Cloud, Detección de amenazas de eventos monitoriza tus flujos de registro para detectar nuevos miembros añadidos a los grupos de Google de tu organización. Como los registros están en el nivel de organización, Event Threat Detection solo puede analizar los registros de Google Workspace cuando activas Security Command Center en el nivel de organización. Event Threat Detection no puede analizar estos registros cuando activas Security Command Center a nivel de proyecto.
Event Threat Detection identifica a los miembros externos de los grupos y, mediante los registros de auditoría de Cloud, revisa los roles de gestión de identidades y accesos de cada grupo afectado para comprobar si se han concedido roles sensibles a los grupos. Esta información se usa para detectar los siguientes cambios no seguros en grupos de Google con privilegios:
- Miembros de grupos externos añadidos a grupos con privilegios
- Roles o permisos sensibles concedidos a grupos con miembros externos
- Grupos con privilegios que se cambian para permitir que cualquier persona del público en general se una
Event Threat Detection escribe los resultados en Security Command Center. Los resultados contienen las direcciones de correo de los miembros externos recién añadidos, los miembros de grupos internos que inician eventos, los nombres de los grupos y los roles sensibles asociados a los grupos. Puedes usar la información para quitar miembros externos de grupos o revocar roles sensibles concedidos a grupos.
Para obtener más información sobre las detecciones de amenazas de Event Threat Detection, consulta el artículo Reglas de Event Threat Detection.
Roles y permisos de gestión de identidades y accesos sensibles
En esta sección se explica cómo define Event Threat Detection los roles de gestión de identidades y accesos sensibles. Las detecciones como la concesión anómala de gestión de identidades y accesos y los cambios no seguros en grupos de Google solo generan resultados si los cambios implican roles de sensibilidad alta o media. La sensibilidad de los roles influye en la calificación de gravedad asignada a los resultados.
- Los roles de alta sensibilidad controlan servicios críticos de las organizaciones, como la facturación, la configuración del cortafuegos y el registro. Los resultados que coincidan con estos roles se clasificarán como de gravedad alta.
- Los roles de sensibilidad media tienen permisos de edición que permiten a las entidades hacer cambios en los recursos, así como permisos de visualización y ejecución en servicios de almacenamiento de datos que suelen contener datos sensibles. Google Cloud La gravedad asignada a los hallazgos depende del recurso:
- Si se conceden roles de sensibilidad media a nivel de organización, las detecciones se clasifican como de gravedad alta.
- Si se conceden roles de sensibilidad media en niveles inferiores de tu jerarquía de recursos (carpetas, proyectos y segmentos, entre otros), las detecciones se clasifican como de gravedad media.
Conceder estos roles sensibles se considera peligroso si el beneficiario es un miembro externo o una identidad anómala, como una cuenta principal que ha estado inactiva durante mucho tiempo.
Conceder roles sensibles a miembros externos supone una amenaza potencial, ya que se pueden usar de forma inadecuada para poner en peligro la cuenta y filtrar datos.
Entre las categorías que usan estos roles sensibles se incluyen las siguientes:
- Persistencia: concesión anómala de gestión de identidades y accesos
- Subregla:
external_service_account_added_to_policy - Subregla:
external_member_added_to_policy
- Subregla:
- Escalada de privilegios: se ha concedido un rol sensible a un grupo híbrido
- Elevación de privilegios: se ha concedido un rol sensible a una cuenta de servicio inactiva
Para encontrar categorías que usen un subconjunto de los roles sensibles, sigue estos pasos:
- Persistencia: concesión anómala de gestión de identidades y accesos
- Subregla:
service_account_granted_sensitive_role_to_member
- Subregla:
La subregla service_account_granted_sensitive_role_to_member se dirige a miembros externos e internos en general y, por lo tanto, solo usa un subconjunto de roles sensibles, tal como se explica en el artículo Reglas de detección de amenazas de eventos.
| Categoría | Rol | Descripción |
|---|---|---|
| Roles básicos: contienen miles de permisos en todos los servicios de Google Cloud . | roles/owner |
Roles básicos |
roles/editor |
||
| Roles de seguridad: controlan el acceso a la configuración de seguridad. | roles/cloudkms.* |
Todos Roles de Cloud Key Management Service |
roles/cloudsecurityscanner.* |
Todos Roles de Web Security Scanner | |
roles/dlp.* |
Todos los roles de Protección de Datos Sensibles | |
roles/iam.* |
Todos Roles de gestión de identidades y accesos | |
roles/secretmanager.* |
Todos Roles de Secret Manager | |
roles/securitycenter.* |
Todos los roles de Security Command Center | |
| Roles de registro: controlan el acceso a los registros de una organización. | roles/errorreporting.* |
Todos los roles de Error Reporting |
roles/logging.* |
Todos los roles de Cloud Logging | |
roles/stackdriver.* |
Todos los roles de Cloud Monitoring | |
| Roles de información personal: controla el acceso a recursos que contengan información personal identificable, como datos bancarios y de contacto. | roles/billing.* |
Todos Roles de facturación de Cloud |
roles/healthcare.* |
Todos Roles de la API de Cloud Healthcare | |
roles/essentialcontacts.* |
Todos los roles de contactos esenciales | |
| Roles de redes: controlan el acceso a la configuración de la red de una organización. | roles/dns.* |
Todos los roles de Cloud DNS |
roles/domains.* |
Todos los roles de Cloud Domains | |
roles/networkconnectivity.* |
Todos Roles de Network Connectivity Center | |
roles/networkmanagement.* |
Todos Roles de Network Connectivity Center | |
roles/privateca.* |
Todos Roles de Servicio de Autoridades de Certificación | |
| Roles de servicio: controlan el acceso a los recursos de servicio en Google Cloud | roles/cloudasset.* |
Todos Roles de Inventario de Recursos de Cloud |
roles/servicedirectory.* |
Todos Roles del directorio de servicios | |
roles/servicemanagement.* |
Todos Roles de gestión de servicios | |
roles/servicenetworking.* |
Todos Roles de redes de servicios | |
roles/serviceusage.* |
Todos Roles de uso del servicio | |
| Roles de Compute Engine: controlan el acceso a las máquinas virtuales de Compute Engine, que ejecutan tareas de larga duración y están asociadas a reglas de firewall. |
|
Todos los roles Administrador y Editor de Compute Engine |
| Categoría | Rol | Descripción |
|---|---|---|
| Editar roles: roles de gestión de identidades y accesos que incluyen permisos para hacer cambios en los recursos de Google Cloud |
Ejemplos:
|
Los nombres de los roles suelen terminar con títulos como Administrador, Propietario, Editor o Redactor. Despliega el nodo de la última fila de la tabla para ver Todos los roles de sensibilidad media |
| Roles de almacenamiento de datos: roles de gestión de identidades y accesos que incluyen permisos para ver y ejecutar servicios de almacenamiento de datos. |
Ejemplos:
|
Despliega el nodo de la última fila de la tabla para ver Todos los roles de sensibilidad media |
|
Todos los roles de sensibilidad media
Administrador de contextos de acceso
Servicio gestionado para Microsoft Active Directory
Monitorización de la configuración de las operaciones
Servicio de política de organización
Servicio de transferencia de Storage
Cuadernos gestionados por el usuario de Vertex AI Workbench
|
||
Tipos de registro y requisitos de activación
En esta sección se enumeran los registros que usa Event Threat Detection, junto con las amenazas que busca en cada registro y lo que debe hacer para activar cada registro.
Solo tienes que activar un registro para Event Threat Detection si se cumplen todas las condiciones siguientes:
- Estás usando el producto o servicio que escribe en el registro.
- Debes proteger el producto o servicio frente a las amenazas que Event Threat Detection detecta en el registro.
- El registro es un registro de auditoría de acceso a datos u otro registro que está desactivado de forma predeterminada.
Algunas amenazas se pueden detectar en varios registros. Si Event Threat Detection puede detectar una amenaza en un registro que ya está activado, no es necesario que actives otro registro para detectar la misma amenaza.
Si un registro no aparece en esta sección, Event Threat Detection no lo analiza, aunque esté activado. Para obtener más información, consulta Análisis de registros potencialmente redundantes.
Como se describe en la siguiente tabla, algunos tipos de registros solo están disponibles a nivel de organización. Si activas Security Command Center a nivel de proyecto, Event Threat Detection no analiza estos registros ni genera ningún resultado.
Fuentes de registro básicas
Event Threat Detection usa fuentes de datos fundamentales para detectar actividades potencialmente maliciosas en tu red.
Si habilitas Event Threat Detection sin VPC Flow Logs, Event Threat Detection empezará inmediatamente a analizar un flujo independiente, duplicado e interno de VPC Flow Logs. Para investigar más a fondo un resultado de Event Threat Detection, debe habilitar los registros de flujo de VPC y desplazarse manualmente a Explorador de registros y Analizador de flujo. Si habilitas los registros de flujo de VPC más adelante, solo las detecciones futuras contendrán los enlaces pertinentes para investigar más a fondo.
Si habilitas Event Threat Detection con los registros de flujo de VPC, Event Threat Detection empezará inmediatamente a analizar los registros de flujo de VPC de tu implementación y te proporcionará enlaces al Explorador de registros y a Flow Analyzer para ayudarte a investigar más a fondo.
Registros de detección de malware en la red
Event Threat Detection puede detectar malware en la red analizando cualquiera de los siguientes registros:
- Registro de Cloud DNS
- Almacenamiento de registros de Cloud NAT
- Almacenamiento de registros de reglas de cortafuegos
- Registros de flujo de VPC
No es necesario habilitar más de uno de los registros de Cloud NAT, los registros de reglas de cortafuegos o los registros de flujo de VPC.
Si ya usas el registro de Cloud DNS, Event Threat Detection puede detectar malware mediante la resolución de dominios. Para la mayoría de los usuarios, los registros de Cloud DNS son suficientes para detectar malware en la red.
Si necesitas otro nivel de visibilidad más allá de la resolución de dominios, puedes activar los registros de flujo de VPC, pero estos pueden generar costes. Para gestionar estos costes, te recomendamos que aumentes el intervalo de agregación a 15 minutos y que reduzcas la frecuencia de muestreo a entre el 5 y el 10 %. Sin embargo, hay un equilibrio entre la recuperación (muestreo más alto) y la gestión de costes (frecuencia de muestreo más baja). Para obtener más información, consulta Muestreo y procesamiento de registros.
Si ya usas los registros de reglas de cortafuegos o los registros de Cloud NAT, estos registros son útiles en lugar de los registros de flujo de VPC.
Datos de registro y amenazas detectadas admitidos
En esta sección se enumeran los registros de Cloud Logging y Google Workspace que puedes activar o configurar para aumentar el número de amenazas que puede detectar Detección de amenazas de eventos.
Algunas amenazas, como las que suponen la suplantación o la delegación anómalas de una cuenta de servicio, se pueden encontrar en la mayoría de los registros de auditoría. Para estos tipos de amenazas, debes determinar qué registros necesitas activar en función de los productos y servicios que estés usando.
En la siguiente tabla se muestran los registros específicos que puede habilitar y el tipo de amenazas que se pueden detectar.
| Tipo de registro | Amenazas detectadas | Necesita configuración |
|---|---|---|
| Registro de Cloud DNS |
|
Activar el registro de Cloud DNS
Consulta también Registros de detección de malware en la red. |
| Registro de Cloud NAT |
|
Activar el registro de Cloud NAT
Consulta también Registros de detección de malware en la red. |
| Almacenamiento de registros de reglas de cortafuegos |
|
Activar el almacenamiento de registros de reglas de cortafuegos
Consulta también Registros de detección de malware en la red. |
| Registros de auditoría de acceso a datos de Google Kubernetes Engine (GKE) |
|
Activar los registros de auditoría de acceso a datos de Logging en GKE |
| Registros de auditoría de administrador de Google Workspace |
|
Compartir registros de auditoría de administrador de Google Workspace con Cloud Logging Este tipo de registro no se puede analizar en activaciones a nivel de proyecto. |
| Registros de auditoría de inicio de sesión de Google Workspace |
|
Compartir registros de auditoría de inicio de sesión de Google Workspace con Cloud Logging Este tipo de registro no se puede analizar en activaciones a nivel de proyecto. |
| Registros del servicio de backend del balanceador de carga de aplicación externo | Initial Access: Log4j Compromise Attempt |
Activar el registro del balanceador de carga de aplicación externo |
| Registros de auditoría de acceso a datos de Cloud SQL MySQL |
|
Activar los registros de auditoría de acceso a datos de Logging en Cloud SQL para MySQL |
| Registros de auditoría de acceso a datos de Cloud SQL PostgreSQL |
|
|
| Registros de auditoría de acceso a datos de AlloyDB para PostgreSQL |
|
|
| Registros de auditoría de acceso a datos de gestión de identidades y accesos |
Discovery: Service Account Self-Investigation
|
Activar los registros de auditoría de acceso a datos de Logging en Resource Manager |
| Registros de auditoría de acceso a datos de SQL Server | Exfiltration: Cloud SQL Data Exfiltration |
Activar los registros de auditoría de acceso a datos de registro de Cloud SQL para SQL Server |
| Registros de auditoría de acceso a datos genéricos |
|
Activa los registros de auditoría de acceso a datos. |
| authlogs/authlog en máquinas virtuales | Brute force SSH |
Instala el agente de operaciones o el agente de Logging antiguo en tus hosts de máquinas virtuales. |
| Registros de flujo de VPC |
|
Activar registros de flujo de VPC
Consulta también Registros de detección de malware en la red. |
Registros que están siempre activados
En la siguiente tabla se enumeran los registros de Cloud Logging que no es necesario activar ni configurar. Estos registros están siempre activados y Event Threat Detection los analiza automáticamente.
| Tipo de registro | Amenazas detectadas | Necesita configuración |
|---|---|---|
| Registros de acceso a datos de BigQueryAuditMetadata |
Filtración externa: filtración externa de datos de BigQuery Exfiltración: extracción de datos de BigQuery Exfiltración: datos de BigQuery a Google Drive Exfiltración: mover a un recurso público de BigQuery (vista previa) |
Ninguno |
| Registros de auditoría de la actividad del administrador de Google Kubernetes Engine (GKE) |
Acceso a credenciales: no se ha podido aprobar la solicitud de firma de certificado de Kubernetes Acceso a credenciales: solicitud de firma de certificado de Kubernetes aprobada manualmente (CSR) (vista previa) Evasión de defensas: sesiones anónimas con acceso de administrador de clúster concedido Evasión de defensas: solicitud de firma de certificado (CSR) eliminada manualmente Evasión de defensas: posible suplantación de identidad de pods de Kubernetes Evasión de defensas: se ha creado un pod estático Ejecución: lanzamiento de contenedor con demasiadas funciones en GKE (Vista previa) Ejecución: se ha creado un pod de Kubernetes con argumentos de shell inverso potencial Arguments Ejecución: ejecución sospechosa o conexión a un pod del sistema (vista previa) Ejecución: carga de trabajo activada en un espacio de nombres sensible Impacto: se ha detectado una modificación de kube-dns de GKE (vista previa) Impacto: nombres de contenedores de Kubernetes sospechosos (minería de criptomonedas) Acceso inicial: recurso de GKE anónimo creado desde Internet (Vista previa) Acceso inicial: se ha creado un servicio NodePort de GKE Acceso inicial: recurso de GKE modificado de forma anónima desde Internet (vista previa) Acceso inicial: llamada a la API realizada correctamente desde una IP de proxy de TOR Persistencia: se ha detectado la configuración de webhook de GKE Persistencia: cuenta de servicio creada en un espacio de nombres sensible Apropiación de privilegios: cambios en objetos sensibles de RBAC de Kubernetes Apropiación de privilegios: ClusterRole con verbos privilegiados (Vista previa) Apropiación de privilegios: ClusterRoleBinding a rol con privilegios Escalada de privilegios: crear CSR de Kubernetes para el certificado de la instancia maestra Apropiación de privilegios: creación de enlaces de Kubernetes sensibles Escalada de privilegios: se concede acceso a clústeres de GKE a usuarios anónimos Apropiación de privilegios: lanzamiento de un contenedor de Kubernetes con privilegios Escalada de privilegios: nombres de contenedores de Kubernetes sospechosos - Explotación y escape (vista previa) Escalada de privilegios: carga de trabajo creada con una ruta de host sensible (vista previa) Apropiación de privilegios: carga de trabajo con shareProcessNamespace habilitado (vista previa) |
Ninguno |
| Registros de auditoría de la actividad del administrador de IAM |
Persistencia: concesiones anómalas de gestión de identidades y accesos (vista previa) Persistencia: se ha concedido un rol sensible a una cuenta no gestionada Aumento de privilegios: cuenta de servicio predeterminada de Compute Engine SetIamPolicy Elevación de privilegios: se ha concedido un rol sensible a una cuenta de servicio inactiva Escalada de privilegios: rol de suplantación concedido a una cuenta de servicio inactiva Escalada de privilegios: se ha concedido un rol sensible a un grupo híbrido |
Ninguno |
| Registros de actividad del administrador de MySQL | Exfiltración: restauración de copias de seguridad de Cloud SQL en una organización externa | Ninguno |
| Registros de actividad del administrador de PostgreSQL | Exfiltración: restauración de copias de seguridad de Cloud SQL en una organización externa | Ninguno |
| Registros de actividad del administrador de SQL Server | Exfiltración: restauración de copias de seguridad de Cloud SQL en una organización externa | Ninguno |
| Registros de auditoría de la actividad genérica del administrador |
Evasión de defensas: se ha modificado el filtrado de IP de un segmento de GCS Evasión de defensa: bloque de política HTTP del proyecto inhabilitado Acceso inicial: acción en la cuenta de servicio inactiva Acceso inicial: actividad de cuenta de servicio inactiva en el servicio de IA Acceso inicial: se ha creado una clave de cuenta de servicio inactiva Acceso inicial: acciones de denegación de permisos excesivas Acceso inicial: se ha usado una clave de cuenta de servicio filtrada Movimiento lateral: disco de arranque modificado adjunto a una instancia (vista previa) Persistencia: administrador de GCE ha añadido una clave SSH Persistencia: se ha añadido una secuencia de comandos de inicio de administrador de GCE Persistencia: nuevo método de la API de IA Persistencia: nuevo método de API Persistencia: nueva geografía Persistencia: nueva geografía para el servicio de IA Persistencia: nuevo user-agent Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity Escalada de privilegios: suplantación anómala de cuenta de servicio para actividad de administrador de IA Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para actividad de administrador Escalada de privilegios: delegación anómala de cuenta de servicio de varios pasos para actividad de administrador de IA Elevación de privilegios: cuenta de servicio anómala que suplanta la identidad de un administrador Escalada de privilegios: cuenta de servicio anómala que suplanta la identidad de un administrador de IA |
Ninguno |
| Registros de auditoría de Controles de Servicio de VPC | Evasión de defensas: modificar Controles de Servicio de VPC (versión preliminar) | Ninguno |
| Registros de auditoría de la actividad del administrador de Backup y DR |
Impacto: Google Cloud Backup y DR caducan todas las imágenes Impacto: se ha eliminado la copia de seguridad de Backup y DR de Google Cloud Impacto: se ha eliminado el host de copia de seguridad y recuperación tras fallos de Google Cloud Impacto: se ha eliminado la asociación del plan de copia de seguridad y recuperación tras fallos de Google Cloud Impacto: se ha eliminado el Vault de copia de seguridad y recuperación tras fallos de Google Cloud Impacto: política de eliminación de Backup y DR de Google Cloud Impacto: eliminación de perfil de Backup y DR de Google Cloud Impacto: plantilla de eliminación de Backup y DR de Google Cloud Impacto: la imagen de copia de seguridad y recuperación tras fallos de Google Cloud caduca Impacto: Google Cloud Backup y DR reducen la caducidad de las copias de seguridad Impacto: Google Cloud Backup y DR reducen la frecuencia de las copias de seguridad Impacto: Google Cloud Backup and DR remove appliance Impacto: retirada del plan de copia de seguridad y recuperación tras fallos de Google Cloud Inhibir la recuperación del sistema: Google Cloud Backup and DR elimina el grupo de almacenamiento |
Ninguno |
| Registros de auditoría de eventos del sistema de gestión de identidades y accesos |
Ejecución: imagen de Docker de minería de criptomonedas Impacto: comandos de minería de criptomonedas |
Ninguno |
Siguientes pasos
- Consulta información sobre cómo usar Event Threat Detection.
- Consulta cómo investigar y desarrollar planes de respuesta ante amenazas.