Evasión de defensas: modificar Controles de Servicio de VPC

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Este hallazgo no está disponible para las activaciones a nivel de proyecto.

Se examinan los registros de auditoría para detectar cambios en los perímetros de Controles de Servicio de VPC que puedan reducir la protección que ofrece ese perímetro. A continuación, se muestran algunos ejemplos:

• Se quita un proyecto de un perímetro
• Se añade una política de nivel de acceso a un perímetro que ya existe.
• Se añaden uno o varios servicios a la lista de servicios accesibles.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre el resultado Defense Evasion: Modify VPC Service Control, tal como se indica en el artículo Revisar los resultados. Se abre el panel con los detalles del hallazgo y se muestra la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se ha detectado, especialmente el siguiente campo:
     • Correo principal: la cuenta que ha realizado la modificación.
   • Recurso afectado, especialmente el siguiente campo:
     • Nombre completo del recurso: el nombre del perímetro de Controles de Servicio de VPC que se ha modificado.
   • Enlaces relacionados:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.

3. Haz clic en la pestaña JSON.

4. En el JSON, anota los siguientes campos.

   • sourceProperties
     • properties
       • name: el nombre del perímetro de Controles de Servicio de VPC que se ha modificado
       • policyLink: el enlace a la política de acceso que controla el perímetro
       • delta: los cambios, ya sean REMOVE o ADD, en un perímetro que haya reducido su protección
       • restricted_resources: los proyectos que cumplen las restricciones de este perímetro. La protección se reduce si eliminas un proyecto
       • restricted_services: los servicios que no pueden ejecutarse debido a las restricciones de este perímetro. La protección se reduce si eliminas un servicio restringido
       • allowed_services: los servicios que pueden ejecutarse con las restricciones de este perímetro. La protección se reduce si añades un servicio permitido
       • access_levels: los niveles de acceso que se han configurado para permitir el acceso a los recursos del perímetro. La protección se reduce si añades más niveles de acceso

Paso 2: Consulta los registros

1. En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.
2. Para encontrar los registros de actividad de administrador relacionados con los cambios de Controles de Servicio de VPC, usa los siguientes filtros:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Paso 3: Investiga los métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Evasión de defensas: modificar el proceso de autenticación.
2. Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario de la política y el perímetro de Controles de Servicio de VPC.
• Te recomendamos que deshagas los cambios en el perímetro hasta que se complete la investigación.
• Considera la posibilidad de revocar los roles del Administrador de contextos de acceso del principal que ha modificado el perímetro hasta que se complete la investigación.
• Investiga cómo se han usado las protecciones reducidas. Por ejemplo, si la API "BigQuery Data Transfer Service" está habilitada o se ha añadido como servicio permitido, comprueba quién ha empezado a usar ese servicio y qué está transfiriendo.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.