Defense Evasion: Modifica el Control de servicios de VPC

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Este hallazgo no está disponible para las activaciones a nivel del proyecto.

Los registros de auditoría se examinan para detectar cambios en los perímetros de los Controles del servicio de VPC que generarían una reducción en la protección que ofrece ese perímetro. Estos son algunos ejemplos:

• Se quita un proyecto de un perímetro
• Se agrega una política de nivel de acceso a un perímetro existente.
• Se agregan uno o más servicios a la lista de servicios accesibles.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre el hallazgo de Defense Evasion: Modify VPC Service Control, como se indica en Revisa los hallazgos. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las siguientes secciones:

   • Qué se detectó, en especial el siguiente campo:
     • Correo electrónico principal: Es la cuenta que realizó la modificación.
   • Recurso afectado, en especial el siguiente campo:
     • Nombre completo del recurso: Es el nombre del perímetro de los Controles del servicio de VPC que se modificó.
   • Vínculos relacionados:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
     • Resultados relacionados: Vínculos a los resultados relacionados

3. Haz clic en la pestaña JSON.

4. En el JSON, ten en cuenta los siguientes campos.

   • sourceProperties
     • properties
       • name: el nombre del perímetro de los Controles del servicio de VPC que se modificó
       • policyLink: Es el vínculo a la política de acceso que controla el perímetro.
       • delta: Son los cambios, ya sea REMOVE o ADD, en un perímetro que redujo su protección
       • restricted_resources: Son los proyectos que siguen las restricciones de este perímetro. La protección se reduce si quitas un proyecto
       • restricted_services: Son los servicios cuya ejecución está prohibida según las restricciones de este perímetro. La protección se reduce si quitas un servicio restringido
       • allowed_services: Son los servicios que pueden ejecutarse según las restricciones de este perímetro. La protección se reduce si agregas un servicio permitido
       • access_levels: Son los niveles de acceso que están configurados para permitir el acceso a los recursos bajo el perímetro. La protección se reduce si agregas más niveles de acceso.

Paso 2: Comprueba los registros

1. En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.
2. Busca los registros de actividad del administrador relacionados con los cambios de los Controles del servicio de VPC con los siguientes filtros:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del framework de MITRE ATT&CK de este tipo de resultado: Defense Evasion: Modify Authentication Process.
2. Haz clic en el vínculo de Resultados relacionados en la fila Resultados relacionados de la pestaña Resumen de los detalles del resultado para revisar los resultados relacionados.
3. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario de la política y el perímetro de los Controles del servicio de VPC.
• Considera revertir los cambios del perímetro hasta que se complete la investigación.
• Considera revocar las funciones de Access Context Manager en la principal que modificó el perímetro hasta que se complete la investigación.
• Investiga cómo se usaron las protecciones reducidas. Por ejemplo, si la “API del Servicio de transferencia de datos de BigQuery” está habilitada o agregada como un servicio permitido, verifica quién comenzó a usar ese servicio y qué se transfiere.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.