Investigar y responder a amenazas

En este documento se proporciona información general sobre cómo trabajar con las detecciones de amenazas en Security Command Center.

Antes de empezar

Necesita los roles de Gestión de Identidades y Accesos (IAM) adecuados para ver o editar las detecciones y los registros, así como para modificar los recursos Google Cloud . Si tienes problemas de acceso en Security Command Center, pide ayuda a tu administrador y consulta el artículo Control de acceso para obtener información sobre los roles. Para resolver los errores de recursos, consulta la documentación de los productos afectados.

Información sobre las amenazas

Security Command Center tiene servicios de detección integrados que usan diferentes técnicas para detectar amenazas en tu entorno de nube.

• Event Threat Detection genera resultados de seguridad al comparar los eventos de tus flujos de registros de Cloud Logging con indicadores de riesgo conocidos. Los IoCs, desarrollados por fuentes de seguridad internas de Google, identifican posibles vulnerabilidades y ataques. Event Threat Detection también detecta amenazas identificando tácticas, técnicas y procedimientos adversarios conocidos en tu flujo de registro, así como detectando desviaciones del comportamiento anterior de tu organización o proyecto. Si activas el nivel Premium de Security Command Center en la organización, Event Threat Detection también puede analizar tus registros de Google Workspace.

• Container Threat Detection genera resultados recogiendo y analizando el comportamiento observado de bajo nivel en el kernel invitado de los contenedores.

• Virtual Machine Threat Detection analiza los proyectos y las instancias de máquina virtual (VM) de Compute Engine para detectar aplicaciones potencialmente maliciosas que se ejecutan en las VMs, como software de minería de criptomonedas y rootkits en modo kernel.

• Cloud Run Threat Detection monitoriza el estado de los recursos de Cloud Run compatibles para detectar los ataques en tiempo de ejecución más habituales.

• El servicio de acciones sensibles detecta cuándo se realizan acciones en tu Google Cloud organización, carpetas y proyectos Google Cloud que pueden dañar tu empresa si las lleva a cabo un agente malintencionado.

• Detección de anomalías usa señales de comportamiento procedentes de fuera del sistema para detectar anomalías de seguridad en tus cuentas de servicio, como credenciales potencialmente filtradas.

Estos servicios de detección generan resultados en Security Command Center. También puedes configurar exportaciones continuas a Cloud Logging.

Revisar las recomendaciones de investigación y respuesta

Security Command Center ofrece orientación informal para ayudarte a investigar los resultados de actividades sospechosas en tu entorno Google Cloud de agentes potencialmente maliciosos. Si sigues las directrices, podrás saber qué ha ocurrido durante un posible ataque y desarrollar posibles respuestas para los recursos afectados.

No se garantiza que las técnicas que proporciona Security Command Center sean eficaces contra las amenazas anteriores, actuales o futuras a las que te enfrentes. Para obtener información sobre por qué Security Command Center no proporciona directrices oficiales de corrección de amenazas, consulta el artículo Corregir amenazas.

• Para ver las recomendaciones de investigación y respuesta de un resultado, localízalo en el índice de resultados de amenazas.

• Para ver recomendaciones de respuestas de alto nivel, consulte lo siguiente:

  • Responder a las detecciones de amenazas de Cloud Run
  • Responder a las detecciones de amenazas de Compute Engine
  • Responder a las detecciones de amenazas de Google Workspace
  • Responder a las detecciones de amenazas de red

Revisar un resultado

Para revisar una detección de amenazas en la Google Cloud consola, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

   Ir a Resultados

2. Si es necesario, selecciona tu Google Cloud proyecto, carpeta u organización.

3. En la sección Filtros rápidos, haga clic en el filtro adecuado para que se muestre el resultado que necesita en la tabla Resultados de la consulta de detecciones. Por ejemplo, si selecciona Event Threat Detection o Container Threat Detection en la subsección Nombre visible de la fuente, solo aparecerán en los resultados los hallazgos del servicio seleccionado.

   La tabla se rellena con los resultados de la fuente que has seleccionado.

4. Para ver los detalles de un resultado específico, haga clic en su nombre en Category. El panel de detalles del resultado se amplía para mostrar un resumen de los detalles del resultado.

5. Para ver la definición JSON de la detección, haz clic en la pestaña JSON.

Los resultados proporcionan los nombres y los identificadores numéricos de los recursos implicados en un incidente, junto con las variables de entorno y las propiedades de los recursos. Puedes usar esa información para aislar rápidamente los recursos afectados y determinar el alcance potencial de un evento.

Para ayudarte en tu investigación, los resultados de amenazas también contienen enlaces a los siguientes recursos externos:

• Entradas del framework MITRE ATT&CK. El marco explica las técnicas de ataque contra recursos en la nube y ofrece directrices de corrección.

• VirusTotal, un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos. Si está disponible, el campo Indicador de VirusTotal proporciona un enlace a VirusTotal para ayudarte a investigar más a fondo posibles problemas de seguridad.

  VirusTotal es una oferta con precios independientes y límites de uso y funciones diferentes. Es tu responsabilidad conocer y cumplir las políticas de uso de la API de VirusTotal y los costes asociados. Para obtener más información, consulta la documentación de VirusTotal.

En las siguientes secciones se describen las posibles respuestas a las detecciones de amenazas.

Desactivar un resultado de amenazas

Después de resolver un problema que ha activado un resultado de amenaza, Security Command Center no cambia automáticamente el estado del resultado a INACTIVE. El estado de una detección de amenazas sigue siendo ACTIVE a menos que asignes manualmente el valor INACTIVE a la propiedad state.

Si se trata de un falso positivo, deja el estado del hallazgo como ACTIVE y siléncialo.

Si se producen falsos positivos de forma persistente o recurrente, crea una regla de silencio. Si configura una regla de silencio, puede reducir el número de resultados que tiene que gestionar, lo que facilita la identificación de una amenaza real cuando se produce.

Si se trata de una amenaza real, antes de definir el estado de la detección como INACTIVE, elimina la amenaza y lleva a cabo una investigación exhaustiva de la amenaza detectada, el alcance de la intrusión y cualquier otra detección o problema relacionado.

Para silenciar un resultado o cambiar su estado, consulta los siguientes temas:

• Silenciar resultados
• Cambiar el estado de un resultado

Corregir las vulnerabilidades relacionadas

Para evitar que las amenazas vuelvan a producirse, revisa y corrige las vulnerabilidades y los errores de configuración relacionados.

Para encontrar resultados relacionados, siga estos pasos:

1. En la Google Cloud consola, ve a la página de Security Command Center Resultados.

   Ir a Resultados

2. Revisa el hallazgo de amenaza y copia el valor de un atributo que probablemente aparezca en cualquier hallazgo de vulnerabilidad o error de configuración relacionado, como la dirección de correo principal o el nombre del recurso afectado.

3. En la página Resultados, abre el Editor de consultas haciendo clic en Editar consulta.

4. Haz clic en Añadir filtro. Se abrirá el menú Seleccionar filtro.

5. En la lista de categorías de filtros situada en la parte izquierda del menú, seleccione la categoría que contenga el atributo que ha anotado en la detección de amenazas.

   Por ejemplo, si has anotado el nombre completo del recurso afectado, selecciona Recurso. Los tipos de atributos de la categoría Recurso se muestran en la columna de la derecha, incluido el atributo Nombre completo.

6. De los atributos que se muestran, seleccione el tipo de atributo que haya indicado en la detección de amenazas. A la derecha, se abre un panel de búsqueda de valores de atributos y se muestran todos los valores encontrados del tipo de atributo seleccionado.

7. En el campo Filter (Filtro), pega el valor del atributo que has copiado de la detección de amenazas. La lista de valores que se muestra se actualiza para mostrar solo los valores que coinciden con el valor pegado.

8. En la lista de valores que se muestra, seleccione uno o varios y haga clic en Aplicar. El panel Resultados de la consulta de hallazgos se actualiza para mostrar solo los hallazgos coincidentes.

9. Si hay muchos resultados, puedes filtrarlos seleccionando filtros adicionales en el panel Filtros rápidos.

   Por ejemplo, para mostrar solo los resultados de la clase Vulnerability y Misconfiguration que contengan los valores de atributo seleccionados, desplázate hacia abajo hasta la sección Clase de resultado del panel Filtros rápidos y selecciona Vulnerabilidad y Error de configuración.

Corregir amenazas

Corregir los resultados de amenazas no es tan sencillo como solucionar los errores de configuración y las vulnerabilidades identificados por Security Command Center.

Los errores de configuración y las infracciones del cumplimiento identifican los puntos débiles de los recursos que se podrían aprovechar. Por lo general, los errores de configuración tienen soluciones conocidas y fáciles de implementar, como habilitar un cortafuegos o rotar una clave de cifrado.

Las amenazas se diferencian de las vulnerabilidades en que son dinámicas e indican una posible explotación activa contra uno o varios recursos. Es posible que una recomendación de corrección no sea eficaz para proteger tus recursos porque no se conozcan los métodos exactos que se han usado para llevar a cabo la vulneración.

Por ejemplo, un resultado de Added Binary Executed indica que se ha iniciado un archivo binario no autorizado en un contenedor. Una recomendación de corrección básica podría sugerirte que pongas en cuarentena el contenedor y elimines el archivo binario, pero es posible que no se resuelva la causa raíz subyacente que permitió al atacante acceder para ejecutar el archivo binario. Debes averiguar cómo se ha dañado la imagen del contenedor para corregir la vulnerabilidad. Para determinar si el archivo se ha añadido a través de un puerto mal configurado o por otros medios, es necesario llevar a cabo una investigación exhaustiva. Es posible que un analista con conocimientos avanzados de tu sistema tenga que revisarlo para detectar puntos débiles.

Los agentes malintencionados atacan los recursos con diferentes técnicas, por lo que aplicar una corrección para una vulnerabilidad específica puede no ser eficaz contra las variaciones de ese ataque. Por ejemplo, en respuesta a un hallazgo de Brute Force: SSH, puedes reducir los niveles de permisos de algunas cuentas de usuario para limitar el acceso a los recursos. Sin embargo, las contraseñas débiles pueden seguir proporcionando una vía de ataque.

La amplitud de los vectores de ataque dificulta la tarea de proporcionar pasos de corrección que funcionen en todas las situaciones. El papel de Security Command Center en tu plan de seguridad en la nube es identificar los recursos afectados casi en tiempo real, informarte de las amenazas a las que te enfrentas y proporcionarte pruebas y contexto para ayudarte en tus investigaciones. Sin embargo, tu personal de seguridad debe usar la información detallada de los hallazgos de Security Command Center para determinar las mejores formas de corregir los problemas y proteger los recursos frente a futuros ataques.

Siguientes pasos

• Consulta el índice de hallazgos de amenazas.