Investigar las amenazas y responder ante ellas

En este documento, se proporciona información general sobre cómo trabajar con los hallazgos de amenazas en Security Command Center.

Antes de comenzar

Necesitas roles adecuados de Identity and Access Management (IAM) para ver o editar los resultados y los registros, y modificar los recursos de Google Cloud . Si encuentras errores de acceso en Security Command Center, solicita asistencia a tu administrador y consulta Control de acceso para obtener información sobre los roles. A fin de resolver errores de recursos, consulta la documentación de los productos afectados.

Comprende los resultados de las amenazas

Security Command Center tiene servicios de detección integrados que usan diferentes técnicas para detectar amenazas en tu entorno de nube.

• Event Threat Detection produce resultados de seguridad haciendo coincidir los eventos de tus transmisiones de registros de Cloud Logging con indicadores de compromiso (IoC) conocidos. Los IoC, desarrollados por las fuentes de seguridad internas de Google, identifican posibles vulnerabilidades y ataques. Event Threat Detection también detecta amenazas mediante la identificación de tácticas, técnicas y procedimientos adversos conocidos en la transmisión de registros, además de mediante la detección de desviaciones del comportamiento pasado de la organización o el proyecto. Si activas el nivel Premium de Security Command Center a nivel de la organización, Event Threat Detection también puede analizar tus registros de Google Workspace.

• Container Threat Detection genera hallazgos recopilando y analizando el comportamiento observado de bajo nivel en el kernel invitado de los contenedores.

• Virtual Machine Threat Detection analiza los proyectos de Compute Engine y las instancias de máquina virtual (VM) para detectar aplicaciones potencialmente maliciosas que se ejecutan en las VMs, como software de minería de criptomonedas y rootkits en modo kernel.

• La Detección de amenazas de Cloud Run supervisa el estado de los recursos compatibles de Cloud Run para detectar los ataques del entorno de ejecución más comunes.

• El Servicio de acciones sensibles detecta cuándo se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que pueden ser perjudiciales para tu empresa si las realiza un agente malicioso.

• La detección de anomalías usa señales de comportamiento externas a tu sistema para detectar anomalías de seguridad en tus cuentas de servicio, como posibles filtraciones de credenciales.

Estos servicios de detección generan resultados en Security Command Center. También puedes configurar exportaciones continuas a Cloud Logging.

Revisa las recomendaciones de investigación y respuesta

Security Command Center ofrece orientación informal para ayudarte a investigar los hallazgos de actividades sospechosas en tu entorno de Google Cloud de agentes potencialmente maliciosos. Seguir la guía puede ayudarte a comprender lo que sucedió durante un posible ataque y desarrollar respuestas posibles para los recursos afectados.

No se garantiza que las técnicas que proporciona Security Command Center sean efectivas contra cualquier amenaza anterior, actual o futura que te encuentres. Para obtener información sobre por qué Security Command Center no proporciona una guía oficial de solución de amenazas, consulta Soluciona amenazas.

• Para ver las recomendaciones de investigación y respuesta de un hallazgo, ubícalo en el Índice de hallazgos de amenazas.

• Para ver las recomendaciones de respuestas generales, consulta lo siguiente:

  • Cómo responder a las sugerencias de amenazas de Cloud Run
  • Cómo responder a las conclusiones sobre amenazas de Compute Engine
  • Cómo responder a los resultados de amenazas de Google Workspace
  • Cómo responder a los resultados de amenazas de red

Revisa un hallazgo

Para revisar un resultado de amenaza en la consola de Google Cloud , sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

   Ir a hallazgos

2. Si es necesario, selecciona tu Google Cloud proyecto, carpeta o organización.

3. En la sección Filtros rápidos, haz clic en un filtro adecuado para mostrar el resultado que necesitas en la tabla Resultados de la consulta de resultados. Por ejemplo, si seleccionas Event Threat Detection o Container Threat Detection en la subsección Source display name, solo aparecerán en los resultados los resultados del servicio seleccionado.

   La tabla se propaga con los hallazgos de la fuente que seleccionaste.

4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Category. El panel de detalles de resultados se expande para mostrar un resumen de los detalles del resultado.

5. Para ver la definición JSON del resultado, haz clic en la pestaña JSON.

Los hallazgos proporcionan los nombres y los identificadores numéricos de los recursos involucrados en un incidente, junto con las variables de entorno y las propiedades de los activos. Puedes usar esa información para aislar con rapidez los recursos afectados y determinar el alcance potencial de un evento.

Para ayudarte en la investigación, los hallazgos de las amenazas también contienen vínculos a los siguientes recursos externos:

• Entradas del framework de MITRE ATT&CK. En el framework, se explican las técnicas de los ataques a los recursos en la nube y se proporciona orientación para solucionarlos.

• VirusTotal, un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos. Si está disponible, el campo Indicador de VirusTotal proporciona un vínculo a VirusTotal para ayudarte a investigar más a fondo los posibles problemas de seguridad.

  VirusTotal es una oferta con precios independientes y límites de uso y funciones diferentes. Es tu responsabilidad comprender y cumplir con las políticas de uso de la API de VirusTotal y los costos asociados. Para obtener más información, consulta la documentación de VirusTotal.

En las siguientes secciones, se describen las respuestas posibles a los resultados de las amenazas.

Cómo desactivar un resultado de amenaza

Después de que resuelvas un problema que activó un resultado de amenaza, Security Command Center no establece automáticamente el estado del resultado en INACTIVE. El estado de un resultado de amenaza permanece como ACTIVE, a menos que establezcas manualmente la propiedad state en INACTIVE.

En el caso de un falso positivo, considera dejar el estado del hallazgo como ACTIVE y, en su lugar, silencia el hallazgo.

Para los falsos positivos persistentes o recurrentes, crea una regla de silenciamiento. Establecer una regla de silencio puede reducir la cantidad de hallazgos que debes administrar, lo que facilita la identificación de una amenaza real cuando se produce.

En el caso de una amenaza real, antes de establecer el estado del hallazgo en INACTIVE, elimina la amenaza y completa una investigación exhaustiva de la amenaza detectada, el alcance de la intrusión y cualquier otro hallazgo y problema relacionados.

Para silenciar un hallazgo o cambiar su estado, consulta los siguientes temas:

• Silenciar resultados
• Cómo cambiar el estado de un hallazgo

Corrige vulnerabilidades relacionadas

Para evitar que se repitan amenazas, revisa y corrige los hallazgos relacionados de vulnerabilidades y parámetros de configuración incorrectos.

Para encontrar los hallazgos relacionados, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

   Ir a hallazgos

2. Revisa el resultado de la amenaza y copia el valor de un atributo que probablemente aparezca en cualquier resultado de vulnerabilidad o configuración incorrecta relacionada, como la dirección de correo electrónico principal o el nombre del recurso afectado.

3. En la página Resultados, abre el Editor de consultas haciendo clic en Editar consulta.

4. Haga clic en Agregar filtro. Se abrirá el menú Seleccionar filtro.

5. En la lista de categorías de filtros que se encuentra en el lado izquierdo del menú, selecciona la categoría que contiene el atributo que anotaste en el hallazgo de amenazas.

   Por ejemplo, si anotaste el nombre completo del recurso afectado, selecciona Recurso. Los tipos de atributos de la categoría Resource se muestran en la columna de la derecha, incluido el atributo Full name.

6. De los atributos que se muestran, selecciona el tipo de atributo que observaste en el hallazgo de amenazas. A la derecha, se abre un panel de búsqueda de valores de atributos que muestra todos los valores encontrados del tipo de atributo seleccionado.

7. En el campo Filtro, pega el valor del atributo que copiaste del resultado de la amenaza. La lista de valores que se muestra se actualiza para mostrar solo los valores que coinciden con el valor pegado.

8. En la lista de valores que se muestra, selecciona uno o más valores y haz clic en Aplicar. El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos coincidentes.

9. Si hay muchos resultados, selecciona filtros adicionales en el panel Filtros rápidos para filtrarlos.

   Por ejemplo, para mostrar solo los hallazgos de las clases Vulnerability y Misconfiguration que contienen los valores de atributo seleccionados, desplázate hacia abajo hasta la sección Clase del hallazgo del panel Filtros rápidos y selecciona Vulnerabilidad y Configuración incorrecta.

Cómo solucionar las amenazas

Solucionar los hallazgos de amenazas no es tan fácil como corregir errores de configuración y vulnerabilidades que identifica Security Command Center.

Los errores de configuración y las infracciones de cumplimiento identifican debilidades en los recursos que podrían aprovecharse. Por lo general, los errores de configuración tienen correcciones conocidas y fáciles de implementar, como habilitar un firewall o rotar una clave de encriptación.

Las amenazas se diferencian de las vulnerabilidades porque son dinámicas y señalan un posible ataque activo a uno o más recursos. Es posible que una recomendación de solución no sea efectiva para proteger tus recursos porque es posible que no se conozcan los métodos exactos usados para lograr la vulnerabilidad.

Por ejemplo, un resultado de Added Binary Executed indica que se inició un objeto binario no autorizado en un contenedor. Una recomendación básica de solución podría recomendarte poner en cuarentena el contenedor y borrar el objeto binario, pero eso podría no resolver la causa raíz subyacente que permitió que el atacante acceda a ejecutar el objeto binario. Debes averiguar cómo se dañó la imagen del contenedor para corregir la vulnerabilidad. Para determinar si el archivo se agregó a través de un puerto mal configurado o mediante otros medios, se requiere una investigación exhaustiva. Es posible que un analista con conocimiento de nivel experto sobre tu sistema deba revisarlo para detectar debilidades.

Las personas que actúan de mala fe atacan recursos mediante técnicas diferentes, por lo que aplicar una solución para un ataque específico podría no ser eficaz en comparación con las variaciones de ese ataque. Por ejemplo, en respuesta a un resultado de Brute Force: SSH, puedes reducir los niveles de permiso para algunas cuentas de usuario a fin de limitar el acceso a los recursos. Sin embargo, las contraseñas poco seguras aún pueden proporcionar una ruta de acceso de ataque.

La variedad de vectores de ataque dificulta la tarea de proporcionar pasos de solución que funcionen en todas las situaciones. La función de Security Command Center en tu plan de seguridad en la nube sirve para identificar los recursos afectados casi en tiempo real, informarte a qué amenazas te enfrentas, y proporcionar evidencia y contexto para ayudarte con las investigaciones. Sin embargo, el personal de seguridad debe usar la información exhaustiva en los hallazgos de Security Command Center para determinar las mejores formas de solucionar problemas y proteger los recursos frente a ataques futuros.

¿Qué sigue?

• Consulta el Índice de resultados de amenazas.