Servicios de detección

En esta página, se incluye una lista de los servicios de detección, a veces también denominados fuentes de seguridad, que Security Command Center usa para detectar problemas de seguridad en tus entornos de nube.

Cuando estos servicios detectan un problema, generan un hallazgo, que es un registro que identifica el problema de seguridad y te proporciona la información que necesitas para priorizarlo y resolverlo.

Puedes ver los resultados en la consola de Google Cloud y filtrarlos de muchas maneras diferentes, como por tipo de resultado, tipo de recurso o por un activo específico. Cada fuente de seguridad podría proporcionar más filtros para ayudarte a organizar los hallazgos.

Las funciones de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar resultados, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Servicios de detección de vulnerabilidades

Los servicios de detección de vulnerabilidades incluyen servicios integrados que detectan vulnerabilidades de software, configuraciones incorrectas y violaciones de la postura en tus entornos de nube. En conjunto, estos tipos de problemas de seguridad se denominan vulnerabilidades.

Evaluación de vulnerabilidades de Artifact Registry

La evaluación de vulnerabilidades de Artifact Registry es un servicio de detección que te alerta sobre las vulnerabilidades en las imágenes de contenedor implementadas.

Este servicio de detección genera hallazgos de vulnerabilidades para las imágenes de contenedores en las siguientes condiciones:

  • La imagen de contenedor se almacena en Artifact Registry.

  • La imagen de contenedor se implementa en uno de los siguientes recursos:

    • Clúster de Google Kubernetes Engine
    • Servicio de Cloud Run
    • Trabajo de Cloud Run
    • App Engine

La evaluación de vulnerabilidades de Artifact Registry no generará resultados para las imágenes de contenedores que no cumplan con este criterio.

Después de que se generan los resultados de la evaluación de vulnerabilidades de Artifact Registry, permanecen disponibles para que los consultes hasta cinco semanas después del último análisis de imágenes de contenedor realizado. Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.

Habilita los hallazgos de la evaluación de vulnerabilidades de Artifact Registry

Para que la evaluación de vulnerabilidades de Artifact Registry genere resultados en Security Command Center para las imágenes de contenedor implementadas almacenadas en Artifact Registry, se debe habilitar la API de Container Scanning para tu proyecto.

Si no habilitaste la API de Container Scanning, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página de la API de Container Scanning.

    Ir a la API de Container Scanning

  2. Selecciona el proyecto para el que deseas habilitar la API de Container Scanning.

  3. Haz clic en Habilitar.

Security Command Center mostrará los resultados de las imágenes de contenedores vulnerables analizadas que se implementan de forma activa en los recursos de tiempo de ejecución aplicables. Sin embargo, el servicio de detección se comporta de manera diferente según cuándo habilitaste Security Command Center y cuándo habilitaste la API de Container Scanning.

Situación de habilitación Comportamiento del servicio de detección

Habilitaste Security Command Center después de habilitar la API de Container Scanning y de implementar una imagen de contenedor.

La evaluación de vulnerabilidades de Artifact Registry generará hallazgos para las vulnerabilidades existentes que se encontraron con análisis anteriores de Artifact Registry en un plazo de 24 horas después de la habilitación.

Habilitaste Security Command Center y, luego, implementaste una imagen de contenedor antes de habilitar la API de Container Scanning.

La evaluación de vulnerabilidades de Artifact Registry no generará automáticamente resultados de vulnerabilidades para las imágenes de contenedor que implementaste antes de habilitar la API hasta que se active un análisis nuevo. Para activar manualmente un análisis nuevo, vuelve a implementar la imagen del contenedor en el mismo recurso de tiempo de ejecución. La evaluación de vulnerabilidades de Artifact Registry generará resultados de inmediato si se detectan vulnerabilidades durante el análisis.

Habilitaste Security Command Center y la API de Container Scanning antes de implementar una imagen de contenedor.

La imagen de contenedor recién implementada se analiza de inmediato en Artifact Registry, y la evaluación de vulnerabilidades de Artifact Registry genera resultados si el análisis detecta alguna vulnerabilidad.

Inhabilita los resultados de la evaluación de vulnerabilidades de Artifact Registry

Para inhabilitar los resultados de la evaluación de vulnerabilidades de Artifact Registry, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Detalles de la API/servicio de la API de Container Scanning.

    Ir a Detalles del servicio o la API

  2. Selecciona el proyecto para el que deseas inhabilitar la API de Container Scanning.

  3. Haz clic en Inhabilitar API.

Security Command Center no mostrará resultados de las vulnerabilidades detectadas en futuros análisis de imágenes de contenedores. Security Command Center retiene los hallazgos existentes de la evaluación de vulnerabilidades de Artifact Registry durante al menos 35 días después del último análisis de la imagen del contenedor realizado. Para obtener más información sobre la retención de datos de Security Command Center, consulta Retención de datos.

También puedes inhabilitar la evaluación de vulnerabilidades de Artifact Registry si inhabilitas el ID de la fuente de Evaluación de vulnerabilidades en la configuración de Security Command Center. Sin embargo, no te recomendamos que lo hagas. Si inhabilitas el ID de la fuente de la Evaluación de vulnerabilidades, se inhabilitarán todos los servicios de detección clasificados en ese ID. Por lo tanto, recomendamos inhabilitar la API de Container Scanning con el procedimiento anterior.

Visualiza los resultados de la evaluación de vulnerabilidades de Artifact Registry en la consola

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización o proyecto.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Vulnerability Assessment. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Panel de postura de seguridad de GKE

El panel de postura de seguridad de Google Kubernetes Engine (GKE) es una página de la consola deGoogle Cloud que te proporciona hallazgos prácticos y revisados sobre posibles problemas de seguridad en tus clústeres de GKE. Incluye la siguiente información:

Panel del panel de postura de seguridad de GKE Clase de hallazgo de Security Command Center
Auditoría de la configuración de las cargas de trabajo1 MISCONFIGURATION
Amenazas principales2 THREAT
VULNERABILITY
  1. Solo está disponible si habilitas esta función en GKE.
  2. Disponible para los niveles de servicio Premium y Enterprise de Security Command Center

En los resultados, se muestra información sobre el problema de seguridad y se proporcionan recomendaciones para resolverlo en tus cargas de trabajo o clústeres.

Visualiza los resultados del panel de postura de seguridad de GKE en la consola

Estándar o Premium

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización o proyecto.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Postura de seguridad de GKE. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Enterprise

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a Hallazgos en el nivel Enterprise

  2. Selecciona tu Google Cloud organización.
  3. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  4. Selecciona GKE Security Posture. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  5. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  6. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  7. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Recomendador de IAM

El Recomendador de IAM genera recomendaciones que puedes seguir para mejorar la seguridad quitando o reemplazando roles de IAM de principales cuando los roles contienen permisos de IAM que la principal no necesita.

El Recomendador de IAM se habilita automáticamente cuando activas Security Command Center.

Habilita o inhabilita los resultados del recomendador de IAM

Para habilitar o inhabilitar los resultados de IAM Recommender en Security Command Center, sigue estos pasos:

  1. Ve a la pestaña Servicios integrados de la página Configuración de Security Command Center en la consola de Google Cloud :

    Ir a Servicios integrados

  2. Ve a la entrada del recomendador de IAM.

  3. A la derecha de la entrada, selecciona Habilitar o Inhabilitar.

Los resultados del recomendador de IAM se clasifican como vulnerabilidades.

Para solucionar un resultado del recomendador de IAM, expande la siguiente sección para ver una tabla de los resultados del recomendador de IAM. Los pasos para solucionar problemas de cada hallazgo se incluyen en la entrada de la tabla.

Consulta los resultados del recomendador de IAM en la consola

Selecciona la pestaña específica de tu nivel de servicio.

Estándar o Premium

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización o proyecto.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona IAM Recommender. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Enterprise

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a Hallazgos en el nivel Enterprise

  2. Selecciona tu Google Cloud organización.
  3. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  4. Selecciona Recomendador de IAM. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  5. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  6. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  7. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

En el nivel Premier, también puedes ver los resultados del recomendador de IAM en la página Vulnerabilidades. Para ello, selecciona el parámetro de configuración predeterminado de la consulta Recomendador de IAM.

Administración de la superficie de ataque de Mandiant

Mandiant es líder mundial en inteligencia de primera línea contra amenazas. La administración de la superficie de ataque de Mandiant identifica vulnerabilidades y errores de configuración en tus superficies de ataque externas para ayudarte a mantenerte al día sobre los ciberataques más recientes.

La administración de la superficie de ataque de Mandiant se habilita automáticamente cuando activas el nivel Security Command Center Enterprise y los resultados están disponibles en la consola de Google Cloud .

Para obtener información sobre cómo difiere el producto independiente de Mandiant Attack Surface Management de la integración de Mandiant Attack Surface Management en Security Command Center, consulta ASM y Security Command Center en el portal de documentación de Mandiant. Este vínculo requiere autenticación de Mandiant.

Revisa los resultados de la administración de la superficie de ataque de Mandiant en la consola

Estándar o Premium

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización o proyecto.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Mandiant Attack Surface Management. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Enterprise

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a Hallazgos en el nivel Enterprise

  2. Selecciona tu Google Cloud organización.
  3. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  4. Selecciona Mandiant Attack Surface Management. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  5. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  6. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  7. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Ni Security Command Center ni Mandiant Attack Surface Management marcan los hallazgos como resueltos. Una vez que resuelvas un problema, puedes marcarlo manualmente como resuelto. Si no se identifica en el siguiente análisis de Mandiant Attack Surface Management, permanecerá resuelto.

Model Armor

Model Armor es un servicio Google Cloud completamente administrado que mejora la seguridad de las aplicaciones de IA analizando las instrucciones y respuestas de los LLM.

Resultados de vulnerabilidades del servicio de Model Armor

Resultado Resumen

Nombre de categoría en la API: FLOOR_SETTINGS_VIOLATION

Descripción del hallazgo: Es un incumplimiento de la configuración de límites que se produce cuando una plantilla de Model Armor no cumple con los estándares mínimos de seguridad definidos por la configuración de límites de la jerarquía de recursos.

Nivel de precios: Premium

Corrige este hallazgo:

Este hallazgo requiere que actualices la plantilla de Model Armor para que cumpla con la configuración de límites definida en la jerarquía de recursos.

Notebook Security Scanner

Notebook Security Scanner es un servicio integrado de detección de vulnerabilidades de paquetes de Security Command Center. Una vez que se habilita Notebook Security Scanner, analiza automáticamente los notebooks de Colab Enterprise (archivos con la extensión de nombre de archivo ipynb) cada 24 horas para detectar vulnerabilidades en los paquetes de Python y publica estos resultados en la página Resultados de Security Command Center.

Puedes usar Notebook Security Scanner para los notebooks de Colab Enterprise que se crean en las siguientes regiones: us-central1, us-east4, us-west1 y europe-west4.

Para comenzar a usar Notebook Security Scanner, consulta Cómo habilitar y usar Notebook Security Scanner.

Policy Controller

Policy Controller permite la aplicación de políticas programables para tus clústeres de Kubernetes. Estas políticas actúan como protecciones y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de tus clústeres y tu flota.

Si instalas el controlador de políticas y habilitas cualquiera de los paquetes del controlador de políticas, el controlador de políticas escribirá automáticamente los incumplimientos del clúster en Security Command Center como resultados de la clase Misconfiguration. La descripción del hallazgo y los próximos pasos en los hallazgos de Security Command Center son los mismos que la descripción de la restricción y los pasos de corrección del paquete de Policy Controller correspondiente.

Los hallazgos de Policy Controller provienen de los siguientes paquetes de Policy Controller:

Para encontrar y solucionar los problemas del Controlador de políticas, consulta Cómo solucionar los problemas del Controlador de políticas.

Motor de riesgos

El motor de riesgos de Security Command Center evalúa la exposición al riesgo de tus implementaciones en la nube, asigna puntuaciones de exposición a ataques a los hallazgos de vulnerabilidades y a tus recursos de alto valor, y diagrama las rutas que podría tomar un atacante potencial para llegar a tus recursos de alto valor.

En los niveles Enterprise o Premium de Security Command Center, el motor de riesgos detecta grupos de problemas de seguridad que, cuando ocurren juntos en un patrón particular, crean una ruta a uno o más de tus recursos de alto valor que un atacante determinado podría usar para acceder a esos recursos y vulnerarlos.

Cuando el motor de riesgos detecta una de estas combinaciones, genera un hallazgo de clase TOXIC_COMBINATION. En el hallazgo, el motor de riesgos aparece como la fuente del hallazgo.

El motor de riesgos también identifica los recursos o grupos de recursos comunes en los que convergen varias rutas de ataque y, luego, genera un hallazgo de la clase CHOKEPOINT.

Para obtener más información, consulta la descripción general de las combinaciones tóxicas y los puntos críticos.

Security Health Analytics

Security Health Analytics es un servicio de detección integrado de Security Command Center que proporciona análisis administrados de tus recursos en la nube para detectar errores de configuración comunes.

Cuando se detecta una configuración incorrecta, Security Health Analytics genera un hallazgo. La mayoría de los resultados de las estadísticas del estado de seguridad se asignan a los controles de estándares de seguridad para que puedas evaluar el cumplimiento.

Security Health Analytics analiza tus recursos en Google Cloud. Si usas el nivel Enterprise y estableces conexiones con otras plataformas en la nube, las estadísticas del estado de seguridad también pueden analizar tus recursos en esas plataformas.

Según el nivel de servicio de Security Command Center que utilices, los detectores disponibles serán diferentes:

  • En el nivel Estándar, las Estadísticas del estado de la seguridad solo incluyen un grupo básico de detectores de vulnerabilidades de gravedad media y alta.
  • El nivel Premium incluye todos los detectores de vulnerabilidades para Google Cloud.
  • El nivel Enterprise incluye detectores adicionales para otras plataformas en la nube.

Security Health Analytics se habilita automáticamente cuando activas Security Command Center.

Para obtener más información, consulte:

Servicio de postura de seguridad

El servicio de postura de seguridad es un servicio integrado para el nivel Premium de Security Command Center que te permite definir, evaluar y supervisar el estado general de tu seguridad en Google Cloud. Proporciona información sobre cómo tu entorno se alinea con las políticas que defines en tu posición de seguridad.

El servicio de postura de seguridad no está relacionado con el panel de postura de seguridad de GKE, que solo muestra los hallazgos en los clústeres de GKE.

Protección de datos sensibles

Sensitive Data Protection es un servicio Google Cloud completamente administrado que te ayuda a descubrir, clasificar y proteger tus datos sensibles. Puedes usar Sensitive Data Protection para determinar si almacenas información sensible o de identificación personal (PII), como la siguiente:

  • Nombres de personas
  • Números de tarjetas de crédito
  • Números de ID nacionales o estatales
  • Números de ID de seguro médico
  • Secrets

En Sensitive Data Protection, cada tipo de dato sensible que buscas se denomina infoType.

Si configuras tu operación de protección de datos sensibles para que envíe los resultados a Security Command Center, podrás ver los hallazgos directamente en la sección de Security Command Center de la consola de Google Cloud , además de la sección de protección de datos sensibles.

Resultados de vulnerabilidades del servicio de descubrimiento de Sensitive Data Protection

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si almacenas datos altamente sensibles que no están protegidos.

Categoría Resumen

Nombre de categoría en la API:

PUBLIC_SENSITIVE_DATA

Descripción del hallazgo: El recurso especificado tiene datos de alta sensibilidad a los que puede acceder cualquier persona en Internet.

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3
  • Contenedor de Azure BLOB Storage

Corrección:

Para los datos de Google Cloud , quita allUsers y allAuthenticatedUsers de la política de IAM del activo de datos.

En el caso de los datos de Amazon S3, configura el bloqueo del acceso público o actualiza la LCA del objeto para denegar el acceso de lectura público. Para obtener más información, consulta Configura el bloqueo del acceso público para tus buckets de S3 y Configura LCA en la documentación de AWS.

En el caso de los datos de Azure Blob Storage, quita el acceso público al contenedor y a los blobs. Para obtener más información, consulta Información general: Corrección del acceso de lectura anónimo para los datos de blob en la documentación de Azure.

Estándares de cumplimiento: No se asignaron

Nombre de categoría en la API:

SECRETS_IN_ENVIRONMENT_VARIABLES

Descripción del hallazgo: Hay secretos, como contraseñas, tokens de autenticación y credenciales de Google Cloud , en las variables de entorno.

Para habilitar este detector, consulta Cómo informar secretos en variables de entorno a Security Command Center en la documentación de Protección de datos sensibles.

Recursos admitidos:

Corrección:

En el caso de las variables de entorno de Cloud Run Functions, quita el secreto de la variable de entorno y, en su lugar, almacénalo en Secret Manager.

En el caso de las variables de entorno de revisión del servicio de Cloud Run, quita todo el tráfico de la revisión y, luego, bórrala.

Estándares de cumplimiento:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Nombre de categoría en la API:

SECRETS_IN_STORAGE

Descripción del hallazgo: Hay secretos (como contraseñas, tokens de autenticación y credenciales de Cloud) en el recurso especificado.

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3
  • Contenedor de Azure BLOB Storage

Corrección:

  1. En el caso de los datos, usa Sensitive Data Protection para ejecutar un análisis de inspección detallada del recurso especificado y, así, identificar todos los recursos afectados. Google Cloud En el caso de los datos de Cloud SQL, expórtalos a un archivo CSV o AVRO en un bucket de Cloud Storage y ejecuta un análisis de inspección profunda del bucket.

    En el caso de los datos de otros proveedores de servicios en la nube, inspecciona manualmente el bucket o el contenedor especificados.

  2. Quita los secretos detectados.
  3. Considera restablecer las credenciales.
  4. Para los datos de Google Cloud , considera almacenar los secretos detectados en Secret Manager.

Estándares de cumplimiento: No se asignaron

Resultados de errores de configuración del servicio de descubrimiento de Sensitive Data Protection

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tienes configuraciones incorrectas que podrían exponer datos sensibles.

Categoría Resumen

Nombre de categoría en la API:

SENSITIVE_DATA_CMEK_DISABLED

Descripción del hallazgo: El recurso especificado tiene datos de alta o moderada sensibilidad y no usa una clave de encriptación administrada por el cliente (CMEK).

Recursos admitidos:

  • aiplatform.googleapis.com/Dataset
  • bigquery.googleapis.com/Dataset
  • bigquery.googleapis.com/Table
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Bucket de Amazon S3
  • Contenedor de Azure BLOB Storage

Corrección:

Estándares de cumplimiento: No se asignaron

Resultados de las observaciones de Sensitive Data Protection

En esta sección, se describen los hallazgos de observación que genera la Protección de datos sensibles en Security Command Center.

Resultados de la observación del servicio de descubrimiento

El servicio de descubrimiento de Sensitive Data Protection te ayuda a determinar si tus datos contienen infoTypes específicos y dónde residen en tu organización, carpetas y proyectos. Genera las siguientes categorías de hallazgos de observación en Security Command Center:

Data sensitivity
Es un indicador del nivel de sensibilidad de los datos en un recurso de datos en particular. Los datos son sensibles si contienen PII o algún otro elemento que podría requerir control o administración adicionales. La gravedad del hallazgo es el nivel de sensibilidad que calculó Sensitive Data Protection cuando generó el perfil de datos.
Data risk
Es el riesgo asociado con los datos en su estado actual. Cuando calcula el riesgo de los datos, la Protección de datos sensibles considera el nivel de sensibilidad de los datos en el activo de datos y la presencia de controles de acceso para proteger esos datos. La gravedad del hallazgo es el nivel de riesgo de datos que calculó Sensitive Data Protection cuando generó el perfil de datos.

Según el tamaño de tu organización, los resultados de la protección de datos sensibles pueden comenzar a aparecer en Security Command Center unos minutos después de que habilites el descubrimiento de datos sensibles. En el caso de las organizaciones más grandes o aquellas con configuraciones específicas que afectan la generación de hallazgos, pueden transcurrir hasta 12 horas antes de que aparezcan los hallazgos iniciales en Security Command Center.

Luego, la Protección de datos sensibles genera resultados en Security Command Center unos minutos después de que el servicio de descubrimiento analiza tus recursos.

Para obtener información sobre cómo enviar los resultados del perfil de datos a Security Command Center, consulta lo siguiente:

Hallazgos de observación del servicio de inspección de Sensitive Data Protection

Un trabajo de inspección de Sensitive Data Protection identifica cada instancia de datos de un Infotipo específico en un sistema de almacenamiento, como un bucket de Cloud Storage o una tabla de BigQuery. Por ejemplo, puedes ejecutar un trabajo de inspección que busque todas las cadenas que coincidan con el detector de Infotipo CREDIT_CARD_NUMBER en un bucket de Cloud Storage.

Para cada detector de Infotipo que tiene una o más coincidencias, Sensitive Data Protection genera un hallazgo correspondiente de Security Command Center. La categoría del hallazgo es el nombre del detector de Infotipo que tuvo una coincidencia, por ejemplo, Credit card number. El hallazgo incluye la cantidad de cadenas coincidentes que se detectaron en el texto o las imágenes del recurso.

Por motivos de seguridad, las cadenas reales que se detectaron no se incluyen en el hallazgo. Por ejemplo, un hallazgo de Credit card number muestra cuántos números de tarjetas de crédito se encontraron, pero no muestra los números reales.

Debido a que hay más de 150 detectores de Infotipo integrados en la Protección de datos sensibles, no se enumeran aquí todas las categorías posibles de hallazgos de Security Command Center. Para obtener una lista completa de los detectores de Infotipo, consulta la Referencia del detector de Infotipos.

Para obtener información sobre cómo enviar los resultados de un trabajo de inspección a Security Command Center, consulta Envía los resultados del trabajo de inspección de Protección de datos sensibles a Security Command Center.

Revisa los hallazgos de la Protección de datos sensibles en la consola

Estándar o Premium

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu Google Cloud organización o proyecto.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Sensitive Data Protection. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Enterprise

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a Hallazgos en el nivel Enterprise

  2. Selecciona tu Google Cloud organización.
  3. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  4. Selecciona Protección de datos sensibles. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
  5. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
  6. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
  7. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

VM Manager

VM Manager es un conjunto de herramientas que se pueden usar en la administración de sistemas operativos para flotas de máquinas virtuales (VM) grandes que ejecutan Windows y Linux en Compute Engine.

Para usar VM Manager con las activaciones a nivel del proyecto de Security Command Center Premium, activa Security Command Center Estándar en la organización principal.

Si habilitas VM Manager con el nivel Premium de Security Command Center, VM Manager escribe automáticamente los resultados de high y critical de sus informes de vulnerabilidades, que se encuentran en vista previa, en Security Command Center. Los informes identifican vulnerabilidades en los sistemas operativos (SO) instalados en las VMs, incluidas las vulnerabilidades y riesgos comunes (CVE).

Los informes de vulnerabilidad no están disponibles para la versión estándar de Security Command Center.

Los resultados simplifican el proceso de usar la función de cumplimiento de parches de VM Manager, que está en vista previa. Esta función te permite realizar la administración de parches a nivel de organización en todos los proyectos. VM Manager admite la administración de parches a nivel de proyecto único.

Para solucionar los resultados de VM Manager, consulta Soluciona los problemas de VM Manager.

Para evitar que se escriban informes de vulnerabilidades en Security Command Center, consulta Cómo silenciar los resultados de VM Manager.

Las vulnerabilidades de este tipo se relacionan con paquetes instalados de sistema operativo en las VM de Compute Engine compatibles.

Detector Resumen Configuración de análisis de elementos

Nombre de categoría en la API: OS_VULNERABILITY

Descripción del hallazgo: VM Manager detectó una vulnerabilidad en el paquete del sistema operativo (SO) instalado para una VM de Compute Engine.

Nivel de precios: Premium

Recursos admitidos

compute.googleapis.com/Instance

Corrige este hallazgo

Los informes de vulnerabilidad de VM Manager detallan vulnerabilidades en los paquetes del sistema operativo instalados para las VMs de Compute Engine, incluidas las vulnerabilidades y exposiciones comunes (CVE).

Para obtener una lista completa de los sistemas operativos compatibles, consulta Detalles de los sistemas operativos.

Los hallazgos aparecen en Security Command Center poco después de que se detectan vulnerabilidades. Los informes de vulnerabilidad en VM Manager se generan de la siguiente manera:

  • Cuando se instala o actualiza un paquete en el sistema operativo de una VM, es posible que veas información de vulnerabilidades y riesgos comunes (CVE) para la VM en Security Command Center en un plazo de dos horas después del cambio.
  • Cuando se publican nuevos avisos de seguridad para un sistema operativo, las CVE actualizadas suelen estar disponibles en un plazo de 24 horas después de que el proveedor del sistema operativo publica el aviso.

Evaluación de vulnerabilidades para AWS

El servicio de Evaluación de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades de software en tus cargas de trabajo que se ejecutan en máquinas virtuales (VMs) de EC2 en la plataforma de nube de AWS.

Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un hallazgo de clase Vulnerability en la categoría de hallazgos Software vulnerability en Security Command Center.

El servicio de Evaluación de vulnerabilidades para AWS analiza las instantáneas de las instancias de máquinas EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se denomina análisis de disco sin agente, ya que no se instalan agentes en los objetivos del análisis.

Para obtener más información, consulta lo siguiente:

Evaluación de vulnerabilidades para Google Cloud

La Evaluación de vulnerabilidades para el servicio Google Cloud detecta vulnerabilidades de software en los siguientes recursos de la plataforma Google Cloud :

  • Ejecuta instancias de VM de Compute Engine
  • Nodos en clústeres de GKE Standard
  • Contenedores que se ejecutan en clústeres de GKE Standard y GKE Autopilot

Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para Google Cloud genera un hallazgo de claseVulnerabilityen la categoría de hallazgosSoftware vulnerabilityoOS vulnerabilityen Security Command Center.

La Evaluación de vulnerabilidades para el servicio Google Cloud analiza tus instancias de VM de Compute Engine clonando sus discos aproximadamente cada 12 horas, los activa en una instancia de VM segura y los evalúa con el escánerSCALIBR.

Para obtener más información, consulta Vulnerability Assessment for Google Cloud.

Web Security Scanner

Web Security Scanner proporciona análisis de vulnerabilidades web administradas y personalizadas para aplicaciones web públicas de App Engine, GKE y Compute Engine.

Análisis administrados

Security Command Center configura y administra los análisis administrados de Web Security Scanner. Los análisis administrados se ejecutan automáticamente una vez por semana para detectar y analizar extremos web públicas. Estos análisis no usan la autenticación y envían solicitudes solo de GET para que no envíen formularios en sitios web activos.

Los análisis administrados se ejecutan de forma separada de los análisis personalizados.

Si Security Command Center está activado a nivel de la organización, puedes usar los análisis administrados para gestionar de forma centralizada la detección de vulnerabilidades de las aplicaciones web básicas en los proyectos de tu organización, sin necesidad de incluir equipos de proyectos individuales. Cuando se detectan los resultados, puedes trabajar con esos equipos para configurar análisis personalizados más completos.

Cuando habilitas Web Security Scanner como un servicio, los resultados de análisis administrados quedan disponibles automáticamente en la página Vulnerabilidades de Security Command Center y en los informes relacionados. Para obtener información sobre cómo habilitar los análisis administrados de Web Security Scanner, consulta Configura los servicios de Security Command Center.

Los análisis administrados solo admiten aplicaciones que usan el puerto predeterminado, que es el 80 para las conexiones HTTP y el 443 para las conexiones HTTPS. Si tu aplicación usa un puerto no predeterminado, realiza un análisis personalizado.

Análisis personalizados

Los análisis personalizados de Web Security Scanner proporcionan información detallada sobre los resultados de vulnerabilidades de la aplicación, como las bibliotecas desactualizadas, las secuencias de comandos entre sitios o el uso de contenido mixto.

Los análisis personalizados se definen a nivel del proyecto.

Los resultados de análisis personalizados están disponibles en Security Command Center después de completar la guía para configurar análisis personalizados de Web Security Scanner.

Detectores y cumplimiento

Web Security Scanner admite categorías en las OWASP Top Ten, un documento que clasifica y proporciona orientación de solución para los 10 riesgos de seguridad de aplicaciones web más importantes, según lo determinado por Abre el proyecto de seguridad para aplicaciones web (OWASP). Para obtener orientación sobre cómo mitigar los riesgos de OWASP, consulta las 10 opciones de mitigación de OWASP en Google Cloud.

La asignación de cumplimiento se incluye como referencia y no se proporciona ni se revisa mediante OWASP Foundation.

Esta funcionalidad solo está diseñada para que supervises las infracciones de los controles de cumplimiento. Las asignaciones no se proporcionan a fin de usarlas como base, o como sustituto de la auditoría, certificación o informe de cumplimiento de los productos o servicios con cualquier comparativa o estándar regulatoria o industrial.

Para obtener más información, consulta la Descripción general de Web Security Scanner.

Servicios de detección de amenazas

Los servicios de detección de amenazas incluyen servicios integrados que detectan eventos que podrían indicar eventos potencialmente dañinos, como recursos vulnerados o ciberataques.

Detección de anomalías

La detección de anomalías es un servicio integrado que usa señales de comportamiento desde fuera del sistema. Muestra información detallada sobre las anomalías de seguridad detectadas para tus instancias de máquina virtual (VM) y tus proyectos, como potenciales filtraciones de credenciales. La detección de anomalías se habilita automáticamente cuando activas el nivel Premium o Estándar de Security Command Center, y los resultados están disponibles en la Google Cloud consola.

Estos son algunos de los hallazgos de la detección de anomalías:

Nombre de la anomalía Categoría Descripción
account_has_leaked_credentials

Las credenciales de una cuenta de servicio Google Cloud se filtran accidentalmente en línea o se ven comprometidas.

Gravedad: Crítica

Se filtraron credenciales de la cuenta

GitHub notificó a Security Command Center que las credenciales que se usaron para una confirmación parecen ser las de una cuenta de servicio deGoogle Cloud Identity and Access Management.

La notificación incluye el nombre de la cuenta de servicio y el identificador de la clave privada. Google Cloud también envía una notificación por correo electrónico a tu contacto designado para problemas de seguridad y privacidad.

Para solucionar este problema, realiza una o más de las siguientes acciones:

  • Identificar al usuario legítimo de la llave
  • Rota la llave.
  • Quita la llave.
  • Investiga las acciones que realizó la clave después de que se filtró para asegurarte de que ninguna de ellas fue maliciosa.

JSON: Se encontró una filtración de credenciales de la cuenta

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection puede detectar los ataques más comunes en el entorno de ejecución del contenedor y alertarte en Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, una herramienta de análisis y una API.

La instrumentación de detección de Container Threat Detection recopila el comportamiento de bajo nivel en el kernel invitado y realiza el procesamiento de lenguaje natural en el código para detectar los siguientes eventos:

  • Added Binary Executed
  • Added Library Loaded
  • Command and Control: Steganography Tool Detected (vista previa)
  • Credential Access: Find Google Cloud Credentials
  • Credential Access: GPG Key Reconnaissance
  • Credential Access: Search Private Keys or Passwords
  • Defense Evasion: Base64 ELF File Command Line
  • Defense Evasion: Base64 Encoded Python Script Executed
  • Defense Evasion: Base64 Encoded Shell Script Executed
  • Defense Evasion: Launch Code Compiler Tool In Container (vista previa)
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Fileless Execution in /memfd:
  • Execution: Ingress Nightmare Vulnerability Execution (vista previa)
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Execution: Netcat Remote Code Execution In Container
  • Execution: Possible Remote Command Execution Detected (vista previa)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Suspicious OpenSSL Shared Object Loaded
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Impact: Detect Malicious Cmdlines (vista previa)
  • Impact: Remove Bulk Data From Disk
  • Impact: Suspicious crypto mining activity using the Stratum Protocol
  • Malicious Script Executed
  • Malicious URL Observed
  • Privilege Escalation: Fileless Execution in /dev/shm
  • Reverse Shell
  • Unexpected Child Shell

Obtén más información sobre Detección de amenazas a contenedores.

Event Threat Detection

Event Threat Detection usa datos de registro dentro de tus sistemas. Supervisa la transmisión de Cloud Logging para los proyectos y consume registros a medida que están disponibles. Cuando se detecta una amenaza, Detección de eventos de amenazas escribe un resultado en Security Command Center y en un proyecto de Cloud Logging. Event Threat Detection se habilita automáticamente cuando activas el nivel Premium de Security Command Center y los resultados están disponibles en la consola deGoogle Cloud .

En la siguiente tabla, se incluyen ejemplos de resultados de Event Threat Detection.

Tabla C. Tipos de resultados de Event Threat Detection

Event Threat Detection detecta la destrucción de datos mediante el análisis de los registros de auditoría del servidor de administración de Backup and DR para las siguientes situaciones:

  • Borrado de una imagen de copia de seguridad
  • Se borraron todas las imágenes de copia de seguridad asociadas con una aplicación.
  • Eliminación de un dispositivo de copia de seguridad o recuperación

Event Threat Detection detecta el robo de datos de BigQuery y Cloud SQL mediante el análisis de los registros de auditoría para las siguientes situaciones:

  • Un recurso de BigQuery se guarda fuera de la organización o se intenta una operación de copia que está bloqueada por los Controles del servicio de VPC.
  • Se intenta acceder a los recursos de BigQuery que los Controles del servicio de VPC protegen.
  • Un recurso de Cloud SQL se exporta de forma completa o parcial a un bucket de Cloud Storage fuera de tu organización o a un bucket que pertenece a tu organización y al que se puede acceder públicamente.
  • Una copia de seguridad de Cloud SQL se restablece a una instancia de Cloud SQL fuera de tu organización.
  • Un recurso de BigQuery que pertenece a tu organización se exporta a un bucket de Cloud Storage fuera de tu organización o a un bucket de tu organización de acceso público.
  • Un recurso BigQuery de tu organización se exporta a una carpeta de Google Drive.
  • Un recurso de BigQuery se guarda en un recurso público que pertenece a tu organización.

Event Threat Detection examina los registros de auditoría para detectar los siguientes eventos que podrían indicar una vulneración de una cuenta de usuario válida en instancias de Cloud SQL:

  • A un usuario de la base de datos se le otorgan todos los privilegios de una base de datos de Cloud SQL para PostgreSQL, o para todas las tablas, los procedimientos o las funciones en un esquema.
  • Se usa un superusuario de la cuenta de base de datos predeterminada de Cloud SQL (<code>postgres</code> en instancias de PostgreSQL o "root" en instancias de MySQL) para escribir en tablas que no son del sistema.

La Detección de eventos de amenazas examina los registros de auditoría para detectar los siguientes eventos que podrían indicar una vulneración de una cuenta de usuario válida en instancias de AlloyDB para PostgreSQL:

  • A un usuario de la base de datos se le otorgan todos los privilegios de una base de datos de AlloyDB para PostgreSQL, o para todas las tablas, los procedimientos o las funciones en un esquema.
  • Se usa un superusuario de la cuenta de base de datos predeterminada de AlloyDB para PostgreSQL (`postgres`) para escribir en tablas que no son del sistema.
Event Threat Detection detecta la fuerza bruta de SSH mediante la autenticación de contraseñas mediante el análisis de los registros de syslog en busca de errores repetidos seguidos de un éxito.
Event Threat Detection detecta software malicioso de minería de criptomonedas a través de un análisis de los registros de flujo de VPC y de los registros de Cloud DNS para establecer conexiones con dominios maliciosos o direcciones IP conocidas de grupos de minería.

Otorgamientos de IAM anómalos: Event Threat Detection detecta la adición de otorgamientos de IAM que podrían considerarse anómalos, como los siguientes:

  • Agregar un usuario gmail.com a una política con la función de editor de proyectos
  • Invitar a un usuario de gmail.com como propietario del proyecto desde la consola de Google Cloud
  • Cuenta de servicio que otorga permisos sensibles
  • La función personalizada otorgó permisos sensibles
  • Se agregó la cuenta de servicio desde fuera de la organización.

Event Threat Detection detecta cambios anómalos en Backup and DR que pueden afectar la postura de la copia de seguridad, incluidos los cambios importantes en las políticas y la eliminación de componentes críticos de Backup and DR.
Event Threat Detection detecta posibles intentos de explotación de Log4j y vulnerabilidades de Log4j activas.
Event Threat Detection detecta software malicioso a través del análisis de los registros del flujo de VPC y de los registros de Cloud DNS para establecer conexiones con las IP y los dominios de control y comandos conocidos.
Event Threat Detection examina los registros de flujo de VPC para detectar el tráfico saliente de denegación de servicio.
Event Threat Detection detecta el acceso anómalo mediante el análisis de los registros de auditoría de Cloud para las modificaciones del servicio de Google Cloud que se originaron en direcciones IP de proxy anónimas, como las direcciones IP de Tor.
Event Threat Detection detecta comportamientos de IAM anómalos mediante el análisis de los registros de auditoría de Cloud para las siguientes situaciones:
  • Cuentas de usuario y de servicio de IAM que acceden a Google Cloud desde direcciones IP anómalas
  • Cuentas de servicio de IAM que acceden Google Cloud desde usuarios-agentes anómalos.
  • Las principales y los recursos que suplantan cuentas de servicio de IAM para acceder a Google Cloud.
Container Threat Detection detecta cuándo se usa una credencial de cuenta de servicio para investigar las funciones y los permisos asociados con esa misma cuenta de servicio.
Event Threat Detection detecta una modificación en el valor de la llave SSH de los metadatos de instancia de Compute Engine en una instancia establecida (más de 1 semana).
Event Threat Detection detecta una modificación en el valor de la secuencia de comandos de inicio de los metadatos de la instancia de Compute Engine en una instancia establecida (antes de 1 semana).
Container Threat Detection detecta un posible compromiso de las cuentas de Google Workspace mediante el análisis de los registros de auditoría para actividades anómalas de la cuenta, incluidas las filtraciones de contraseñas y los intentos de acceso sospechosos.
La Container Threat Detection examina los registros de auditoría de Google Workspace para detectar cuándo los atacantes respaldados por el Gobierno podrían haber intentado comprometer la cuenta o computadora de un miembro.
La Detección de eventos de amenazas examina los registros de auditoría de Google Workspace para detectar cuándo el SSO está inhabilitado o se cambia la configuración de las cuentas de administrador de Google Workspace.
La Detección de eventos de amenazas examina los registros de auditoría de Google Workspace para detectar cuándo la verificación en 2 pasos está inhabilitada en las cuentas de usuario y administrador.
Event Threat Detection detecta comportamiento de API anómalo mediante el análisis de los registros de auditoría de Cloud para solicitudes a servicios de Google Cloud que un principal no vio antes.

Event Threat Detection detecta la evasión de defensas analizando los registros de auditoría de Cloud en los siguientes casos:

  • Cambios en los perímetros de los Controles del servicio de VPC existentes que generarían una reducción de la protección que se ofrece.
  • Implementaciones o actualizaciones de cargas de trabajo que usan la marca de emergencia para anular los controles de Autorización Binaria.Versión preliminar
  • Inhabilita la política storage.secureHttpTransport a nivel del proyecto, la carpeta o la organización.
  • Cambia la configuración del filtrado por IP de un bucket de Cloud Storage.

Event Threat Detection detecta las operaciones de descubrimiento a través del análisis de los registros de auditoría para las siguientes situaciones:

  • Un agente potencialmente malicioso intentó determinar qué objetos sensibles en GKE puede consultar con el comando kubectl.
  • Se usa una credencial de la cuenta de servicio para investigar los roles y los permisos asociados con esa misma cuenta de servicio.
Event Threat Detection detecta las operaciones de acceso inicial analizando los registros de auditoría para las siguientes situaciones:
  • Una cuenta de servicio administrada por el usuario inactiva activó una acción.Vista previa
  • Un principal intentó invocar varios métodos de Google Cloud , pero falló repetidamente debido a errores de permiso denegado.Vista previa

Event Threat Detection detecta la elevación de privilegios en GKE analizando los registros de auditoría para las siguientes situaciones:

  • Para elevar privilegios, un agente potencialmente malicioso intentó modificar un objeto de control de acceso basado en roles (RBAC) ClusterRole, RoleBinding o ClusterRoleBinding del rol sensible cluster-admin a través de una solicitud PUT o PATCH.
  • Un agente potencialmente malicioso creó una solicitud de firma de certificado (CSR) del plano de control de Kubernetes, que le da acceso de cluster-admin.
  • Para elevar privilegios, un agente potencialmente malicioso intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin.
  • Un agente potencialmente malicioso realizó una consulta para una solicitud de firma de certificado (CSR), con el comando kubectl, usando credenciales de arranque comprometidas.
  • Un agente potencialmente malicioso creó un Pod que contiene contenedores con privilegios o contenedores con capacidades de elevación de privilegios.
IDS de Cloud detecta ataques de capa 7 analizando paquetes duplicados y, cuando detecta un evento sospechoso, activa un hallazgo de Event Threat Detection. Para obtener más información sobre las detecciones de IDS de Cloud, consulta Información de registro de IDS de Cloud. Vista previa
Event Threat Detection detecta posibles ataques de disco de arranque modificado examinando los Registros de auditoría de Cloud en busca de desconexiones y reconexiones frecuentes del disco de arranque en las instancias de Compute Engine.

Obtén más información sobre Event Threat Detection.

Google Cloud Armor

Google Cloud Armor ayuda a proteger tu aplicación, ya que proporciona filtrado de capa 7. Google Cloud Armor limpia las solicitudes entrantes de ataques web comunes o de otros atributos de capa 7 para bloquear el tráfico antes de que llegue a tus servicios de backend con balanceo de cargas o buckets de backend.

Google Cloud Armor exporta dos hallazgos a Security Command Center:

Virtual Machine Threat Detection

Virtual Machine Threat Detection es un servicio integrado de Security Command Center que está disponible en los niveles Enterprise y Premium. Este servicio analiza las máquinas virtuales para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube vulnerados.

VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Para obtener más información sobre la detección de amenazas a VM, consulta Descripción general de VM Threat Detection.

Resultados de amenazas de VM Threat Detection

VM Threat Detection puede generar los siguientes resultados de amenazas.

Resultados de amenazas de minería de criptomonedas

VM Threat Detection detecta las siguientes categorías de resultados a través de la coincidencia de hash o las reglas de YARA.

Resultados de amenazas de minería de criptomonedas de VM Threat Detection
Categoría Módulo Descripción
CRYPTOMINING_HASH Hace coincidir los hashes de memoria de los programas en ejecución con los hashes de memoria conocidos del software de minería de criptomonedas.
CRYPTOMINING_YARA Coincide con los patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
 Identifica una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA. Para obtener más información, consulta Detecciones combinadas.

Hallazgos de amenazas de rootkit en modo kernel

VM Threat Detection analiza la integridad del kernel en el tiempo de ejecución para detectar técnicas de evasión comunes que usa el malware.

El módulo KERNEL_MEMORY_TAMPERING detecta amenazas comparando el hash del código del kernel y la memoria de datos de solo lectura del kernel de una máquina virtual.

El módulo KERNEL_INTEGRITY_TAMPERING detecta amenazas verificando la integridad de las estructuras de datos importantes del kernel.

Resultados de amenazas de rootkit en modo kernel de VM Threat Detection
Categoría Módulo Descripción
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
 Se detectó una combinación de indicadores que coinciden con un rootkit conocido en modo kernel. Para recibir hallazgos de esta categoría, asegúrate de que ambos módulos estén habilitados.
Manipulación de la memoria del kernel
KERNEL_MEMORY_TAMPERING Se detectaron modificaciones inesperadas en la memoria de datos de solo lectura del kernel.
Manipulación de la integridad del kernel
KERNEL_INTEGRITY_TAMPERING Hay puntos ftrace presentes con devoluciones de llamada que apuntan a regiones que no se encuentran en el rango de código esperado del kernel o del módulo.
KERNEL_INTEGRITY_TAMPERING Se encuentran presentes controladores de interrupciones que no están en las regiones de código esperadas del kernel o del módulo.
KERNEL_INTEGRITY_TAMPERING Hay páginas de código de kernel que no se encuentran en las regiones de código de kernel o módulo esperadas.
KERNEL_INTEGRITY_TAMPERING Hay puntos kprobe presentes con devoluciones de llamada que apuntan a regiones que no se encuentran en el rango de código del kernel o del módulo esperado.
KERNEL_INTEGRITY_TAMPERING Hay procesos inesperados en la cola de ejecución del programador. Estos procesos están en la cola de ejecución, pero no en la lista de tareas del proceso.
KERNEL_INTEGRITY_TAMPERING Hay controladores de llamadas del sistema que no se encuentran en las regiones esperadas del kernel o del código del módulo.

Errores

Los detectores de errores pueden ayudarte a detectar errores en la configuración que evitan que las fuentes de seguridad generen resultados. La fuente de seguridad Security Command Center genera los resultados de error y estos tienen la clase de resultado SCC errors.

Acciones involuntarias

Las siguientes categorías de resultados representan errores posiblemente causados por acciones no intencionales.

Acciones involuntarias
Nombre de categoría Nombre de la API Resumen Gravedad
API_DISABLED

Descripción de los resultados: La API requerida está inhabilitada para el proyecto. El servicio inhabilitado no puede enviar resultados a Security Command Center.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: Cada 60 horas

Corrige este resultado

Crítico
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

Descripción del hallazgo: Se definen configuraciones de valor de recursos para las simulaciones de rutas de ataque, pero no coinciden con ninguna instancia de recursos en tu entorno. En cambio, las simulaciones usan el conjunto de recursos de alto valor predeterminado.

Este error puede deberse a cualquiera de los siguientes motivos:

  • Ninguno de los parámetros de configuración de valores de recursos coincide con ninguna instancia de recursos.
  • Una o más configuraciones de valor de recursos que especifican NONE anulan todas las demás configuraciones válidas.
  • Todas las configuraciones de valores de recursos definidas especifican un valor de NONE.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: Antes de cada simulación de ruta de ataque

Corrige este hallazgo

Crítico
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

Descripción del hallazgo: En la última simulación de ruta de ataque, la cantidad de instancias de recursos de alto valor, según se identificó en la configuración de valores de recursos, superó el límite de 1,000 instancias de recursos en un conjunto de recursos de alto valor. Como resultado, Security Command Center excluyó la cantidad excesiva de instancias del conjunto de recursos de alto valor.

La cantidad total de instancias coincidentes y la cantidad total de instancias excluidas del conjunto se identifican en el hallazgo SCC Error de la consola de Google Cloud .

Las puntuaciones de exposición a ataques en los hallazgos que afectan las instancias de recursos excluidas no reflejan la designación de alto valor de las instancias de recursos.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organizations

Análisis por lotes: Antes de cada simulación de ruta de ataque

Corrige este hallazgo

Alta
KTD_IMAGE_PULL_FAILURE

Descripción del hallazgo: No se puede habilitar la detección de amenazas a contenedores en el clúster porque no se puede extraer (descargar) una imagen de contenedor requerida de gcr.io, el host de imágenes de Container Registry. La imagen es necesaria para implementar el DaemonSet de Container Threat Detection que requiere la detección de amenazas a contenedores.

El intento de implementar el DaemonSet de Container Threat Detection generó el siguiente error:

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítico
KTD_BLOCKED_BY_ADMISSION_CONTROLLER

Descripción del resultado: No se puede habilitar la detección de amenazas a contenedores en un clúster de Kubernetes. Un controlador de admisión de terceros impide la implementación de un objeto DaemonSet de Kubernetes que requiere la detección de amenazas a contenedores.

Cuando se ven en la consola de Google Cloud , los detalles del hallazgo incluyen el mensaje de error que devolvió Google Kubernetes Engine cuando la detección de amenazas a contenedores intentó implementar un objeto DaemonSet de detección de amenazas a contenedores.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: cada 30 minutos

Corrige este resultado

Alta
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del resultado: A una cuenta de servicio le faltan los permisos necesarios para la detección de amenazas a contenedores. La detección de amenazas a contenedores podría dejar de funcionar de forma correcta porque no se puede habilitar, actualizar ni inhabilitar la instrumentación de detección.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítica
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción de los resultados: La detección de amenazas a contenedores no puede generar resultados para un clúster de Google Kubernetes Engine, ya que a la cuenta de servicio predeterminada de GKE en el clúster le faltan permisos. Esto impide que la detección de amenazas a contenedores se habilite de forma correcta en el clúster.

Nivel de precios: Premium

Elementos compatibles
container.googleapis.com/Cluster

Análisis por lotes: todas las semanas

Corrige este resultado

Alta
MISCONFIGURED_CLOUD_LOGGING_EXPORT

Descripción de los resultados: El proyecto configurado para la exportación continua a Cloud Logging no está disponible. Security Command Center no puede enviar resultados a Logging.

Nivel de precios: Premium

Elementos admitidos
cloudresourcemanager.googleapis.com/Organization

Análisis por lotes: cada 30 minutos

Corrige este resultado

Alta
VPC_SC_RESTRICTION

Descripción del resultado: Las estadísticas del estado de la seguridad no pueden producir ciertos resultados para un proyecto. El proyecto está protegido por un perímetro de servicio, y la cuenta de servicio de Security Command Center no tiene acceso al perímetro.

Nivel de precios: Premium o Estándar

Elementos admitidos
cloudresourcemanager.googleapis.com/Project

Análisis por lotes: Cada 6 horas

Corrige este resultado

Alta
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

Descripción del resultado: A la cuenta de servicio de Security Command Center le faltan los permisos necesarios para funcionar de forma correcta. No se producen resultados.

Nivel de precios: Premium o Estándar

Recursos admitidos

Análisis por lotes: cada 30 minutos

Corrige este resultado

Crítica

Para obtener más información, consulta Errores de Security Command Center.

¿Qué sigue?