La función Correlated Threats de Security Command Center te ayuda a descubrir amenazas activas críticas en tu entorno. La función Correlated Threats genera un conjunto de hallazgos de amenazas relacionados y proporciona explicaciones detalladas sobre estos hallazgos, que luego puedes usar para priorizar, comprender y responder a estas amenazas.
Los equipos de seguridad suelen experimentar fatiga por alertas debido a la gestión de una cantidad abrumadora de hallazgos de amenazas. Esta situación puede provocar respuestas perdidas o retrasadas. Estos equipos requieren información priorizada y pertinente rápidamente para identificar la actividad posterior al aprovechamiento de vulnerabilidades.
Las amenazas correlacionadas ayudan a agregar varios hallazgos de amenazas relacionados en un problema. Esta agregación ayuda a proporcionar detecciones con mayor confianza sobre las que puedes tomar medidas. Correlated Threats genera un problema, que representa una serie de actividades maliciosas relacionadas.
Esta función ofrece varios beneficios:
- Reduce la fatiga que generan las alertas consolidando numerosos hallazgos en problemas críticos.
- Mejora la fidelidad de la detección combinando múltiples indicadores, lo que ayuda a aumentar la confianza en la detección de actividad maliciosa.
- Proporciona una visualización de la cadena de ataque, que muestra cómo se conectan los eventos para ayudar a formar una historia completa del ataque. Este enfoque te ayuda a anticipar los movimientos del adversario y a identificar rápidamente los recursos comprometidos.
- Destaca las amenazas críticas y proporciona recomendaciones claras, lo que te ayuda a priorizar y acelerar tu respuesta.
Cómo funcionan las amenazas correlacionadas
La función Correlated Threats usa un motor de reglas para identificar y agrupar los resultados de seguridad relacionados.
El motor de reglas consulta el gráfico de seguridad con consultas de amenazas correlacionadas predefinidas. Luego, el motor traduce los resultados de la búsqueda en problemas. Security Command Center administra el ciclo de vida de estos problemas de amenazas. Un problema permanece activo durante 14 días después del primer hallazgo de amenazas si no lo silencias ni lo marcas como inactivo. Este período se establece automáticamente y no se puede configurar. Las amenazas correlacionadas se resuelven automáticamente si se borran los recursos subyacentes, como las VMs o los nodos de Google Kubernetes Engine.
Las amenazas correlacionadas requieren ejecuciones de reglas más frecuentes que otras reglas del gráfico de seguridad. El sistema procesa las reglas de amenazas cada hora. Este enfoque se integra con las fuentes de detección existentes de Security Command Center.
Reglas de amenazas correlacionadas
Las amenazas correlacionadas ayudan a identificar varios patrones de ataque de varias etapas en los recursos de la nube. En la siguiente tabla, se definen las reglas de Correlated Threats disponibles.
| Regla | Descripción |
|---|---|
| Múltiples indicadores de amenazas correlacionados del software de minería de criptomonedas |
Busca varios indicadores distintos de software malicioso proveniente de Google Cloud máquinas virtuales, incluidas las VMs de Compute Engine y los nodos (y sus Pods) de Google Kubernetes Engine (GKE).
Algunos ejemplos son los siguientes:
|
| Varios indicadores de amenazas correlacionados de software malicioso |
Busca varios indicadores distintos de software malicioso provenientes de máquinas virtuales, incluidas las VMs de Compute Engine y los nodos de GKE (y sus Pods) o Agent Runtime. Google Cloud
Algunos ejemplos son los siguientes:
|
| Movimiento lateral de una cuenta de GCP potencialmente vulnerada a un recurso de procesamiento vulnerado |
Busca evidencia de llamadas sospechosas a las APIs de Compute (Compute Engine o GKE) que modifican una VM o un Pod. Luego, la regla correlaciona esa actividad con la actividad maliciosa que se origina en el recurso de procesamiento en un período corto.
Los atacantes suelen usar este patrón de movimiento lateral. Esta regla indica que es probable que la VM o el Pod estén en riesgo. Esta regla también indica que la cuenta Google Cloud (ya sea de usuario o de servicio) puede ser la causa de la actividad maliciosa.
Estos son algunos ejemplos:
|
Investiga las amenazas correlacionadas
Las amenazas correlacionadas te guían a través de un proceso de investigación estructurado. Este proceso te ayuda a comprender los incidentes de seguridad y responder a ellos de manera eficaz. Puedes usar el Índice de hallazgos de amenazas para encontrar más información sobre un hallazgo de amenaza específico. En cada página específica de un hallazgo, se describe cómo investigar y responder ante la amenaza.
Recepción
Recibes un problema de amenazas correlacionadas a través de Security Command Center. Este problema indica que el sistema detectó y agrupó varios hallazgos sospechosos. Reconoces este problema como de alta prioridad, ya que está marcado como una amenaza activa. La correlación de varios indicadores señala un verdadero positivo que justifica una atención inmediata. Para obtener más información, consulta Administra y corrige problemas.
Deconstrucción
Abre el problema para ver sus partes. En la vista de detalles del problema, puedes expandir una sección para ver los hallazgos individuales. Por ejemplo, si una secuencia de comandos dañina se ejecuta en un nodo de GKE y, luego, se conecta a una dirección IP maliciosa, ambos eventos aparecerán juntos. Verifica los detalles de cada hallazgo, como cuándo ocurrió, qué procesos estuvieron involucrados, las direcciones IP maliciosas y de dónde provino la detección. Esta información indica que los eventos están potencialmente relacionados y explica los detalles técnicos del ataque. Una vista cronológica muestra la secuencia de eventos. El sistema asigna estos detalles a las etapas de la cadena de ataque de MITRE ATT&CK y los presenta en una visualización de la cadena de ataque. Esta función te brinda contexto inmediato sobre la etapa del ataque.
Identificación del alcance
Determina el alcance de la amenaza. Verifica la información contextual sobre los eventos correlacionados, como el activo afectado y su contexto de proyecto o clúster. La plataforma correlaciona los problemas por recurso, utilizando identificadores únicos para vincular eventos al mismo nodo. Aquí se muestra el recurso afectado. Verifica si otros recursos muestran signos similares. Toma nota de las identidades involucradas, como la cuenta de servicio o el usuario que ejecutó el script malicioso. Esta vista con alcance te ayuda a enfocarte en los sistemas afectados y confirma si el incidente es localizado o generalizado.
Próximas acciones
El sistema marca los problemas de amenazas correlacionadas con un nivel de gravedad crítico. Puedes encontrar las acciones recomendadas en las vistas de Cómo corregir. Contén el activo afectado, por ejemplo, aísla o apaga el nodo de GKE afectado. Sigue las recomendaciones, como bloquear la IP maliciosa conocida a nivel del firewall o de la VPC de Cloud. Las acciones recomendadas te ayudan a responder más rápido, contener el incidente y comenzar una investigación enfocada. Para obtener más información sobre la investigación de amenazas, consulta Cómo investigar amenazas.
¿Qué sigue?
- Detección de amenazas en Security Command Center
- Descripción general de Container Threat Detection
- Descripción general de Event Threat Detection
- Descripción general de Virtual Machine Threat Detection
- Administra y soluciona problemas.