En este documento, se explica cómo investigar los hallazgos de amenazas en Security Command Center y responder a ellos. Por lo general, para controlar una amenaza, debes hacer lo siguiente:
- Revisa los detalles del hallazgo.
- Consulta la orientación disponible.
- Identifica los riesgos relacionados en tu entorno.
- Toma medidas para mitigar la amenaza y proteger tus recursos.
Antes de comenzar
Necesitas los roles de Identity and Access Management (IAM) requeridos para ver o editar los registros y los resultados, y modificar los recursos de Google Cloud . Si encuentras errores de acceso en Security Command Center, pídele asistencia a tu administrador y consulta Control de acceso para obtener información sobre los roles. Para resolver los errores de recursos, lee la documentación de los productos afectados.
Revisa el hallazgo
Para comenzar a investigar una amenaza, revisa los detalles que proporciona Security Command Center en el hallazgo.
Para revisar un hallazgo de amenaza, sigue estos pasos:
En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
Si es necesario, selecciona tu Google Cloud proyecto, carpeta o organización.
En la sección Filtros rápidos, haz clic en un filtro adecuado para mostrar el hallazgo que necesitas en la tabla Resultados de la consulta de hallazgos. Por ejemplo, si seleccionas Event Threat Detection o Container Threat Detection en la subsección Source display name, solo aparecerán en los resultados los hallazgos del servicio seleccionado.
La tabla se propaga con los hallazgos de la fuente que seleccionaste.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en
Category. El panel de detalles de hallazgos se expande para mostrar un resumen de los detalles del hallazgo.Para ver la definición JSON del resultado, haz clic en la pestaña JSON.
Los hallazgos proporcionan los nombres y los identificadores numéricos de los recursos involucrados en un incidente, junto con las variables de entorno y las propiedades de los activos. Puedes usar esa información para aislar los recursos afectados y determinar el alcance potencial de un evento.
Para ayudarte en la investigación, los hallazgos de las amenazas también contienen vínculos a los siguientes recursos externos:
- Entradas del framework de MITRE ATT&CK. En el framework, se explican las técnicas de los ataques a los recursos en la nube y se proporciona orientación para solucionarlos.
VirusTotal, un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos. Si está disponible, el campo Indicador de VirusTotal proporciona un vínculo a VirusTotal para ayudarte a investigar más a fondo los posibles problemas de seguridad.
VirusTotal es una oferta con precios independientes y sus propios límites y funciones de uso. Es tu responsabilidad comprender y cumplir con las políticas de uso de la API de VirusTotal y los costos asociados. Para obtener más información, consulta la documentación de VirusTotal.
Consulta la guía de investigación
Después de revisar los detalles del hallazgo, consulta las recomendaciones de investigación y respuesta que proporciona Security Command Center.
Security Command Center ofrece orientación informal para ayudarte a investigar los hallazgos. Estos hallazgos identifican actividades sospechosas en tu entorno de Google Cloud de actores potencialmente maliciosos. Seguir la guía puede ayudarte a comprender lo que sucedió durante un posible ataque y desarrollar respuestas posibles para los recursos afectados.
Para ver las recomendaciones de investigación y respuesta de un hallazgo, ubícalo en el Índice de hallazgos de amenazas.
También puedes ver recomendaciones de respuestas generales para los siguientes tipos de hallazgos de amenazas:
- Descubrimientos de amenazas con IA
- Hallazgos de amenazas de Cloud Run
- Hallazgos de amenazas de Compute Engine
- Descubrimientos de amenazas de Google Kubernetes Engine
- Resultados de amenazas de Google Workspace
- Resultados de amenazas de red
Revisa las amenazas con el panel de amenazas
El panel de Amenazas en la página Resumen de riesgos te ayuda a supervisar, priorizar e investigar eventos potencialmente dañinos en tu entorno de Google Cloud.
Para acceder al panel de Amenazas, sigue estos pasos:
En la consola de Google Cloud , ve a la página Amenazas de Security Command Center.
Si es necesario, selecciona tu Google Cloud proyecto, carpeta o organización.
Puedes usar las siguientes secciones para identificar y priorizar tus investigaciones de amenazas:
- Nuevas amenazas a lo largo del tiempo: Muestra los eventos potencialmente dañinos en tus recursos durante el período que especifiques. El período predeterminado es de siete días. Para cambiar el período especificado, usa el campo Período. Este panel te ayuda a identificar aumentos repentinos en la actividad de amenazas.
- Amenazas principales: Muestra la siguiente información para ayudarte a identificar problemas críticos:
- Amenazas por gravedad: Muestra la cantidad de hallazgos de amenazas en cada nivel de gravedad (por ejemplo,
CRITICAL,HIGH,MEDIUMoLOW). Si seleccionas un nivel de gravedad, se filtrarán los hallazgos para que puedas concentrarte primero en los riesgos de mayor prioridad. - Amenazas por categoría: Muestra la cantidad de hallazgos clasificados por tipos de amenazas específicos en todos los proyectos.
- Amenazas por proyecto: Muestra la cantidad de hallazgos para cada proyecto en tu organización. Esto es útil para identificar los proyectos que experimentan la mayor actividad de amenazas.
- Amenazas por gravedad: Muestra la cantidad de hallazgos de amenazas en cada nivel de gravedad (por ejemplo,
Si haces clic en los elementos de datos dentro de estos paneles, se aplicarán los filtros pertinentes y se te redireccionará a la página Descubrimientos, en la que podrás seguir investigando en detalle los descubrimientos de amenazas específicos.
Identifica los riesgos relacionados
Para ayudarte a comprender el contexto de una amenaza y evitar que se repita, revisa y responde a los hallazgos relacionados con vulnerabilidades y parámetros de configuración incorrectos. Estos hallazgos pueden indicar deficiencias de seguridad que permitieron que se produjera la amenaza o que podrían explotarse en el futuro.
Para ubicar los hallazgos relacionados de vulnerabilidades y parámetros de configuración incorrectos, sigue estos pasos:
Ubica el atributo del hallazgo
En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
Revisa el hallazgo de amenaza y copia el valor de un atributo que probablemente aparezca en cualquier hallazgo de vulnerabilidad o configuración incorrecta relacionada, como la dirección de correo electrónico principal o el nombre del recurso afectado.
Crea el filtro de hallazgos
- En la página Resultados, abre el Editor de consultas haciendo clic en Editar consulta.
- Haga clic en Agregar filtro. Se abrirá el menú Seleccionar filtro.
En la lista de categorías de filtros que se encuentra en el lado izquierdo del menú, selecciona la categoría que contiene el atributo que anotaste en el hallazgo de amenazas.
Por ejemplo, si anotaste el nombre completo del recurso afectado, selecciona Recurso. Los tipos de atributos de la categoría Resource se muestran en la columna de la derecha, incluido el atributo Full name.
En los atributos que se muestran, selecciona el tipo de atributo que observaste en el hallazgo de amenazas. Se abrirá un panel de búsqueda de valores de atributos a la derecha y se mostrarán todos los valores encontrados del tipo de atributo seleccionado.
En el campo Filtro, pega el valor del atributo que copiaste del hallazgo de amenazas. La lista de valores que se muestra se actualiza para mostrar solo los valores que coinciden con el valor pegado.
En la lista de valores que se muestran, selecciona uno o más valores y haz clic en Aplicar. El panel Resultados de la búsqueda se actualiza para mostrar solo los hallazgos coincidentes.
Cómo definir mejor los resultados por clase de hallazgo
Si aparece una gran cantidad de hallazgos en los resultados, selecciona filtros adicionales en el panel Filtros rápidos para filtrarlos.
Por ejemplo, para mostrar solo los hallazgos de las clases Vulnerability y Misconfiguration que contienen los valores de atributo seleccionados, ve a la sección Clase del hallazgo del panel Filtros rápidos y selecciona Vulnerabilidad y Parámetro de configuración incorrecto.
Responde a la amenaza
Después de revisar el hallazgo, consultar la guía de investigación e identificar los riesgos relacionados, debes responder a la amenaza y administrar el ciclo de vida del hallazgo en Security Command Center.
Enfoque para la corrección de la detección de amenazas
A diferencia de los resultados de vulnerabilidades y errores de configuración, Security Command Center no proporciona orientación oficial para la corrección de los resultados de amenazas. No se garantiza que la orientación informal que proporciona Security Command Center sea efectiva contra cualquier amenaza anterior, actual o futura.
Los errores de configuración y las infracciones de cumplimiento identifican debilidades en los recursos que podrían aprovecharse. Por lo general, los errores de configuración tienen correcciones conocidas, como habilitar un firewall o rotar una clave de encriptación.
Las amenazas se diferencian de las vulnerabilidades porque son dinámicas y señalan un posible ataque activo a uno o más recursos. Es posible que una recomendación de solución no sea efectiva para proteger tus recursos porque es posible que no se conozcan los métodos exactos usados para lograr la vulnerabilidad.
Por ejemplo, un hallazgo de Added Binary Executed indica que se inició un objeto binario no autorizado en un contenedor. Una recomendación básica de solución podría recomendarte poner en cuarentena el contenedor y borrar el objeto binario, pero eso podría no resolver la causa raíz subyacente que permitió que el atacante acceda a ejecutar el objeto binario. Debes averiguar cómo se dañó la imagen del contenedor para corregir la vulnerabilidad. Para determinar si el archivo se agregó a través de un puerto mal configurado o mediante otros medios, se requiere una investigación exhaustiva. Es posible que un analista con conocimiento de nivel experto sobre tu sistema deba revisarlo para detectar debilidades.
Las personas que actúan de mala fe atacan recursos mediante técnicas diferentes, por lo que aplicar una solución para un ataque específico podría no ser eficaz en comparación con las variaciones de ese ataque. Por ejemplo, en respuesta a un hallazgo de Brute Force: SSH, puedes reducir los niveles de permiso para algunas cuentas de usuario a fin de limitar el acceso a los recursos. Sin embargo, las contraseñas poco seguras aún pueden proporcionar una ruta de acceso de ataque.
La variedad de vectores de ataque dificulta la tarea de proporcionar pasos de solución que funcionen en todas las situaciones. La función de Security Command Center en tu plan de seguridad en la nube sirve para identificar los recursos afectados casi en tiempo real, informarte a qué amenazas te enfrentas, y proporcionar evidencia y contexto para ayudarte con las investigaciones. Sin embargo, el personal de seguridad debe usar la información exhaustiva en los hallazgos de Security Command Center para determinar las mejores formas de solucionar problemas y proteger los recursos frente a ataques futuros.
Cómo desactivar o silenciar un hallazgo
Después de resolver un problema que activó un hallazgo de amenaza, Security Command Center no establece automáticamente el estado del hallazgo en INACTIVE. El estado de un hallazgo de amenazas permanece como ACTIVE, a menos que cambies manualmente el estado del hallazgo a INACTIVE.
En el caso de un falso positivo, considera dejar el estado del hallazgo como ACTIVE y, en su lugar, silencia el hallazgo.
Para los falsos positivos persistentes o recurrentes, crea una regla de silencio. Establecer una regla de silencio puede reducir la cantidad de hallazgos que debes administrar, lo que facilita la identificación de una amenaza real cuando se produce.
En el caso de una amenaza real, antes de establecer el estado del hallazgo en INACTIVE, elimina la amenaza y completa una investigación exhaustiva de la amenaza detectada, el alcance de la intrusión y cualquier otro hallazgo y problema relacionados.
¿Qué sigue?
- Detección de amenazas en Security Command Center
- Índice de hallazgos de amenazas
- Amenazas correlacionadas (versión preliminar)