Usa Event Threat Detection

En esta página, se muestra cómo revisar los resultados de Event Threat Detection en la consola de Google Cloud y se incluyen ejemplos de los resultados de Event Threat Detection.

Event Threat Detection es un servicio integrado que supervisa las transmisiones de registros de Cloud Logging de tu organización o proyectos y detecta amenazas casi en tiempo real. Si activas Security Command Center a nivel de la organización, Event Threat Detection también puede supervisar las transmisiones de registros de Google Workspace de tu organización. Para obtener más información, consulta Descripción general de Event Threat Detection.

Habilita o inhabilita la Detección de eventos de amenazas

De forma predeterminada, Event Threat Detection está habilitado. Para obtener información general sobre cómo habilitar o inhabilitar un servicio integrado o sus módulos, consulta Configura los servicios de Security Command Center.

Revisa los resultados

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios del Security Command Center. Después de habilitar Event Threat Detection, este servicio genera hallazgos a partir del análisis de registros específicos. Algunos de los registros que Event Threat Detection puede analizar están desactivados de forma predeterminada, por lo que es posible que debas activarlos.

Para obtener más información sobre las reglas de detección integradas que usa Event Threat Detection y los registros que analiza, consulta los siguientes temas:

Puedes ver los hallazgos de Event Threat Detection en Security Command Center. Si configuraste las exportaciones continuas para escribir registros, también puedes ver los resultados en Cloud Logging. Las exportaciones continuas a Cloud Logging solo están disponibles cuando activas Security Command Center a nivel de la organización. Para generar un resultado y verificar la configuración, puedes activar de forma intencional un detector y probar Event Threat Detection.

La activación de Event Threat Detection se produce en segundos. Las latencias de detección suelen ser inferiores a 15 minutos desde el momento en que se escribe un registro cuando un resultado está disponible en Security Command Center. Para obtener más información sobre la latencia, consulta Descripción general de la latencia de Security Command Center.

Revisa resultados en Security Command Center

Los roles de IAM para Security Command Center se pueden otorgar a nivel de organización, carpeta o proyecto. Tu capacidad para ver, editar, crear o actualizar hallazgos, recursos y fuentes de seguridad depende del nivel al que se te otorga acceso. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.

Sigue este procedimiento para revisar los resultados en la consola de Google Cloud :

  1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Si es necesario, selecciona tu Google Cloud organización o proyecto.

  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona una o ambas de las siguientes opciones:

    La tabla se propaga con los resultados de Event Threat Detection.

  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Category. El panel de detalles de resultados se expande para mostrar información que incluye lo siguiente:

    • Cuándo ocurrió el evento
    • La fuente de los datos de los resultados
    • La gravedad de la detección, por ejemplo Alta
    • Las acciones realizadas, como agregar una función de administración de identidades y accesos (IAM) a un usuario de Gmail
    • El usuario que realizó la acción, que se encuentra junto a Correo electrónico principal

  5. Para mostrar todos los resultados que generaron las mismas acciones del usuario, haz lo siguiente:

    1. En el panel de detalles del hallazgo, copia la dirección de correo electrónico junto a Correo electrónico principal.
    2. Cerrar el panel

    3. En el editor de consultas, ingresa la siguiente consulta:

      access.principal_email="USER_EMAIL"

      Reemplaza USER_EMAIL con la dirección de correo electrónico que copiaste antes.

      Security Command Center muestra todos los resultados asociados con las acciones que realizó el usuario que especificaste.

Visualiza los resultados en Cloud Logging

Si configuras las exportaciones continuas para escribir registros, puedes ver los resultados de Event Threat Detection en Cloud Logging. Esta función solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

Para ver los resultados de Event Threat Detection en Cloud Logging, haz lo siguiente:

  1. Ve al Explorador de registros en la consola de Google Cloud .

    Ve al Explorador de registros

  2. Selecciona el proyecto Google Cloud o algún otro recurso Google Cloud en el que almacenes los registros de Event Threat Detection.

  3. Usa el panel Consulta para crear tu consulta de una de las siguientes maneras:

    • En la lista Todos los recursos, haz lo siguiente:
      1. Selecciona Threat Detector para mostrar una lista de todos los detectores.
      2. Para ver los resultados de todos los detectores, selecciona all detection_name. Para ver los resultados de un detector específico, selecciona su nombre.
      3. Haz clic en Aplicar. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

    • Ingresa la siguiente consulta en el editor de consultas y haz clic en Ejecutar consulta:

      resource.type="threat_detector"

      La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

  4. Para ver un registro, selecciona una fila de la tabla y, luego, haz clic en Expandir campos anidados.

Puedes crear consultas de registros avanzadas para especificar un conjunto de entradas de cualquier cantidad de registros.

Ejemplos de formatos de resultados

En esta sección, se proporcionan vínculos a ejemplos de salida JSON para los resultados de Event Threat Detection. Verás esta salida cuando exportes resultados con laGoogle Cloud consola o enumeres resultados con la API de Security Command Center o Google Cloud CLI.

En los ejemplos de esta página, se muestran diferentes tipos de hallazgos. Cada ejemplo incluye solo los campos más relevantes para ese tipo de hallazgo. Para obtener una lista completa de los campos disponibles en un hallazgo, consulta la documentación de la API de Security Command Center para el recurso Finding.

Para ver hallazgos de ejemplo, selecciona uno de los siguientes vínculos.

Hallazgo de amenaza Ejemplo de JSON
Active Scan: Log4j Vulnerable to RCE Ver ejemplo de JSON
Brute force SSH Ver ejemplo de JSON
Cloud IDS: THREAT_IDENTIFIER Ver ejemplo de JSON
Defense Evasion: Breakglass Workload Deployment Created Ver ejemplo de JSON
Defense Evasion: Breakglass Workload Deployment Updated Ver ejemplo de JSON
Defense Evasion: Folder Level TokenCreator Role Granted to AI Agent Ver ejemplo de JSON
Defense Evasion: Modify VPC Service Control Ver ejemplo de JSON
Defense Evasion: Organization Level TokenCreator Role Granted to AI Agent Ver ejemplo de JSON
Defense Evasion: Project Level TokenCreator Role Granted to AI Agent Ver ejemplo de JSON
Discovery: AI Agent Service Account Self-Investigation Ver ejemplo de JSON
Discovery: AI Agent Unauthorized Service Account API Call Ver ejemplo de JSON
Discovery: Can get sensitive Kubernetes object check Ver ejemplo de JSON
Discovery: Service Account Self-Investigation Ver ejemplo de JSON
Evasion: Access from Anonymizing Proxy Ver ejemplo de JSON
Execution: Cryptomining Docker Image Ver ejemplo de JSON
Exfiltration: AI Agent Initiated BigQuery Data Exfiltration to External Table Ver ejemplo de JSON
Exfiltration: AI Agent Initiated BigQuery Data Extraction Ver ejemplo de JSON
Exfiltration: AI Agent Initiated BigQuery VPC Perimeter Violation Ver ejemplo de JSON
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to External Bucket Ver ejemplo de JSON
Exfiltration: AI Agent Initiated CloudSQL Exfiltration to Public Bucket Ver ejemplo de JSON
Exfiltration: BigQuery Data Exfiltration Ver ejemplo de JSON
Exfiltration: BigQuery Data Extraction Ver ejemplo de JSON
Exfiltration: BigQuery Data to Google Drive Ver ejemplo de JSON
Exfiltration: Cloud SQL Data Exfiltration Ver ejemplo de JSON
Exfiltration: Cloud SQL Over-Privileged Grant Ver ejemplo de JSON
Exfiltration: Cloud SQL Restore Backup to External Organization Ver ejemplo de JSON
Impact: Cryptomining Commands Ver ejemplo de JSON
Impact: Deleted Google Cloud Backup and DR Backup Ver ejemplo de JSON
Impact: Deleted Google Cloud Backup and DR host Ver ejemplo de JSON
Impact: Deleted Google Cloud Backup and DR plan association Ver ejemplo de JSON
Impact: Deleted Google Cloud Backup and DR Vault Ver ejemplo de JSON
Impact: Google Cloud Backup and DR delete policy Ver ejemplo de JSON
Impact: Google Cloud Backup and DR delete profile Ver ejemplo de JSON
Impact: Google Cloud Backup and DR delete storage pool Ver ejemplo de JSON
Impact: Google Cloud Backup and DR delete template Ver ejemplo de JSON
Impact: Google Cloud Backup and DR expire all images Ver ejemplo de JSON
Impact: Google Cloud Backup and DR expire image Ver ejemplo de JSON
Impact: Google Cloud Backup and DR reduced backup expiration Ver ejemplo de JSON
Impact: Google Cloud Backup and DR reduced backup frequency Ver ejemplo de JSON
Impact: Google Cloud Backup and DR remove appliance Ver ejemplo de JSON
Impact: Google Cloud Backup and DR remove plan Ver ejemplo de JSON
Initial Access: Account Disabled Hijacked Ver ejemplo de JSON
Initial Access: AI Agent Identity Excessive Permission Denied Actions Ver ejemplo de JSON
Initial Access: Database Superuser Writes to User Tables Ver ejemplo de JSON
Initial Access: Disabled Password Leak Ver ejemplo de JSON
Initial Access: Dormant Service Account Action Ver ejemplo de JSON
Initial Access: Dormant Service Account Activity in AI Service Ver ejemplo de JSON
Initial Access: Dormant Service Account Key Created Ver ejemplo de JSON
Initial Access: Excessive Permission Denied Actions Ver ejemplo de JSON
Initial Access: Government Based Attack Ver ejemplo de JSON
Initial Access: Leaked Service Account Key Used Ver ejemplo de JSON
Initial Access: Log4j Compromise Attempt Ver ejemplo de JSON
Initial Access: Suspicious Login Blocked Ver ejemplo de JSON
Lateral Movement: Modified Boot Disk Attached to Instance Ver ejemplo de JSON
Malware: bad domain Ver ejemplo de JSON
Malware: bad IP Ver ejemplo de JSON
Malware: Cryptomining Bad Domain Ver ejemplo de JSON
Malware: Cryptomining Bad IP Ver ejemplo de JSON
Persistence: GCE Admin Added SSH Key Ver ejemplo de JSON
Persistence: GCE Admin Added Startup Script Ver ejemplo de JSON
Persistence: IAM Anomalous Grant Ver ejemplo de JSON
Persistence: New AI API Method Ver ejemplo de JSON
Persistence: New API Method Ver ejemplo de JSON
Persistence: New Geography Ver ejemplo de JSON
Persistence: New Geography for AI Service Ver ejemplo de JSON
Persistence: New User Agent Ver ejemplo de JSON
Persistence: Sensitive Role Granted by AI Agent Ver ejemplo de JSON
Persistence: Sensitive Role Granted to External AI Agent Ver ejemplo de JSON
Persistence: SSO Enablement Toggle Ver ejemplo de JSON
Persistence: SSO Settings Changed Ver ejemplo de JSON
Persistence: Strong Authentication Disabled Ver ejemplo de JSON
Persistence: Two Step Verification Disabled Ver ejemplo de JSON
Privilege Escalation: AI Agent Cross-Project Access Token Generation Ver ejemplo de JSON
Privilege Escalation: AI Agent Cross-Project OpenID Token Generation Ver ejemplo de JSON
Privilege Escalation: AI Agent Token Generation Using Implicit Delegation Ver ejemplo de JSON
Privilege Escalation: AI Agent Token Generation Using signJwt Ver ejemplo de JSON
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables Ver ejemplo de JSON
Privilege Escalation: AlloyDB Over-Privileged Grant Ver ejemplo de JSON
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity Ver ejemplo de JSON
Privilege Escalation: Anomalous Impersonation of Service Account for AI Admin Activity Ver ejemplo de JSON
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity Ver ejemplo de JSON
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Admin Activity Ver ejemplo de JSON
Privilege Escalation: Anomalous Multistep Service Account Delegation for AI Data Access Ver ejemplo de JSON
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access Ver ejemplo de JSON
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity Ver ejemplo de JSON
Privilege Escalation: Anomalous Service Account Impersonator for AI Admin Activity Ver ejemplo de JSON
Privilege Escalation: Anomalous Service Account Impersonator for AI Data Access Ver ejemplo de JSON
Privilege Escalation: Anomalous Service Account Impersonator for Data Access Ver ejemplo de JSON
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects Ver ejemplo de JSON
Privilege Escalation: Create Kubernetes CSR for master cert Ver ejemplo de JSON
Privilege Escalation: Creation of sensitive Kubernetes bindings Ver ejemplo de JSON
Privilege Escalation: Default Compute Engine Service Account SetIAMPolicy Ver ejemplo de JSON
Privilege Escalation: Dormant Service Account Granted Sensitive Role Ver ejemplo de JSON
Privilege Escalation: External Member Added To Privileged Group Ver ejemplo de JSON
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials Ver ejemplo de JSON
Privilege Escalation: Impersonation Role Granted For Dormant Service Account Ver ejemplo de JSON
Privilege Escalation: Launch of privileged Kubernetes container Ver ejemplo de JSON
Privilege Escalation: Privileged Group Opened To Public Ver ejemplo de JSON
Privilege Escalation: Sensitive Role Granted To Hybrid Group Ver ejemplo de JSON

¿Qué sigue?