Información general sobre las amenazas correlacionadas

Enterprise

La función Amenazas correlacionadas de Security Command Center te ayuda a descubrir amenazas activas críticas en tu entorno. Correlated Threats genera un conjunto de resultados de amenazas relacionadas y proporciona explicaciones detalladas sobre estos resultados, que puedes usar para priorizar, comprender y responder a estas amenazas.

Los equipos de seguridad suelen sufrir fatiga por alertas debido a la gestión de un número abrumador de detecciones de amenazas. Esta situación puede provocar que no se reciban las respuestas o que se reciban con retraso. Estos equipos necesitan información priorizada y relevante rápidamente para identificar la actividad posterior a la explotación.

Las amenazas correlacionadas ayudan a agregar varias detecciones de amenazas relacionadas en un problema. Esta agregación ayuda a proporcionar detecciones más fiables que puedes usar. Amenazas correlacionadas genera un problema, que representa una serie de actividades maliciosas relacionadas.

Esta función ofrece varias ventajas:

• Reduce la fatiga por alertas consolidando numerosos resultados en problemas críticos.
• Mejora la fidelidad de la detección combinando varias señales, lo que ayuda a aumentar la confianza en la detección de actividades maliciosas.
• Ofrece una visualización de la cadena de ataque, que muestra cómo se conectan los eventos para formar una historia de ataque completa. Este enfoque te ayuda a anticipar los movimientos de los adversarios e identificar rápidamente los recursos vulnerados.
• Destaca las amenazas críticas y ofrece recomendaciones claras para ayudarte a priorizar y acelerar tu respuesta.

Cómo funciona Correlated Threats

La función Amenazas correlacionadas usa un motor de reglas para identificar y agrupar resultados de seguridad relacionados.

El motor de reglas consulta el gráfico de seguridad con consultas de amenazas correlacionadas predefinidas. A continuación, el buscador traduce los resultados de estas consultas en incidencias. Security Command Center gestiona el ciclo de vida de estos problemas de amenazas. Un problema permanece activo durante 14 días después de la primera detección de amenazas si no lo silencias o lo marcas como inactivo. Este periodo se define automáticamente y no se puede configurar. Las amenazas correlacionadas se resuelven automáticamente si se eliminan los recursos subyacentes, como las máquinas virtuales o los nodos de Google Kubernetes Engine.

Las amenazas correlacionadas requieren ejecuciones de reglas más frecuentes que otras reglas del gráfico de seguridad. El sistema procesa las reglas de amenazas cada hora. Este enfoque se integra con las fuentes de detección de Security Command Center.

Reglas de amenazas correlacionadas

Las amenazas correlacionadas ayudan a identificar varios patrones de ataque de varias fases en los recursos de la nube. Están disponibles las siguientes reglas de amenazas correlacionadas:

• Múltiples señales de amenaza correlacionadas de software de minería de criptomonedas: esta regla busca múltiples señales distintas de software malicioso procedentes de Google Cloud máquinas virtuales, incluidas las máquinas virtuales de Compute Engine y los nodos de Google Kubernetes Engine (GKE) (y sus pods).

  A continuación se incluyen algunos ejemplos:

  • VM Threat Detection detecta un programa de criptomoneda y Event Threat Detection detecta conexiones a direcciones IP o dominios de criptomonedas desde la misma VM.
  • Container Threat Detection detecta un programa que usa el protocolo stratum de minería de criptomonedas y Event Threat Detection detecta una conexión a una dirección IP de minería de criptomonedas desde el mismo nodo de Google Kubernetes Engine.

• Varias señales de amenaza correlacionadas de software malicioso: esta regla busca varias señales distintas de software malicioso procedentes deGoogle Cloud máquinas virtuales, incluidas las de Compute Engine y los nodos de GKE (y sus pods).

  A continuación se incluyen algunos ejemplos:

  • Container Threat Detection detecta la ejecución de un archivo binario malicioso y de una secuencia de comandos de Python maliciosa en el mismo pod.
  • Event Threat Detection detecta una conexión a una dirección IP de malware y VM Threat Detection detecta malware en el disco de la misma VM.

• Movimiento lateral de una cuenta de GCP potencialmente vulnerada a una instancia de GCE vulnerada: esta regla busca indicios de llamadas sospechosas a APIs de Compute Engine que modifican una VM (incluidos los nodos de GKE). A continuación, la regla relaciona esa actividad con la actividad maliciosa que se origina en la máquina virtual en un breve periodo. Los atacantes usan este patrón de movimiento lateral común. Esta regla puede indicar que la VM está en peligro. Esta regla también puede indicar que la cuenta de Google Cloud(ya sea de usuario o de servicio) puede ser la causa de la actividad maliciosa.

  A continuación se incluyen algunos ejemplos:

  • Event Threat Detection detecta que un usuario ha añadido una nueva clave SSH a una instancia de Compute Engine, y VM Threat Detection detecta un minero de criptomonedas que se ejecuta en la misma instancia.
  • Event Threat Detection detecta que una cuenta de servicio ha accedido a una instancia mediante la API de Compute Engine desde la red Tor y que se han detectado conexiones a una dirección IP maliciosa desde la misma instancia.

Investigar amenazas correlacionadas

Las amenazas correlacionadas te guían a través de un proceso de investigación estructurado. Este proceso te ayuda a entender los incidentes de seguridad y a responder a ellos de forma eficaz. Puedes usar el índice de detecciones de amenazas para obtener más información sobre una detección de amenazas específica. En cada página específica de un resultado se describe cómo investigar y responder a la amenaza.

Recepción

Recibes un problema de amenazas correlacionadas a través de Security Command Center. Este problema indica que el sistema ha detectado y agrupado varias detecciones sospechosas. Reconoces que este problema tiene una prioridad alta porque se ha marcado como una amenaza activa. La correlación de varias señales indica un verdadero positivo que requiere atención inmediata. Para obtener más información, consulta Gestionar y solucionar problemas.

Deconstrucción

Abre el problema para ver sus partes. En la vista de detalles del problema, puedes desplegar una sección para ver los resultados concretos. Por ejemplo, si se ejecuta una secuencia de comandos dañina en un nodo de GKE y, a continuación, se conecta a una dirección IP maliciosa, ambos eventos aparecerán juntos. Consulta los detalles de cada resultado, como cuándo se produjo, qué procesos se vieron implicados, las direcciones IP maliciosas y de dónde procedía la detección. Esta información indica que los eventos están relacionados y explica los detalles técnicos del ataque. Una vista cronológica muestra la secuencia de eventos. El sistema asigna estos detalles a las fases de la cadena de ataque de MITRE ATT&CK y los muestra en una visualización de la cadena de ataque. Esta función te proporciona contexto inmediato sobre la fase de ataque.

Identificación de permisos

Determina el alcance de la amenaza. Consulta información contextual sobre los eventos correlacionados, como el recurso afectado y su contexto de proyecto o clúster. La plataforma correlaciona los problemas por recurso mediante identificadores únicos para vincular eventos al mismo nodo. Se muestra el recurso afectado. Verifica si otros recursos muestran signos similares. Anota las identidades implicadas, como la cuenta de servicio o el usuario que ejecutó la secuencia de comandos maliciosa. Esta vista acotada te ayuda a centrarte en los sistemas afectados y confirma si el incidente es localizado o generalizado.

Próximas acciones

El sistema marca los problemas de amenazas correlacionadas con una gravedad crítica. Puedes encontrar las acciones recomendadas en las vistas Cómo corregir. Contén el recurso afectado. Por ejemplo, aísla o cierra el nodo de GKE afectado. Sigue las recomendaciones, como bloquear la IP maliciosa conocida a nivel de cortafuegos o de VPC en la nube. Las acciones recomendadas te ayudan a responder más rápido, contener el incidente e iniciar una investigación centrada. Para obtener más información sobre las amenazas, consulta Cómo investigar amenazas.

Siguientes pasos

• Información general sobre Container Threat Detection
• Información general sobre Event Threat Detection
• Información general sobre Virtual Machine Threat Detection
• Consulta cómo gestionar y solucionar problemas.