Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Descripción general de las amenazas correlacionadas

La función Correlated Threats de Security Command Center te ayuda a descubrir amenazas activas críticas en tu entorno. Correlated Threats genera un conjunto de hallazgos de amenazas relacionados y proporciona explicaciones detalladas sobre estos hallazgos, que luego puedes usar para priorizar, comprender y responder a estas amenazas.

Los equipos de seguridad suelen experimentar fatiga por alertas debido a la administración de una gran cantidad de hallazgos de amenazas. Esta situación puede provocar respuestas perdidas o retrasadas. Estos equipos requieren información priorizada y pertinente rápidamente para identificar la actividad posterior a la explotación.

Correlated Threats ayuda a agregar varios hallazgos de amenazas relacionados en un problema. Esta agregación ayuda a proporcionar detecciones de mayor confianza sobre las que puedes tomar medidas. Correlated Threats genera un problema, que representa una serie de actividades maliciosas relacionadas.

Esta función ofrece varios beneficios:

Reduce la fatiga por alertas mediante la consolidación de numerosos hallazgos en problemas críticos.
Mejora la fidelidad de la detección combinando varias señales, lo que ayuda a aumentar la confianza en la detección de actividades maliciosas.
Proporciona una visualización de la cadena de ataque, que muestra cómo se conectan los eventos para ayudar a formar una historia de ataque completa. Este enfoque te ayuda a anticipar los movimientos del adversario y a identificar rápidamente los recursos vulnerados.
Destaca las amenazas críticas y proporciona recomendaciones claras, lo que te ayuda a priorizar y acelerar tu respuesta.

Cómo funciona Correlated Threats

La función Correlated Threats usa un motor de reglas para identificar y agrupar los hallazgos de seguridad relacionados.

El motor de reglas consulta el gráfico de seguridad con predefinidas consultas de Correlated Threats. Luego, el motor traduce los resultados de estas consultas en problemas. Security Command Center administra el ciclo de vida de estos problemas de amenazas. Un problema permanece activo durante 14 días después del primer hallazgo de amenazas si no lo silencias ni lo marcas como inactivo. Este período se establece automáticamente y no se puede configurar. Correlated Threats se resuelve automáticamente si se borran los recursos subyacentes, como las VMs o los nodos de Google Kubernetes Engine.

Correlated Threats requiere ejecuciones de reglas más frecuentes que otras reglas del gráfico de seguridad. El sistema procesa las reglas de amenazas por hora. Este enfoque se integra con las fuentes de detección existentes de Security Command Center.

Reglas de Correlated Threats

Correlated Threats ayuda a identificar varios patrones de ataque de varias etapas en los recursos de la nube. Las siguientes reglas de Correlated Threats están disponibles:

Multiple correlated threat signals of cryptocurrency mining software: Esta regla busca varias señales distintas de software malicioso que provienen de Google Cloud máquinas virtuales, incluidas las VMs de Compute Engine y los nodos de Google Kubernetes Engine (GKE) (y sus Pods).

Algunos ejemplos son los siguientes:
- VM Threat Detection detecta un programa de criptomonedas y Event Threat Detection detecta conexiones a direcciones IP o dominios de criptomonedas desde la misma VM.
- Container Threat Detection detecta un programa que usa el protocolo de estrato de minería de criptomonedas y Event Threat Detection detecta una conexión a una dirección IP de minería de criptomonedas desde el mismo nodo de Google Kubernetes Engine.
Múltiples señales de amenazas correlacionadas de software malicioso: Esta regla busca varias señales distintas de software malicioso que provienen de Google Cloud máquinas virtuales, incluidas las VMs de Compute Engine y los nodos de GKE (y sus Pods) o el entorno de ejecución del agente.

Algunos ejemplos son los siguientes:
- Container Threat Detection detecta la ejecución de un objeto binario malicioso y una secuencia de comandos de Python maliciosa en el mismo Pod.
- Event Threat Detection detecta una conexión a una dirección IP de software malicioso y VM Threat Detection detecta software malicioso en el disco de la misma VM.
- Agent Platform Threat Detection detecta una URL maliciosa y un shell inverso desde el mismo agente de IA.
Movimiento lateral de cuenta de GCP potencialmente comprometida a recurso de cómputo comprometido: Esta regla busca evidencia de llamadas sospechosas a las APIs de cómputo (Compute Engine o GKE) que modifican una VM o un Pod. Luego, la regla correlaciona esa actividad con la actividad maliciosa que se origina en el recurso de procesamiento en un período breve. Los atacantes suelen usar este patrón de movimiento lateral. Esta regla indica que es probable que la VM o el Pod estén vulnerados. Esta regla también indica que la Google Cloud cuenta (ya sea de usuario o de servicio) puede ser la causa de la actividad maliciosa.

Algunos ejemplos son los siguientes:
- Event Threat Detection detecta que un usuario agregó una nueva clave SSH a una instancia de Compute Engine, y VM Threat Detection detecta un minero de criptomonedas que se ejecuta en la misma instancia.
- Event Threat Detection detecta que una cuenta de servicio accedió a una instancia con la API de Compute Engine desde la red Tor, y Event Threat Detection detecta conexiones a una dirección IP maliciosa desde la misma instancia.
- Event Threat Detection detecta que un usuario creó un contenedor con privilegios y Container Threat Detection detecta que el contenedor accedió a archivos sensibles en el nodo de GKE desde el mismo Pod.

Investiga Correlated Threats

Correlated Threats te guía a través de un proceso de investigación estructurado. Este proceso te ayuda a comprender y responder a los incidentes de seguridad de manera eficaz. Puedes usar el índice de hallazgos de amenazas para encontrar más información sobre un hallazgo de amenazas específico. En cada página específica de hallazgos, se describe cómo investigar y responder a la amenaza.

Recepción

Recibes un problema de Correlated Threats a través de Security Command Center. Este problema indica que el sistema detectó y agrupó varios hallazgos sospechosos. Reconoces este problema como de alta prioridad, ya que está marcado como una amenaza activa. La correlación de varias señales indica un verdadero positivo que justifica un enfoque inmediato. Para obtener más información, consulta Administra y soluciona problemas.

Deconstrucción

Abre el problema para ver sus partes. En la vista de detalles del problema, puedes expandir una sección para ver los hallazgos individuales. Por ejemplo, si se ejecuta una secuencia de comandos dañina en un nodo de GKE y, luego, se conecta a una dirección IP maliciosa, ambos eventos aparecen juntos. Verifica los detalles de cada hallazgo, como cuándo ocurrió, qué procesos estuvieron involucrados, las direcciones IP maliciosas y de dónde provino la detección. Esta información indica que los eventos están potencialmente relacionados y explica los detalles técnicos del ataque. Una vista cronológica muestra la secuencia de eventos. El sistema asigna estos detalles a las etapas de la cadena de ataque de MITRE ATT&CK y los presenta en una visualización de la cadena de ataque. Esta función te brinda contexto inmediato sobre la etapa del ataque.

Identificación del alcance

Determina el alcance de la amenaza. Verifica la información contextual sobre los eventos correlacionados, como el recurso afectado y su contexto de proyecto o clúster. La plataforma correlaciona los problemas por recurso y usa identificadores únicos para vincular eventos al mismo nodo. Esto muestra el recurso afectado. Verifica si otros recursos muestran signos similares. Ten en cuenta las identidades involucradas, como la cuenta de servicio o el usuario que ejecutó la secuencia de comandos maliciosa. Esta vista con alcance te ayuda a enfocarte en los sistemas afectados y confirma si el incidente es localizado o generalizado.

Próximas acciones

El sistema marca los problemas de Correlated Threats con una gravedad crítica. Puedes encontrar las acciones recomendadas en las vistas Cómo solucionar. Contén el recurso afectado, por ejemplo, aísla o apaga el nodo de GKE afectado. Sigue las recomendaciones, como bloquear la IP maliciosa conocida en el firewall o en el nivel de VPC de la nube. Las acciones recomendadas te ayudan a responder más rápido, contener el incidente y comenzar una investigación enfocada. Para obtener más información sobre la investigación de amenazas, consulta Cómo investigar amenazas.