En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.
Descripción general
Se detectó actividad anómala del administrador por parte de un agente potencialmente malicioso en una organización, una carpeta o un proyecto. La actividad anómala puede ser cualquiera de las siguientes:
- Actividad nueva de una principal en una organización, una carpeta o un proyecto
- Actividad que un principal no ha visto en un tiempo en una organización, una carpeta o un proyecto
Event Threat Detection es la fuente de este hallazgo.
Cómo se debe responder
Para responder a este hallazgo, sigue los pasos que se indican a continuación:
Paso 1: Revisa los detalles del hallazgo
- Abre un hallazgo de
Persistence: New API Methodcomo se indica en Revisa los hallazgos. En los detalles del hallazgo, en la pestaña Resumen, anota los valores de los siguientes campos:
- En Qué se detectó, presta atención a los datos siguientes:
- Correo electrónico principal: Es la cuenta que realizó la llamada.
- Nombre del servicio: Es el nombre de la API del servicio de Google Cloud que se usó en la acción.
- Nombre del método: Es el método al que se llamó.
- En Recurso afectado, se muestra la siguiente información:
- Nombre visible del recurso: Es el nombre del recurso afectado, que podría ser el mismo que el de la organización, la carpeta o el proyecto.
- Ruta de acceso al recurso: Es la ubicación en la jerarquía de recursos donde se llevó a cabo la actividad.
- En Qué se detectó, presta atención a los datos siguientes:
Paso 2: Investiga los métodos de ataque y respuesta
- Revisa las entradas del framework de MITRE ATT&CK para este tipo de hallazgo: Persistencia.
- Investiga si la acción estaba justificada en la organización, la carpeta o el proyecto, y si la realizó el propietario legítimo de la cuenta. La organización, la carpeta o el proyecto se muestran en la fila Ruta de acceso al recurso, y la cuenta se muestra en la fila Correo electrónico principal.
- Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.
Ejemplo de JSON de hallazgo
A continuación, se muestra un ejemplo del JSON del hallazgo.
{ "findings": { "access": { "principalEmail": "PRINCIPAL_EMAIL", "callerIp": "IP_ADDRESS", "callerIpGeo": { "regionCode": "US" }, "serviceName": "SERVICE_NAME", "methodName": "METHOD_NAME", "principalSubject": "PRINCIPAL_SUBJECT", "serviceAccountKeyName": "SERVICE_ACCOUNT_KEY_NAME" }, "assetDisplayName": "ASSET_DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_NUMBER/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: New API Method", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" } ] }, "technical": { "contacts": [ { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2023-01-12T10:35:47.381Z", "database": {}, "eventTime": "2023-01-12T10:35:47.270Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_NUMBER/firstPartyFindingProviders/etd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_NUMBER/sources/SOURCE_ID", "parentDisplayName": "Event Threat Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "severity": "LOW", "sourceDisplayName": "Event Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "RESOURCE_NAME", "display_name": "RESOURCE_DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER", "parent_display_name": "FOLDER_NAME", "type": "RESOURCE_TYPE", "folders": [ { "resourceFolderDisplayName": "FOLDER_NAME", "resourceFolder": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER" } ] }, "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_NUMBER" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "anomalous_behavior", "subRuleName": "new_api_method" }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" } ], "evidence": [ { "sourceLogId": { "projectId": "PROJECT_ID", "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1673519681", "nanos": 728289000 }, "insertId": "INSERT_ID" } } ], "properties": { "newApiMethod": { "newApiMethod": { "serviceName": "SERVICE_NAME", "methodName": "METHOD_NAME" }, "principalEmail": "PRINCIPAL_EMAIL", "callerIp": "IP_ADDRESS", "callerUserAgent": "CALLER_USER_AGENT", "resourceContainer": "projects/PROJECT_NUMBER" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/tactics/TA0003/" } } } }
¿Qué sigue?
- Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de hallazgos de amenazas.
- Aprende a revisar un hallazgo con la consola de Google Cloud .
- Obtén información sobre los servicios que generan hallazgos de amenazas.