Impacto: Backup and DR de Google Cloud caduca todas las imágenes

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos cuando identifican una posible amenaza en tus recursos alojados en la nube. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Un agente potencialmente malicioso solicitó borrar todas las imágenes de copias de seguridad asociadas con una aplicación.

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Impact: Google Cloud Backup and DR expire all images, como se indica en Revisa los hallazgos. Se abrirá el panel de detalles del hallazgo en la pestaña Resumen.
2. En la pestaña Resumen, revisa la información de las secciones siguientes:
   • Qué se detectó, en especial, los campos siguientes:
     • Nombre de la política: Es el nombre de una sola política, la cual define la frecuencia, el cronograma y el tiempo de retención de la copia de seguridad.
     • Nombre de la plantilla: Es el nombre de un conjunto de políticas que definen la frecuencia, el cronograma y el tiempo de retención de la copia de seguridad.
     • Nombre del perfil: Especifica el destino de almacenamiento de las copias de seguridad de los datos de la aplicación y la VM.
     • Sujeto principal: Es un usuario que ejecutó una acción con éxito.
   • Recurso afectado
     • Nombre visible del recurso: Es el proyecto en el que se borraron las imágenes de copia de seguridad.
   • Vínculos relacionados, en especial, los campos siguientes:
     • Método MITRE ATTACK: Es el vínculo a la documentación de MITRE ATT&CK.
     • URI de Logging: Es un vínculo para abrir el Explorador de registros.

Paso 2: Investiga los métodos de ataque y respuesta

Comunícate con el propietario de la cuenta de servicio en el campo Correo electrónico del principal. Confirma si el propietario legítimo llevó a cabo la acción.

Paso 3: Implementa la respuesta

1. En el proyecto en el que se realizó la acción, accede a la consola de administración.
2. Navega a la pestaña Supervisión y selecciona Trabajos para revisar el estado del trabajo de eliminación de la copia de seguridad.
3. Si no se autoriza un trabajo de eliminación, navega a los permisos de IAM para revisar los usuarios que tienen acceso a los datos de copias de seguridad.

¿Qué sigue?

• Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de hallazgos de amenazas.
• Aprende a revisar un hallazgo con la consola de Google Cloud .
• Obtén información sobre los servicios que generan hallazgos de amenazas.