Evasión: Acceso desde un proxy de anonimización

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

El acceso anómalo a partir de un proxy anónimo se detecta con el análisis de los Registros de auditoría de Cloud para las modificaciones del servicio de Google Cloud que se originaron en una dirección IP asociada con la red Tor.

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Evasion: Access from Anonymizing Proxy, como se indica en Revisa los hallazgos. Se abrirá el panel de detalles del hallazgo, en el que se mostrará la pestaña Resumen.

2. En la pestaña Resumen del panel de detalles del hallazgo, revisa los valores que se indican en las siguientes secciones:

   • Qué se detectó, en especial, los campos siguientes:
     • Correo electrónico principal: Se refiere a la cuenta que realizó los cambios (una cuenta potencialmente hackeada).
     • IP: Se refiere a la dirección IP del proxy desde la que se realizan los cambios.
   • Recurso afectado
   • Vínculos relacionados, en especial los campos siguientes:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.

3. De manera opcional, haz clic en la pestaña JSON para consultar los campos de hallazgos adicionales.

Paso 2: Investiga los métodos de ataque y respuesta

1. Revisa la entrada del framework de MITRE ATT&CK de este tipo de hallazgo: Proxy: Proxy de salto múltiple.
2. Comunícate con el propietario de la cuenta en el campo principalEmail. Confirma si el propietario legítimo realizó la acción.
3. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

• Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de hallazgos de amenazas.
• Aprende a revisar un hallazgo con la consola de Google Cloud .
• Obtén información sobre los servicios que generan hallazgos de amenazas.