En este documento, se describen las funciones de Security Command Center que te ayudan a detectar y a investigar amenazas en tu entorno de nube.
Descripción general de la arquitectura
Security Command Center proporciona detección de amenazas a través de un enfoque de varias capas para abordar las brechas de seguridad en tu entorno. Los detectores basados en registros, sin agentes y de tiempo de ejecución supervisan tus recursos de la nube y detectan actividades potencialmente maliciosas casi en tiempo real. Estos detectores informan estos incidentes como hallazgos con niveles de gravedad asignados.
Security Command Center proporciona los hallazgos de amenazas en una plataforma central junto con otros hallazgos de seguridad para brindarte una vista de alto nivel de tu postura de seguridad general. Para ayudarte a priorizar los hallazgos, Security Command Center agrupa las amenazas estrechamente relacionadas en problemas de amenazas correlacionadas.
En el siguiente diagrama, se ilustra el proceso de detección de amenazas de Security Command Center.
Capas de detección de amenazas
Security Command Center organiza la detección de amenazas en tres capas principales para ayudar a abordar las brechas en tu postura de seguridad: detección basada en registros, detección sin agentes, y detección de tiempo de ejecución.
Detección basada en registros
Security Command Center puede supervisar y analizar continuamente las transmisiones de registros de tu organización o proyectos para identificar patrones sospechosos, indicadores de compromiso (IoC) conocidos y acciones sensibles.
Event Threat Detection y el Servicio de acciones sensibles proporcionan detección basada en registros.
Detección de amenazas basada en registros
Event Threat Detection puede detectar ataques en varias Google Cloud categorías de servicios y recursos, incluidos ataques basados en la identidad y el uso no autorizado del servicio. Event Threat Detection supervisa lo siguiente:
La transmisión de Cloud Logging para tu organización y proyectos, como las entradas de llamadas a la API y acciones que crean, leen o modifican la configuración o los metadatos de los recursos. Algunos ejemplos son los siguientes:
- Registros de auditoría de Cloud (registros de actividad del administrador, acceso a los datos y eventos del sistema)
- Registros de flujo de VPC
- Registros de Cloud DNS
- Fuentes de registros fundamentales
Registros de auditoría de Google Workspace, que hacen un seguimiento de los accesos de los usuarios a tu dominio y las acciones realizadas en la Consola del administrador de Google Workspace.
Es posible que debas habilitar la recopilación de registros específicos si tu organización lo requiere. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Detección de acciones sensibles basada en registros
El Servicio de acciones sensibles supervisa los registros de auditoría de actividad del administrador para detectar acciones sensibles que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso. Para obtener una lista completa de los detectores del Servicio de acciones sensibles, consulta Hallazgos del Servicio de acciones sensibles.
Detección sin agentes
La detección sin agentes analiza tus máquinas virtuales de Compute Engine desde el hipervisor para identificar aplicaciones maliciosas que se ejecutan en tus instancias de máquina virtual (VM), como herramientas de minería de criptomonedas y rootkits en modo kernel.
La detección sin agentes funciona desde fuera de la instancia de VM invitada y no requiere agentes invitados, configuraciones especiales del SO invitado ni conectividad de red dentro del invitado. No necesitas instalar, administrar ni actualizar software en una flota de VMs. Debido a que la detección sin agentes funciona fuera de la instancia de VM, permanece indetectable para el software malicioso que reside dentro de la VM y no consume ciclos de CPU ni memoria.
Virtual Machine Threat Detection proporciona detección sin agentes. Para obtener una lista completa de los detectores de Virtual Machine Threat Detection, consulta Hallazgos de Virtual Machine Threat Detection.
Detección del tiempo de ejecución
La detección del tiempo de ejecución aborda las amenazas que surgen después de la implementación en entornos dinámicos. Supervisa y evalúa continuamente la actividad, los cambios y los intentos de acceso remoto dentro de los contenedores en ejecución y las aplicaciones sin servidores para identificar ataques comunes del tiempo de ejecución. Algunos ejemplos de estos ataques incluyen shells inversas, escapes de contenedores y la ejecución de programas maliciosos.
Los siguientes servicios proporcionan detección del tiempo de ejecución:
- Container Threat Detection usa instrumentación a nivel del kernel para recopilar y evaluar el comportamiento en el kernel invitado de los nodos de GKE.
- Cloud Run Threat Detection supervisa los recursos compatibles de Cloud Run.
- Agent Platform Threat Detection (versión preliminar) supervisa las cargas de trabajo de agente que se implementan en Agent Runtime.
Matriz de detección y categoría de recursos
En la siguiente tabla, se muestran las categorías de recursos que Security Command Center puede supervisar, ejemplos de detecciones y las capas de detección disponibles.
| Categoría de recursos | Ejemplos de amenazas detectadas | Capas de detección |
|---|---|---|
| IA | Robo de datos iniciado por el agente, secuencia de comandos maliciosa ejecutada en una carga de trabajo de agente | Tiempo de ejecución, basada en registros |
| Amazon EC2 | Archivo malicioso en el disco | Sin agentes |
| Backup and DR | Borrado no autorizado de copias de seguridad y hosts de DR | Basada en registros |
| BigQuery | Robo de datos | Basada en registros |
| Cloud Run | Shells inversas, ejecución de herramientas de reconocimiento, uso de comandos de criptominería | Tiempo de ejecución, basada en registros |
| Cloud Storage | Modificaciones en la configuración del filtrado de IP para un bucket | Basada en registros |
| Compute Engine | Criptominería, rootkits en modo kernel, persistencia modificada del disco de arranque | Sin agentes, basada en registros |
| Base de datos | Robo de datos, modificaciones de superusuario en las tablas de usuarios | Basada en registros |
| Google Kubernetes Engine | Ejecución de objetos binarios maliciosos, escape del contenedor, lanzamiento de contenedores con privilegios | Tiempo de ejecución, basada en registros |
| Google Workspace | Filtraciones de contraseñas, patrones de acceso sospechosos | Basada en registros |
| Identity and Access Management | Otorgamiento de roles anómalos, cambios sensibles en las políticas, acceso desde Tor | Basada en registros |
| Red | Consultas de DNS de software malicioso, conexiones a direcciones IP de criptominería conocidas | Basada en registros |
Fuentes de inteligencia contra amenazas
Security Command Center usa la inteligencia contra amenazas de Google Threat Intelligence: un conjunto de inteligencia de alta fidelidad que recopila miles de millones de indicadores de los productos y servicios globales de Google. Google Threat Intelligence identifica indicadores maliciosos conocidos, como firmas maliciosas, hashes de archivos y direcciones, y ofrece los siguientes beneficios:
- Fidelidad y precisión: Minimiza los falsos positivos enfocándose en las amenazas activas y verificadas.
- Mejora continua: Usa inteligencia de primera línea de investigaciones de respuesta ante incidentes del mundo real, telemetría global, inteligencia interna y contexto de participación colectiva sobre archivos, URLs y dominios potencialmente maliciosos para mejorar continuamente la cobertura. Para mejorar la recopilación de inteligencia, también usa varias técnicas, como sistemas señuelo (también conocidos como honeypots).
Priorización de amenazas
Para ayudarte a identificar las amenazas más críticas que requieren atención inmediata, Security Command Center asigna un nivel de gravedad a cada hallazgo.
Además, la función de amenazas correlacionadas consolida varios hallazgos relacionados en un solo problema para proporcionar detecciones de mayor confianza de la actividad posterior a la explotación. La función de amenazas correlacionadas también visualiza la cadena de ataque y muestra cómo se conectan los eventos para formar una historia de ataque completa. Esta cadena de ataque te ayuda a anticipar los movimientos del adversario, identificar los activos vulnerados, destacar las amenazas críticas, obtener recomendaciones claras de respuesta y acelerar tu respuesta.
Servicios integrados de detección de amenazas
En esta sección, se proporciona un resumen de los servicios de detección integrados en Security Command Center. Estos servicios usan diferentes técnicas de análisis y operan en diferentes capas para detectar amenazas en tu entorno de nube.
Agent Platform Threat Detection (versión preliminar) supervisa el estado de los agentes de IA que se implementan en Agent Runtime para detectar ataques comunes del tiempo de ejecución. Disponible para los niveles de servicio Premium y Enterprise.
La detección de anomalías usa indicadores de comportamiento desde fuera del sistema para detectar anomalías de seguridad en tus cuentas de servicio, como posibles credenciales filtradas. Disponible para los niveles de servicio Standard-legacy, Standard, Premium y Enterprise.
Cloud Run Threat Detection supervisa el estado de los recursos compatibles de Cloud Run para detectar ataques comunes del tiempo de ejecución. Disponible para los niveles de servicio Premium y Enterprise.
Container Threat Detection genera hallazgos mediante la recopilación y el análisis del comportamiento observado de bajo nivel en el kernel invitado de los contenedores. Disponible para los niveles de servicio Premium y Enterprise.
Event Threat Detection produce hallazgos de seguridad mediante la coincidencia de eventos en las transmisiones de registros de Cloud Logging con indicadores de compromiso (IoC) conocidos, la identificación de técnicas adversas conocidas y la detección de anomalías de comportamiento. Disponible para los niveles de servicio Premium y Enterprise.
El Servicio de acciones sensibles detecta cuándo se ejecutan acciones en tu Google Cloud organización, carpetas y proyectos que podrían ser perjudiciales para tu empresa si las ejecuta un agente malicioso. Disponible para los niveles de servicio Standard-legacy, Standard, Premium y Enterprise.
Virtual Machine Threat Detection analiza proyectos de Compute Engine y las instancias de VM para detectar aplicaciones potencialmente maliciosas que se ejecutan en VMs, como software de minería de criptomonedas y rootkits en modo kernel. Disponible para los niveles de servicio Premium y Enterprise.
Estos servicios de detección generan hallazgos en Security Command Center. Para los niveles de servicio Premium y Enterprise (requiere activación a nivel de la organización), también puedes configurar exportaciones continuas a Cloud Logging.
Habilita la detección de amenazas
Para los niveles de servicio Premium y Enterprise, muchos servicios de detección de amenazas están habilitados de forma predeterminada. Para habilitar o inhabilitar un servicio integrado, consulta Configura los servicios de Security Command Center services.
Es posible que debas habilitar la recopilación de registros específicos si tu organización lo requiere. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Trabaja con los servicios de detección de amenazas
Para trabajar con los servicios integrados de detección de amenazas, consulta lo siguiente:
- Usa Agent Platform Threat Detection
- Usa Cloud Run Threat Detection
- Usa Container Threat Detection
- Usa Event Threat Detection
- Usa el Servicio de acciones sensibles
- Usa Virtual Machine Threat Detection
Envía comentarios
Para enviar comentarios sobre las funciones de detección de amenazas de Security Command Center, consulta Envía comentarios a través de la Google Cloud consola.
¿Qué sigue?
- Revisa la lista completa de todos los tipos de hallazgos de amenazas.
- Investiga un hallazgo de amenazas y responde a él.