En este documento, se describen las funciones de Security Command Center que te ayudan a detectar e investigar amenazas en tu entorno de nube.
Descripción general de la arquitectura
Security Command Center proporciona detección de amenazas a través de un enfoque de varias capas para abordar las brechas de seguridad en tu entorno. Los detectores basados en registros, sin agentes y de tiempo de ejecución supervisan tus recursos de la nube y detectan actividad potencialmente maliciosa casi en tiempo real. Estos detectores informan estos incidentes como hallazgos con niveles de gravedad asignados.
Security Command Center proporciona los resultados de amenazas en una plataforma central junto con otros resultados de seguridad para brindarte una vista de alto nivel de tu postura de seguridad general. Para ayudarte a clasificar los hallazgos, Security Command Center agrupa las amenazas estrechamente relacionadas en problemas de amenazas correlacionadas.
En el siguiente diagrama, se ilustra el proceso de detección de amenazas de Security Command Center.
Capas de detección de amenazas
Security Command Center organiza la detección de amenazas en tres capas principales para ayudarte a abordar las brechas en tu posición de seguridad: detección basada en registros, detección sin agentes y detección en el tiempo de ejecución.
Detección basada en registros
Security Command Center puede supervisar y analizar de forma continua los flujos de registros de tu organización o tus proyectos para identificar patrones sospechosos, indicadores de compromiso (IoC) conocidos y acciones sensibles.
Event Threat Detection y el Servicio de acciones sensibles proporcionan detección basada en registros.
Detección de amenazas basada en registros
Event Threat Detection puede detectar ataques en varios Google Cloud servicios ycategorías de recursos, incluidos los ataques basados en la identidad y el uso no autorizado de servicios. Event Threat Detection supervisa lo siguiente:
El flujo de Cloud Logging para tu organización y tus proyectos, como las entradas de llamadas a la API y acciones que crean, leen o modifican la configuración o los metadatos de los recursos. Algunos ejemplos son los siguientes:
- Registros de auditoría de Cloud (registros de actividad del administrador, acceso a los datos y eventos del sistema)
- Registros de flujo de VPC
- Registros de Cloud DNS
- Fuentes de registros básicos
Registros de auditoría de Google Workspace, que rastrean los accesos de los usuarios a tu dominio y las acciones realizadas en la Consola del administrador de Google Workspace
Para obtener una lista completa de los detectores de Event Threat Detection y los registros que analizan, consulta las reglas de Event Threat Detection.
Es posible que debas habilitar la recopilación de registros específicos si tu organización lo requiere. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Detección basada en registros de acciones sensibles
El Servicio de acciones sensibles supervisa los registros de auditoría de actividad del administrador para detectar acciones sensibles que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso. Para obtener una lista completa de los detectores del Servicio de acciones sensibles, consulta Hallazgos del Servicio de acciones sensibles.
Detección sin agentes
La detección sin agentes analiza tus máquinas virtuales de Compute Engine desde el hipervisor para identificar aplicaciones maliciosas que se ejecutan en tus instancias de máquina virtual (VM), como herramientas de minería de criptomonedas y rootkits en modo kernel.
La detección sin agentes funciona desde fuera de la instancia de VM invitada y no requiere agentes invitados, configuraciones especiales del SO invitado ni conectividad de red dentro del invitado. No es necesario instalar, administrar ni actualizar software en una flota de VMs. Debido a que la detección sin agentes funciona fuera de la instancia de VM, el software malicioso que reside dentro de la VM no la detecta y no consume ciclos de CPU ni memoria.
Virtual Machine Threat Detection proporciona detección sin agentes. Para obtener una lista completa de los detectores de VM Threat Detection, consulta Hallazgos de Virtual Machine Threat Detection.
Detección del tiempo de ejecución
La detección en el tiempo de ejecución aborda las amenazas que surgen después de la implementación en entornos dinámicos. Supervisa y evalúa de forma continua la actividad, los cambios y los intentos de acceso remoto dentro de los contenedores en ejecución y las aplicaciones sin servidores para identificar ataques comunes del entorno de ejecución. Algunos ejemplos de estos ataques son shells inversos, escapes de contenedores y la ejecución de programas maliciosos.
Los siguientes servicios proporcionan detección en el tiempo de ejecución:
- Container Threat Detection usa instrumentación a nivel del kernel para recopilar y evaluar el comportamiento en el kernel invitado de los nodos de GKE.
- La Detección de amenazas de Cloud Run supervisa los recursos compatibles de Cloud Run.
- Agent Engine Threat Detection (versión preliminar) supervisa las cargas de trabajo de agentes que se implementan en Vertex AI Agent Engine.
Matriz de detección y categoría de recursos
En la siguiente tabla, se muestran las categorías de recursos que Security Command Center puede supervisar, ejemplos de detecciones y las capas de detección disponibles.
| Categoría del recurso | Ejemplo de amenazas detectadas | Capas de detección |
|---|---|---|
| IA | Robo de datos iniciado por el agente, se ejecutó una secuencia de comandos maliciosa en una carga de trabajo de agente | Tiempo de ejecución, basado en registros |
| Amazon EC2 | Archivo malicioso en el disco | Sin agentes |
| Backup and DR | Borrado no autorizado de copias de seguridad y hosts de DR | Basada en registros |
| BigQuery | Robo de datos | Basada en registros |
| Cloud Run | Reverse shells, ejecución de herramientas de reconocimiento, uso de comandos de criptominería | Tiempo de ejecución, basado en registros |
| Cloud Storage | Modificaciones en la configuración del filtro de IP para un bucket | Basada en registros |
| Compute Engine | Criptominería, rootkits en modo kernel, persistencia de disco de arranque modificado | Sin agentes y basado en registros |
| Base de datos | Robo de datos y modificaciones de superusuario en tablas de usuarios | Basada en registros |
| Google Kubernetes Engine | Ejecución de archivos binarios maliciosos, escape de contenedores y lanzamiento de contenedores con privilegios | Tiempo de ejecución, basado en registros |
| Google Workspace | Filtraciones de contraseñas y patrones de acceso sospechosos | Basada en registros |
| Identity and Access Management | Otorgamiento anómalo de roles, cambios sensibles en las políticas y acceso desde Tor | Basada en registros |
| Red | Consultas de DNS de software malicioso y conexiones a direcciones IP de criptominería conocidas | Basada en registros |
Fuentes de inteligencia sobre amenazas
Security Command Center utiliza la inteligencia sobre amenazas de Google Threat Intelligence, un paquete de inteligencia de alta fidelidad que recopila miles de millones de indicadores de los productos y servicios globales de Google. Google Threat Intelligence identifica indicadores maliciosos conocidos, como firmas maliciosas, hashes de archivos y direcciones, y ofrece los siguientes beneficios:
- Fidelidad y precisión: Minimiza los falsos positivos, ya que se enfoca en las amenazas activas y verificadas.
- Mejora continua: Utiliza la inteligencia de primera línea de las investigaciones de respuesta ante incidentes del mundo real, la telemetría global, la inteligencia interna y el contexto de participación colectiva sobre archivos, URLs y dominios potencialmente maliciosos para mejorar continuamente la cobertura. Para mejorar la recopilación de información de inteligencia, también usa varias técnicas, como sistemas señuelo (también conocidos como honeypots).
Priorización de amenazas
Para ayudarte a identificar las amenazas más críticas que requieren atención inmediata, Security Command Center asigna un nivel de gravedad a cada hallazgo.
Además, la función Amenazas correlacionadas consolida varios hallazgos relacionados en un solo problema para proporcionar detecciones con mayor confianza de la actividad posterior al aprovechamiento. La función Correlated Threats también visualiza la cadena de ataque y muestra cómo se conectan los eventos para formar una historia de ataque completa. Esta cadena de ataque te ayuda a anticipar los movimientos del adversario, identificar los recursos comprometidos, destacar las amenazas críticas, obtener recomendaciones claras de respuesta y acelerar tu respuesta.
Servicios de detección de amenazas integrados
En esta sección, se proporciona un resumen de los servicios de detección integrados en Security Command Center. Estos servicios usan diferentes técnicas de análisis y operan en diferentes capas para detectar amenazas en tu entorno de nube.
La Detección de amenazas de Agent Engine (versión preliminar) supervisa el estado de los agentes de IA que se implementan en el entorno de ejecución de Vertex AI Agent Engine para detectar ataques comunes en el entorno de ejecución. Disponible para los niveles de servicio Premium y Enterprise.
La Detección de anomalías usa señales de comportamiento externas a tu sistema para detectar anomalías de seguridad en tus cuentas de servicio, como posibles filtraciones de credenciales. Disponible para los niveles de servicio Standard, Premium y Enterprise.
La detección de amenazas de Cloud Run supervisa el estado de los recursos compatibles de Cloud Run para detectar ataques comunes en el entorno de ejecución. Disponible para los niveles de servicio Premium y Enterprise.
Container Threat Detection genera hallazgos recopilando y analizando el comportamiento observado de bajo nivel en el kernel invitado de los contenedores. Disponible para los niveles de servicio Premium y Enterprise.
Event Threat Detection produce resultados de seguridad al correlacionar eventos en tus transmisiones de registros de Cloud Logging con indicadores de compromiso (IoC) conocidos, identificar técnicas adversarias conocidas y detectar anomalías de comportamiento. Disponible para los niveles de servicio Premium y Enterprise.
El Servicio de acciones sensibles detecta cuándo se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso. Disponible para los niveles de servicio Standard, Premium y Enterprise.
Virtual Machine Threat Detection analiza los proyectos de Compute Engine y las instancias de VM para detectar aplicaciones potencialmente maliciosas que se ejecutan en las VMs, como software de minería de criptomonedas y rootkits en modo kernel. Disponible para los niveles de servicio Premium y Enterprise.
Estos servicios de detección generan resultados en Security Command Center. En el caso de los niveles de servicio Premium y Enterprise (que requieren activación a nivel de la organización), también puedes configurar exportaciones continuas a Cloud Logging.
Habilita la detección de amenazas
En los niveles de servicio Premium y Enterprise, muchos servicios de detección de amenazas están habilitados de forma predeterminada. Para habilitar o inhabilitar un servicio integrado, consulta Configura los servicios de Security Command Center.
Es posible que debas habilitar la recopilación de registros específicos si tu organización lo requiere. Para obtener más información, consulta Tipos de registros y requisitos de activación.
Trabaja con servicios de detección de amenazas
Para trabajar con los servicios integrados de detección de amenazas, consulta lo siguiente:
- Cómo usar la detección de amenazas de Agent Engine
- Usa la Detección de amenazas de Cloud Run
- Cómo usar la detección de amenazas a contenedores
- Usa Event Threat Detection
- Cómo usar el Servicio de acciones sensibles
- Cómo usar Virtual Machine Threat Detection
Enviar comentarios
Para enviar comentarios sobre las funciones de detección de amenazas de Security Command Center, consulta Envía comentarios a través de la consola.Google Cloud
¿Qué sigue?
- Revisa la lista completa de todos los tipos de hallazgos de amenazas.
- Investiga y responde a un hallazgo de amenaza.