Security Command Center proporciona reglas de detección integradas para identificar amenazas, vulnerabilidades y parámetros de configuración incorrectos en tu entorno de nube. En este documento, se describen las reglas predefinidas para el gráfico de seguridad y las amenazas correlacionadas.
Para obtener información sobre las reglas y los resultados de otros servicios integrados, consulta las reglas de Event Threat Detection y los resultados de VM Threat Detection.
Reglas del gráfico de seguridad predefinidas
El gráfico de seguridad usa nodos para identificar recursos de la nube, como activos, identidades, aplicaciones y datos. Las aristas del grafo representan las relaciones de riesgo entre estos recursos según las reglas de detección. Cuando se descubre un riesgo de relación, el gráfico de seguridad genera un problema.
Security Command Center usa reglas predefinidas del gráfico de seguridad para identificar problemas que podrían comprometer tus recursos.
En la siguiente tabla, se definen estas reglas. Investigas los problemas creados con el panel Riesgo > Problemas.
| Regla | Descripción |
|---|---|
| Instancia de GCE: CVE de riesgo alto, acceso a recurso de alto valor a través de la suplantación de identidad de la SA | Se detectó una CVE de alto riesgo en una instancia de Compute Engine que puede suplantar una cuenta de servicio (SA) con acceso a un recurso crítico. Esta vulnerabilidad aumenta el riesgo de escalación de privilegios y acceso no autorizado a datos o sistemas sensibles. |
| Instancia de GCE: CVE de riesgo alto, acceso a recursos con datos sensibles a través del uso de identidad de SA | Una instancia de Compute Engine con un CVE de alto riesgo tiene acceso a un recurso que contiene datos sensibles a través de la suplantación de una cuenta de servicio (SA). Esta vulnerabilidad aumenta el riesgo de acceso no autorizado a los datos, la elevación de privilegios y posibles violaciones de la seguridad de los datos. |
| Instancia de GCE: CVE de riesgo alto, acceso directo a un recurso de alto valor | Una instancia de Compute Engine con un CVE de alto riesgo tiene acceso directo a un recurso valioso, lo que aumenta la probabilidad de explotación, acceso no autorizado y vulneración de datos. |
| Instancia de GCE: CVE de riesgo alto, acceso directo a un recurso con datos sensibles | Una instancia de Compute Engine con un CVE de alto riesgo tiene acceso directo a un recurso que contiene datos sensibles. Esta vulnerabilidad aumenta el riesgo de acceso no autorizado, filtraciones de datos y escalación de privilegios. |
| Instancia de GCE expuesta externamente: CVE de alto riesgo, exploit disponible | Una instancia de Compute Engine está expuesta de forma externa y se ve afectada por una CVE de alto riesgo con un exploit conocido. Esto aumenta significativamente el riesgo de ataques remotos, acceso no autorizado y compromiso del sistema. |
| Instancia de GCE: CVE de riesgo alto, capacidad de suplantar la identidad de la SA | Una instancia de Compute Engine se ve afectada por un CVE de alto riesgo y puede suplantar la identidad de otra cuenta de servicio (SA). Esto aumenta significativamente el riesgo de elevación de privilegios, acceso no autorizado y posible vulneración de recursos críticos de la nube. |
| Instancia de GCE: CVE de riesgo alto, permisos directos excesivos | Una instancia de Compute Engine con un CVE de alto riesgo tiene permisos excesivos directos en otro recurso, lo que aumenta el riesgo de acceso no autorizado, elevación de privilegios y vulneración de recursos. |
| Instancia de GCE: CVE de riesgo alto, permisos excesivos a través de la suplantación de identidad de SA | Una instancia de Compute Engine con un CVE de alto riesgo tiene permisos excesivos en otro recurso a través de la suplantación de la cuenta de servicio (SA), lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado. |
| Carga de trabajo de GKE expuesta externamente: CVE de alto riesgo, exploit disponible | Una carga de trabajo de GKE está expuesta de forma externa y se ve afectada por un CVE de riesgo alto con un exploit conocido. Esto aumenta significativamente el riesgo de ataques remotos, acceso no autorizado y compromiso del sistema. |
| Grupo de nodos de GKE: Boletín de alto riesgo, acceso a recursos de alto valor a través de la suplantación de identidad de la SA | Un grupo de nodos de GKE puede suplantar una cuenta de servicio (SA) que otorga acceso a un recurso valioso. Esto aumenta el riesgo de elevación de privilegios, acceso no autorizado y vulneración de datos. |
| Boletín de riesgo alto: Grupo de nodos de GKE, acceso a recursos con datos sensibles a través de la suplantación de identidad de SA | Un grupo de nodos de GKE puede suplantar una cuenta de servicio (SA) que otorga acceso a un recurso que contiene datos sensibles. Esto aumenta el riesgo de acceso no autorizado, violaciones de la seguridad de los datos y elevación de privilegios. |
| Grupo de nodos de GKE: Boletín de riesgo alto, acceso directo a un recurso de alto valor | Un grupo de nodos de GKE tiene acceso directo a un recurso valioso, lo que aumenta el riesgo de acceso no autorizado, escalamiento de privilegios y posible vulneración de datos. |
| Grupo de nodos de GKE: Boletín de alto riesgo, acceso directo al recurso con datos sensibles | Un grupo de nodos de GKE tiene acceso directo a un recurso que contiene datos sensibles, lo que aumenta el riesgo de acceso no autorizado, filtraciones de datos y elevación de privilegios. |
| Grupo de nodos de GKE expuesto de forma externa: Boletín de alto riesgo | Un grupo de nodos de GKE está expuesto de forma externa y se ve afectado por un CVE de alto riesgo. Esto aumenta significativamente el riesgo de ataques remotos, acceso no autorizado y vulneración del sistema. |
| Grupo de nodos de GKE: Boletín de alto riesgo, capacidad de suplantar la identidad de la SA | Hay un boletín de alto riesgo en un grupo de nodos de GKE que tiene permisos para suplantar la identidad de otra cuenta de servicio (SA), lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado a recursos críticos. |
| Boletín de alto riesgo del grupo de nodos de GKE: Permisos directos excesivos | Hay un boletín de alto riesgo en un grupo de nodos de GKE que tiene permisos excesivos en otro recurso, lo que le otorga acceso no deseado. Esto aumenta el riesgo de elevación de privilegios, acceso no autorizado y exposición de datos. |
| Grupo de nodos de GKE: Boletín de alto riesgo, permisos excesivos a través de la suplantación de identidad de SA | Hay un boletín de alto riesgo en un grupo de nodos de GKE que tiene permisos excesivos en otro recurso a través de la suplantación de identidad de la cuenta de servicio (SA), lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado. |
| La cuenta de servicio con una clave sin rotar tiene permisos excesivos | Una cuenta de servicio usa una clave de larga duración y sin rotación con permisos excesivos, lo que aumenta el riesgo de vulneración de credenciales, acceso no autorizado y elevación de privilegios. |
| La cuenta de servicio con clave administrada por el usuario tiene permisos excesivos | Una cuenta de servicio con claves administradas por el usuario y permisos excesivos, lo que aumenta el riesgo de filtración de credenciales y elevación de privilegios. |
| Carga de trabajo de GKE expuesta de forma externa y vulnerable a CVE-2025-49844 (exploit disponible, ejecución de código remoto crítica en Redis) | Identifica las cargas de trabajo de GKE expuestas de forma externa que ejecutan Redis y que son vulnerables a CVE-2025-49844, una falla crítica de ejecución remota de código con un exploit conocido. |
| Instancia de GCE expuesta externamente y vulnerable a CVE-2025-49844 (exploit disponible, ejecución de código remoto crítica en Redis) | Identifica las instancias de GCE expuestas de forma externa que ejecutan Redis y que son vulnerables a CVE-2025-49844, una falla crítica de ejecución remota de código con un exploit conocido. |
| La carga de trabajo de GKE expuesta de forma externa es vulnerable a CVE-2025-32433 (RCE crítico en SSH de Erlang) | Identifica las cargas de trabajo de GKE expuestas de forma externa que ejecutan Erlang SSH y que son vulnerables a CVE-2025-32433, una falla crítica de ejecución remota de código que los atacantes explotan de forma activa. |
| Instancia de GCE expuesta externamente y vulnerable a CVE-2025-32433 (RCE crítica en SSH de Erlang) | Identifica las instancias de GCE expuestas de forma externa que ejecutan SSH de Erlang y son vulnerables a CVE-2025-32433, una falla crítica de ejecución remota de código que los atacantes explotan de forma activa. |
| Carga de trabajo de GKE expuesta de forma externa y vulnerable a CVE-2023-46604 (RCE crítica en Apache ActiveMQ, explotada en la naturaleza) | Identifica las cargas de trabajo de GKE expuestas de forma externa que ejecutan Apache ActiveMQ vulnerable a CVE-2023-46604, una falla crítica de ejecución remota de código en el protocolo OpenWire que los atacantes explotan de forma activa. |
| Instancia de GCE expuesta de forma externa y vulnerable a CVE-2023-46604 (RCE crítica en Apache ActiveMQ, explotada en la naturaleza) | Identifica las instancias de GCE expuestas de forma externa que ejecutan Apache ActiveMQ vulnerable a CVE-2023-46604, una falla crítica de ejecución de código remoto en el protocolo OpenWire que los atacantes explotan de forma activa. |
| Instancia de GCE vulnerable a CVE-2025-32463 (Sudo) con exploit conocido | Identifica las instancias de GCE vulnerables a CVE-2025-32463, una falla de elevación de privilegios local en Sudo con un exploit conocido. |
| La instancia de GCE es vulnerable a la CVE crítica de Nvidia Container Toolkit (CVE-2025-23266) | Identifica las instancias de GCE que usan cargas de trabajo de GPU y que son vulnerables a CVE-2025-23266, una falla crítica de elevación de privilegios en NVIDIA Container Toolkit. |
| Instancia de GCE expuesta de forma externa y vulnerable a CVE-2025-59287 de alto riesgo (explotada de forma abierta, ejecución remota de código crítica en WSUS) | Identifica las instancias de GCE expuestas de forma externa que ejecutan WSUS de Windows y son vulnerables a CVE-2025-59287, una falla crítica de ejecución remota de código que los atacantes explotan de forma activa. |
| Vertex AI Workbench: CVE de alto riesgo | Se detectó una CVE de alto riesgo en una instancia de Gemini Enterprise Agent Platform Workbench. Esta vulnerabilidad aumenta el riesgo de acceso no autorizado al entorno de desarrollo, lo que podría exponer los datos de entrenamiento y el código fuente del modelo a la filtración. |
| Vertex AI Workbench: CVE de alto riesgo y permisos excesivos | Una instancia de Vertex AI Workbench con un CVE de alto riesgo usa una cuenta de servicio con privilegios excesivos. Esta combinación permite que los atacantes exploten la vulnerabilidad para escalar privilegios y comprometer otros recursos de la nube. |
| Agent Runtime: CVE de riesgo alto, identidad de SA con acceso a recursos de alto valor a través de la suplantación de identidad de SA | Se detectó una CVE de alto riesgo en un agente de IA implementado en el entorno de ejecución del agente que puede suplantar una cuenta de servicio con acceso a un recurso crítico. Esta vulnerabilidad aumenta el riesgo de elevación de privilegios y acceso no autorizado a datos o sistemas sensibles. |
| Agent Runtime: CVE de alto riesgo, identidad de SA con acceso a recursos con datos sensibles a través del uso de identidad de SA | Un agente de IA implementado en el entorno de ejecución del agente con un CVE de alto riesgo tiene acceso a un recurso que contiene datos sensibles a través de la suplantación de identidad de la cuenta de servicio (SA). Esta vulnerabilidad aumenta el riesgo de acceso a los datos no autorizado, la elevación de privilegios y posibles violaciones de la seguridad de los datos. |
| Agent Runtime: CVE de riesgo alto, identidad de SA con acceso directo a un recurso de alto valor | Un agente de IA implementado en Agent Runtime con un CVE de alto riesgo tiene acceso directo a un recurso de alto valor, lo que aumenta la probabilidad de explotación, acceso no autorizado y vulneración de datos. |
| Agent Runtime: CVE de alto riesgo, identidad de SA con acceso directo a recursos con datos sensibles | Un agente de IA implementado en Agent Runtime con una CVE de alto riesgo tiene acceso directo a un recurso que contiene datos sensibles. Esta vulnerabilidad aumenta el riesgo de acceso no autorizado, filtraciones de datos y elevación de privilegios. |
| Tiempo de ejecución del agente: CVE de riesgo alto, identidad de SA con permisos directos excesivos | Un agente de IA implementado en Agent Runtime con un CVE de alto riesgo tiene permisos excesivos directos en otro recurso, lo que aumenta el riesgo de acceso no autorizado, elevación de privilegios y vulneración de recursos. |
| Tiempo de ejecución del agente: CVE de alto riesgo, identidad de SA con permisos excesivos a través de la suplantación de identidad de SA | Un agente de IA implementado en Agent Runtime con una CVE de alto riesgo tiene permisos excesivos en otro recurso a través de la suplantación de identidad de la cuenta de servicio (SA), lo que aumenta el riesgo de elevación de privilegios y acceso no autorizado. |
| Agent Runtime: CVE de alto riesgo, identidad de SA con capacidad de suplantar la identidad de SA | Un agente de IA implementado en Agent Runtime con un CVE de alto riesgo tiene la capacidad de suplantar la identidad de otra cuenta de servicio. Esto aumenta significativamente el riesgo de elevación de privilegios, acceso no autorizado y posible vulneración de recursos críticos de la nube. |
| Bucket de Cloud Storage: Bucket expuesto de forma pública que se usa para la implementación del entorno de ejecución del agente | Se usó un bucket de Cloud Storage expuesto públicamente para implementar el agente de IA en Agent Runtime. Esto aumenta el riesgo de filtración y envenenamiento del código del agente. |
Reglas de amenazas correlacionadas
Las amenazas correlacionadas ayudan a identificar varios patrones de ataque de varias etapas en los recursos de la nube. En la siguiente tabla, se definen las reglas de Correlated Threats disponibles.
| Regla | Descripción |
|---|---|
| Varios indicadores de amenazas correlacionados del software de minería de criptomonedas |
Busca varios indicadores distintos de software malicioso proveniente de Google Cloud máquinas virtuales, incluidas las VMs de Compute Engine y los nodos (y sus Pods) de Google Kubernetes Engine (GKE).
Algunos ejemplos son los siguientes:
|
| Varios indicadores de amenazas correlacionados de software malicioso |
Busca varios indicadores distintos de software malicioso provenientes de máquinas virtuales, incluidas las VMs de Compute Engine y los nodos de GKE (y sus Pods) o Agent Runtime. Google Cloud
Algunos ejemplos son los siguientes:
|
| Movimiento lateral de una cuenta de GCP potencialmente vulnerada a un recurso de procesamiento vulnerado |
Busca evidencia de llamadas sospechosas a las APIs de Compute (Compute Engine o GKE) que modifican una VM o un Pod. Luego, la regla correlaciona esa actividad con la actividad maliciosa que se origina en el recurso de procesamiento en un período corto.
Los atacantes suelen usar este patrón de movimiento lateral. Esta regla indica que es probable que la VM o el Pod estén en riesgo. Esta regla también indica que la cuenta Google Cloud (ya sea de usuario o de servicio) puede ser la causa de la actividad maliciosa.
Estos son algunos ejemplos:
|
¿Qué sigue?
- Administra y soluciona problemas.
- Investiga amenazas correlacionadas
- Reglas de Event Threat Detection
- Resultados de VM Threat Detection