arrow_back

Determina la diferencia entre la actividad normal y un incidente

Acceder Unirse
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Determina la diferencia entre la actividad normal y un incidente

Lab 1 hora 30 minutos universal_currency_alt 2 créditos show_chart Introductorio
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses
ícono de información importante IMPORTANTE:

ícono de computadora de escritorio/laptop Asegúrate de completar este lab práctico únicamente en una computadora de escritorio o laptop.

ícono de verificación Se permiten solo 5 intentos por lab.

ícono de diana del cuestionario A modo de recordatorio, es habitual no responder de forma correcta a todas las preguntas en el primer intento o incluso tener que volver a realizar una tarea; esto forma parte del proceso de aprendizaje.

ícono de cronómetro Una vez comenzado el lab, no se puede detener el cronómetro. Después de 1 hora y 30 minutos, el lab terminará y tendrás que volver a empezar.

ícono de sugerencia Para obtener más información, consulta la lectura Sugerencias técnicas para el lab.

Descripción general de la actividad

Event Threat Detection es uno de los servicios de Security Command Center (SCC). Event Threat Detection analiza las amenazas con base en registros y supervisa de manera continua los registros de Google Cloud en busca de posibles amenazas. Cuando Event Threat Detection identifica actividad sospechosa, genera un hallazgo que puedes investigar.

En este lab, analizarás los hallazgos en Google Cloud Security Command Center y examinarás los eventos relacionados en Cloud Logging.

Situación

Recientemente, el equipo de seguridad descubrió dos hallazgos de amenazas relacionados con actividades sospechosas con cuentas de usuarios. Los hallazgos se investigaron y abordaron de inmediato. Se determinó que uno de los hallazgos era una actividad del usuario benigna, mientras que se confirmó que el otro hallazgo era malicioso. Camila, tu líder de equipo, te asignó la tarea de examinar los detalles de cada hallazgo para que puedas entender la diferencia entre la actividad normal y la actividad maliciosa. Para ello, recrearás la actividad maliciosa para activar detectores de IAM, analizarás los registros asociados con ambos hallazgos de amenazas y, a continuación, corregirás el hallazgo malicioso.

Sigue estos pasos para completar la tarea: primero, otorgarás permisos a una cuenta externa para activar un hallazgo de IAM de Event Threat Detection. Luego, usarás Security Command Center para acceder a los dos hallazgos de IAM. A continuación, analizarás los detalles de los hallazgos con Security Command Center y Cloud Logging para determinar cuál hallazgo es una actividad benigna y cuál es anómalo. Por último, corregirás el hallazgo relacionado con la actividad de IAM maliciosa a través del ajuste de la configuración de IAM.

Configuración

Antes de hacer clic en Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

En este lab práctico, puedes realizar las actividades por tu cuenta en un entorno de nube real, en lugar de una simulación o un entorno de demostración. Para ello, se te proporcionan credenciales temporales nuevas que usarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

  • Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
Nota: Usa una ventana del navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.
  • Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.
Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar tu lab y acceder a la consola de Google Cloud

  1. Haz clic en el botón Comenzar lab. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

    • Tiempo restante
    • El botón Abrir la consola de Google
    • Las credenciales temporales que debes usar para el lab
    • Otra información para completar el lab, si es necesaria
    Nota: Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago.

  2. Haz clic en Abrir la consola de Google (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito) si ejecutas el navegador Chrome. La página Acceder se abre en una pestaña del navegador nueva.

    Sugerencia: Puedes organizar las pestañas de manera independiente (una ventana al lado de la otra) para alternar fácilmente entre ellas.

    Nota: Si aparece el diálogo Elige una cuenta, haz clic en Usar otra cuenta.

  3. Si es necesario, copia el nombre de usuario de Google Cloud a continuación, y pégalo en el diálogo Ingresar. Haz clic en Siguiente.

{{{user_0.username | "nombre de usuario de Google Cloud"}}}

También puedes encontrar el nombre de usuario de Google Cloud en el panel Detalles del lab.

  1. Copia la contraseña de Google Cloud a continuación y pégala en el diálogo te damos la bienvenida. Haz clic en Siguiente.
{{{user_0.password | "contraseña de Google Cloud"}}}

También puedes encontrar la contraseña de Google Cloud en el panel Detalles del lab.

Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud podría generar cargos adicionales.
  1. Haz clic para avanzar por las páginas siguientes:
    • Acepta los Términos y Condiciones.
    • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
    • No te registres para las pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda de la pantalla. Menú de la consola de Google Cloud con el ícono de menú de navegación destacado

Tarea 1: Otorga permisos a una cuenta externa

En esta tarea, otorgarás derechos de propietario del proyecto a una cuenta de Gmail externa. Esto activará los detectores de IAM de Event Threat Detection. Otorgar derechos de propietario del proyecto a una cuenta externa se considera comportamiento anómalo o actividad potencialmente maliciosa. Event Threat Detection identificará esta actividad como amenaza y generará hallazgos que analizarás en las próximas tareas.

  1. En el Menú de navegación (Ícono del Menú de navegación) de la consola de Google Cloud, haz clic en IAM y administración > IAM. Se abrirá la página IAM.

En la pestaña Ver por principales, observa los dos usuarios estudiantes que se configuraron automáticamente para la organización qwiklabs.net. Estos dos usuarios también son los mismos que se mencionan en el panel Detalles del lab como Google Cloud username 1 y Google Cloud username 2.

Una cuenta de servicio otorgó automáticamente a estos dos usuarios los roles de propietario en el proyecto del lab como parte de un proceso de aprovisionamiento normal. Esto activará un hallazgo de alerta o incidente porque una principal externa tiene un rol de propietario. Sin embargo, debido a que ambos usuarios pertenecen a la organización qwiklabs.net, esta alerta se considera una actividad normal. Examinarás este hallazgo de alerta más tarde.

  1. En la pestaña Ver por principales, haz clic en Otorgar acceso. Se muestra el diálogo Otorgar acceso.
  2. En la sección Agregar principales, en el campo Principales nuevas, escribe bad.actor.demo@gmail.com.
  3. Expande el menú desplegable Seleccionar un rol, selecciona Básico y, a continuación, selecciona Propietario.
  4. Haz clic en Guardar.

Asignaste el rol de propietario al usuario externo bad.actor.demo@gmail.com. Esto activará un hallazgo en SCC porque este usuario está fuera de la organización qwiklabs.net.

Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.

Otorgar permisos a una cuenta externa

Tarea 2: Accede a los hallazgos de Event Threat Detection

En esta tarea, accederás a los hallazgos de Event Threat Detection en Security Command Center.

  1. En el Menú de navegación (Ícono del Menú de navegación) de la consola de Google Cloud, haz clic en Seguridad > Hallazgos. Se abre la página Hallazgos.

Deberías notar tres hallazgos con gravedad alta enumerados en el panel Resultados de la búsqueda. En este lab, examinarás dos hallazgos de Persistencia: Otorgamiento anómalo de IAM para determinar si el hallazgo es una actividad normal o es malicioso.

Nota: Si los hallazgos de Persistencia: Otorgamiento anómalo de IAM no están enumerados, es posible que debas esperar unos minutos y actualizar. Espera a que se muestren estos dos hallazgos activos antes de continuar.

En Persistencia: Otorgamiento anómalo de IAM, se indica que se detectó un otorgamiento anómalo de IAM. Esto significa que a un usuario o a una cuenta de servicio se le otorgó acceso a un recurso al que no debería tener acceso. Esto podría ser un posible indicio de que un agente malicioso está intentando obtener acceso no autorizado a tu entorno.

A continuación, filtra los hallazgos para mostrar una lista de los hallazgos de la categoría Persistencia: Otorgamiento anómalo de IAM.

  1. En el panel Filtros rápidos, en la sección Categoría, selecciona la casilla de verificación para la categoría Persistencia: Otorgamiento anómalo de IAM.
Nota: La selección de atributos con filtros rápidos los agrega de manera automática a la consulta. Observa que la vista previa de la consulta se actualiza con la categoría Persistencia: Otorgamiento anómalo de IAM que seleccionaste. Puedes ubicar hallazgos o grupos de hallazgos específicos editando la consulta de los hallazgos.

El filtro devuelve dos hallazgos de Persistencia: Otorgamiento anómalo de IAM.

  1. Haz clic en el encabezado de columna Hora del evento para ordenar los hallazgos en orden descendente, de modo que el hallazgo más antiguo aparezca en primer lugar.

Tarea 3: Analiza los hallazgos

En esta tarea, examinarás los hallazgos para determinar cuál es una actividad normal y cuál es un incidente real.

  1. En el panel Resultados de la búsqueda, en la columna Categoría, haz clic en el hallazgo Persistencia: Otorgamiento anómalo de IAM con la hora del evento más antigua. Se abre el diálogo Persistencia: Otorgamiento anómalo de IAM en la pestaña Resumen, que muestra el resumen de los hallazgos.

  2. Busca la fila Correo electrónico principal. Esta es la cuenta de usuario que otorgó el rol de propietario al usuario. Observa que la cuenta de servicio pertenece a la organización qwiklabs.net. Con esta información, puedes establecer que el hallazgo representa una actividad normal y esperable.

  3. Haz clic en la pestaña Propiedades de la fuente y expande propiedades > sensitiveRoleGrant > miembros. De nuevo, la dirección de correo electrónico que aparece en principalEmail es la del usuario que otorgó el rol de propietario, y las direcciones de correo electrónico que aparecen en miembros hacen referencia al usuario al que se le otorgó el rol de propietario.

A continuación, localizarás la actividad maliciosa asociada con la cuenta de usuario externa a la que le habías otorgado acceso: bad.actor.demo@gmail.com.

  1. Haz clic en el botón (X) para cerrar y regresar a la página Hallazgos.
  2. En el panel Resultados de la búsqueda, en la columna Categoría, haz clic en el registro de hallazgos Persistencia: Otorgamiento anómalo de IAM con la hora del evento más reciente.
  3. Observa el valor en la fila Correo electrónico principal. Esta es la dirección de correo electrónico de la cuenta de usuario que otorgó el rol de propietario al usuario.
  4. Haz clic en la pestaña Propiedades de la fuente y expande propiedades > sensitiveRoleGrant > miembros. Deberías notar la cuenta de usuario bad.actor.demo@gmail.com, que es una cuenta de usuario externa. Con esta información, puedes establecer que el hallazgo está asociado con un agente malicioso no autorizado.

Tarea 4: Accede a los hallazgos en Cloud Logging

En esta tarea, accederás a los eventos relacionados con los hallazgos de Security Command Center en Cloud Logging.

  1. En el Menú de navegación (Ícono del Menú de navegación) de la consola de Google Cloud, haz clic en Logging > Explorador de registros. Se abrirá la página Explorador de registros. Es posible que debas hacer clic en Más productos para expandir las opciones del Menú de navegación y localizar Logging en Operaciones.
  2. Copia la siguiente consulta en el compilador de consultas en la parte superior de la página:
protoPayload.authorizationInfo.permission="resourcemanager.projects.setIamPolicy" protoPayload.methodName="InsertProjectOwnershipInvite"

Esta consulta filtra los registros de IAM.

  1. Haz clic en Ejecutar consulta. Los resultados de la consulta se mostrarán en el panel Resultados de la consulta.
  2. En el panel Resultados de la consulta, expande el registro de auditoría mencionado en tu proyecto.
  3. Haz clic en Expandir campos anidados. Se muestran todos los campos anidados que figuran en el registro.

Ahora puedes examinar los detalles del evento de solicitud anómala, incluida la siguiente información:

  • authenticationInfo: El correo electrónico del usuario que realizó la solicitud.
  • request: La identidad del correo electrónico del usuario al que se le realizó el otorgamiento anómalo.
  • request Metadata: La dirección IP del sistema en el que se realizó la solicitud, el usuario-agente del navegador web que se usó.

Esta información puede ser crucial cuando se investiga si un evento es una actividad normal o un evento de amenaza real.

Tarea 5: Corrige el hallazgo

En esta tarea, corregirás el hallazgo malicioso Persistencia: Otorgamiento anómalo de IAM; para ello, quitarás el rol de propietario del proyecto que asignaste previamente al usuario externo.

  1. En el Menú de navegación (Ícono del Menú de navegación) de la consola de Google Cloud, haz clic en IAM y administración > IAM. Se abrirá la página IAM.
  2. Junto al usuario bad.actor.demo@gmail.com, haz clic en el ícono Editar principal (Ícono Editar). Se abrirá la página Editar permisos.
  3. Haz clic en el ícono Borrar (Ícono Borrar) para borrar el rol de propietario.
  4. Haz clic en Guardar.

Se actualizará la política, y se le quitará el rol de propietario a bad.actor.demo@gmail.com.

Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.

Corregir el hallazgo

Conclusión

¡Muy bien! Con la actividad de este lab, obtuviste experiencia práctica para analizar una alerta de seguridad y determinar si se trata de una actividad maliciosa real.

Para ello, otorgaste permisos a un usuario externo, observaste los hallazgos de Event Threat Detection en Security Command Center y accediste a los hallazgos en Cloud Logging. Por último, corregiste el hallazgo quitándole el rol de propietario del proyecto al usuario externo.

Como analista de seguridad, estas son habilidades que pueden permitirte tomar rápidamente medidas para contener, mitigar y corregir cualquier amenaza.

Finaliza el lab

Antes de que finalices el lab, asegúrate de estar conforme con la forma en que completaste todas las tareas. Cuando estés conforme, haz clic en Finalizar Lab y luego haz clic en Enviar.

Finalizar el lab te quitará el acceso al entorno del lab y no podrás volver a acceder al trabajo que completaste.

Copyright 2024 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.