Puntos de control
Grant permissions to an external account
/ 50
Fix the finding
/ 50
Determina la diferencia entre la actividad normal y un incidente
Asegúrate de completar este lab práctico únicamente en una computadora de escritorio o laptop.
Se permiten solo 5 intentos por lab.
A modo de recordatorio, es habitual no responder de forma correcta a todas las preguntas en el primer intento o incluso tener que volver a realizar una tarea; esto forma parte del proceso de aprendizaje.
Una vez comenzado el lab, no se puede detener el cronómetro. Después de 1 hora y 30 minutos, el lab terminará y tendrás que volver a empezar.
Para obtener más información, consulta la lectura Sugerencias técnicas para el lab.
Descripción general de la actividad
Event Threat Detection es uno de los servicios de Security Command Center (SCC). Event Threat Detection analiza las amenazas con base en registros y supervisa de manera continua los registros de Google Cloud en busca de posibles amenazas. Cuando Event Threat Detection identifica actividad sospechosa, genera un hallazgo que puedes investigar.
En este lab, analizarás los hallazgos en Google Cloud Security Command Center y examinarás los eventos relacionados en Cloud Logging.
Situación
Recientemente, el equipo de seguridad descubrió dos hallazgos de amenazas relacionados con actividades sospechosas con cuentas de usuarios. Los hallazgos se investigaron y abordaron de inmediato. Se determinó que uno de los hallazgos era una actividad del usuario benigna, mientras que se confirmó que el otro hallazgo era malicioso. Camila, tu líder de equipo, te asignó la tarea de examinar los detalles de cada hallazgo para que puedas entender la diferencia entre la actividad normal y la actividad maliciosa. Para ello, recrearás la actividad maliciosa para activar detectores de IAM, analizarás los registros asociados con ambos hallazgos de amenazas y, a continuación, corregirás el hallazgo malicioso.
Sigue estos pasos para completar la tarea: primero, otorgarás permisos a una cuenta externa para activar un hallazgo de IAM de Event Threat Detection. Luego, usarás Security Command Center para acceder a los dos hallazgos de IAM. A continuación, analizarás los detalles de los hallazgos con Security Command Center y Cloud Logging para determinar cuál hallazgo es una actividad benigna y cuál es anómalo. Por último, corregirás el hallazgo relacionado con la actividad de IAM maliciosa a través del ajuste de la configuración de IAM.
Configuración
Antes de hacer clic en Comenzar lab
Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.
En este lab práctico, puedes realizar las actividades por tu cuenta en un entorno de nube real, en lugar de una simulación o un entorno de demostración. Para ello, se te proporcionan credenciales temporales nuevas que usarás para acceder a Google Cloud durante todo el lab.
Para completar este lab, necesitarás lo siguiente:
- Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
- Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.
Cómo iniciar tu lab y acceder a la consola de Google Cloud
-
Haz clic en el botón Comenzar lab. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:
- Tiempo restante
- El botón Abrir la consola de Google
- Las credenciales temporales que debes usar para el lab
- Otra información para completar el lab, si es necesaria
Nota: Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. -
Haz clic en Abrir la consola de Google (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito) si ejecutas el navegador Chrome. La página Acceder se abre en una pestaña del navegador nueva.
Sugerencia: Puedes organizar las pestañas de manera independiente (una ventana al lado de la otra) para alternar fácilmente entre ellas.
Nota: Si aparece el diálogo Elige una cuenta, haz clic en Usar otra cuenta. -
Si es necesario, copia el nombre de usuario de Google Cloud a continuación, y pégalo en el diálogo Ingresar. Haz clic en Siguiente.
También puedes encontrar el nombre de usuario de Google Cloud en el panel Detalles del lab.
- Copia la contraseña de Google Cloud a continuación y pégala en el diálogo te damos la bienvenida. Haz clic en Siguiente.
También puedes encontrar la contraseña de Google Cloud en el panel Detalles del lab.
- Haz clic para avanzar por las páginas siguientes:
- Acepta los Términos y Condiciones.
- No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
- No te registres para las pruebas gratuitas.
Después de un momento, se abrirá la consola de Cloud en esta pestaña.
Tarea 1: Otorga permisos a una cuenta externa
En esta tarea, otorgarás derechos de propietario del proyecto a una cuenta de Gmail externa. Esto activará los detectores de IAM de Event Threat Detection. Otorgar derechos de propietario del proyecto a una cuenta externa se considera comportamiento anómalo o actividad potencialmente maliciosa. Event Threat Detection identificará esta actividad como amenaza y generará hallazgos que analizarás en las próximas tareas.
- En el Menú de navegación () de la consola de Google Cloud, haz clic en IAM y administración > IAM. Se abrirá la página IAM.
En la pestaña Ver por principales, observa los dos usuarios estudiantes que se configuraron automáticamente para la organización qwiklabs.net. Estos dos usuarios también son los mismos que se mencionan en el panel Detalles del lab como Google Cloud username 1 y Google Cloud username 2.
Una cuenta de servicio otorgó automáticamente a estos dos usuarios los roles de propietario en el proyecto del lab como parte de un proceso de aprovisionamiento normal. Esto activará un hallazgo de alerta o incidente porque una principal externa tiene un rol de propietario. Sin embargo, debido a que ambos usuarios pertenecen a la organización qwiklabs.net, esta alerta se considera una actividad normal. Examinarás este hallazgo de alerta más tarde.
- En la pestaña Ver por principales, haz clic en Otorgar acceso. Se muestra el diálogo Otorgar acceso.
- En la sección Agregar principales, en el campo Principales nuevas, escribe bad.actor.demo@gmail.com.
- Expande el menú desplegable Seleccionar un rol, selecciona Básico y, a continuación, selecciona Propietario.
- Haz clic en Guardar.
Asignaste el rol de propietario al usuario externo bad.actor.demo@gmail.com. Esto activará un hallazgo en SCC porque este usuario está fuera de la organización qwiklabs.net.
Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.
Tarea 2: Accede a los hallazgos de Event Threat Detection
En esta tarea, accederás a los hallazgos de Event Threat Detection en Security Command Center.
- En el Menú de navegación () de la consola de Google Cloud, haz clic en Seguridad > Hallazgos. Se abre la página Hallazgos.
Deberías notar tres hallazgos con gravedad alta enumerados en el panel Resultados de la búsqueda. En este lab, examinarás dos hallazgos de Persistencia: Otorgamiento anómalo de IAM para determinar si el hallazgo es una actividad normal o es malicioso.
En Persistencia: Otorgamiento anómalo de IAM, se indica que se detectó un otorgamiento anómalo de IAM. Esto significa que a un usuario o a una cuenta de servicio se le otorgó acceso a un recurso al que no debería tener acceso. Esto podría ser un posible indicio de que un agente malicioso está intentando obtener acceso no autorizado a tu entorno.
A continuación, filtra los hallazgos para mostrar una lista de los hallazgos de la categoría Persistencia: Otorgamiento anómalo de IAM.
- En el panel Filtros rápidos, en la sección Categoría, selecciona la casilla de verificación para la categoría Persistencia: Otorgamiento anómalo de IAM.
El filtro devuelve dos hallazgos de Persistencia: Otorgamiento anómalo de IAM.
- Haz clic en el encabezado de columna Hora del evento para ordenar los hallazgos en orden descendente, de modo que el hallazgo más antiguo aparezca en primer lugar.
Tarea 3: Analiza los hallazgos
En esta tarea, examinarás los hallazgos para determinar cuál es una actividad normal y cuál es un incidente real.
-
En el panel Resultados de la búsqueda, en la columna Categoría, haz clic en el hallazgo Persistencia: Otorgamiento anómalo de IAM con la hora del evento más antigua. Se abre el diálogo Persistencia: Otorgamiento anómalo de IAM en la pestaña Resumen, que muestra el resumen de los hallazgos.
-
Busca la fila Correo electrónico principal. Esta es la cuenta de usuario que otorgó el rol de propietario al usuario. Observa que la cuenta de servicio pertenece a la organización qwiklabs.net. Con esta información, puedes establecer que el hallazgo representa una actividad normal y esperable.
-
Haz clic en la pestaña Propiedades de la fuente y expande propiedades > sensitiveRoleGrant > miembros. De nuevo, la dirección de correo electrónico que aparece en principalEmail es la del usuario que otorgó el rol de propietario, y las direcciones de correo electrónico que aparecen en miembros hacen referencia al usuario al que se le otorgó el rol de propietario.
A continuación, localizarás la actividad maliciosa asociada con la cuenta de usuario externa a la que le habías otorgado acceso: bad.actor.demo@gmail.com.
- Haz clic en el botón (X) para cerrar y regresar a la página Hallazgos.
- En el panel Resultados de la búsqueda, en la columna Categoría, haz clic en el registro de hallazgos Persistencia: Otorgamiento anómalo de IAM con la hora del evento más reciente.
- Observa el valor en la fila Correo electrónico principal. Esta es la dirección de correo electrónico de la cuenta de usuario que otorgó el rol de propietario al usuario.
- Haz clic en la pestaña Propiedades de la fuente y expande propiedades > sensitiveRoleGrant > miembros. Deberías notar la cuenta de usuario bad.actor.demo@gmail.com, que es una cuenta de usuario externa. Con esta información, puedes establecer que el hallazgo está asociado con un agente malicioso no autorizado.
Tarea 4: Accede a los hallazgos en Cloud Logging
En esta tarea, accederás a los eventos relacionados con los hallazgos de Security Command Center en Cloud Logging.
- En el Menú de navegación () de la consola de Google Cloud, haz clic en Logging > Explorador de registros. Se abrirá la página Explorador de registros. Es posible que debas hacer clic en Más productos para expandir las opciones del Menú de navegación y localizar Logging en Operaciones.
- Copia la siguiente consulta en el compilador de consultas en la parte superior de la página:
Esta consulta filtra los registros de IAM.
- Haz clic en Ejecutar consulta. Los resultados de la consulta se mostrarán en el panel Resultados de la consulta.
- En el panel Resultados de la consulta, expande el registro de auditoría mencionado en tu proyecto.
- Haz clic en Expandir campos anidados. Se muestran todos los campos anidados que figuran en el registro.
Ahora puedes examinar los detalles del evento de solicitud anómala, incluida la siguiente información:
- authenticationInfo: El correo electrónico del usuario que realizó la solicitud.
- request: La identidad del correo electrónico del usuario al que se le realizó el otorgamiento anómalo.
- request Metadata: La dirección IP del sistema en el que se realizó la solicitud, el usuario-agente del navegador web que se usó.
Esta información puede ser crucial cuando se investiga si un evento es una actividad normal o un evento de amenaza real.
Tarea 5: Corrige el hallazgo
En esta tarea, corregirás el hallazgo malicioso Persistencia: Otorgamiento anómalo de IAM; para ello, quitarás el rol de propietario del proyecto que asignaste previamente al usuario externo.
- En el Menú de navegación () de la consola de Google Cloud, haz clic en IAM y administración > IAM. Se abrirá la página IAM.
- Junto al usuario bad.actor.demo@gmail.com, haz clic en el ícono Editar principal (). Se abrirá la página Editar permisos.
- Haz clic en el ícono Borrar () para borrar el rol de propietario.
- Haz clic en Guardar.
Se actualizará la política, y se le quitará el rol de propietario a bad.actor.demo@gmail.com.
Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.
Conclusión
¡Muy bien! Con la actividad de este lab, obtuviste experiencia práctica para analizar una alerta de seguridad y determinar si se trata de una actividad maliciosa real.
Para ello, otorgaste permisos a un usuario externo, observaste los hallazgos de Event Threat Detection en Security Command Center y accediste a los hallazgos en Cloud Logging. Por último, corregiste el hallazgo quitándole el rol de propietario del proyecto al usuario externo.
Como analista de seguridad, estas son habilidades que pueden permitirte tomar rápidamente medidas para contener, mitigar y corregir cualquier amenaza.
Finaliza el lab
Antes de que finalices el lab, asegúrate de estar conforme con la forma en que completaste todas las tareas. Cuando estés conforme, haz clic en Finalizar Lab y luego haz clic en Enviar.
Finalizar el lab te quitará el acceso al entorno del lab y no podrás volver a acceder al trabajo que completaste.
Copyright 2024 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.