Puntos de control
Create a service account
/ 25
Create a JSON authentication key for your service account
/ 25
Assign excessive permissions to trigger threat detection
/ 25
Delete the key
/ 25
Explora los falsos positivos a través de la detección de incidentes
- Descripción general de la actividad
- Situación
- Configuración
- Tarea 1: Crea una cuenta de servicio
- Tarea 2: Crea una clave de autenticación JSON para tu cuenta de servicio
- Tarea 3: Activa el resultado falso positivo
- Tarea 4: Accede como el segundo usuario
- Tarea 5: Visualiza el hallazgo de amenaza en SCC
- Tarea 6: Aborda el hallazgo
- Conclusión
- Finaliza el lab
Asegúrate de completar este lab práctico únicamente en una computadora de escritorio o laptop.
Se permiten solo 5 intentos por lab.
A modo de recordatorio, es habitual no responder de forma correcta a todas las preguntas en el primer intento o incluso tener que volver a realizar una tarea; esto forma parte del proceso de aprendizaje.
Una vez comenzado el lab, no se puede detener el cronómetro. Después de 1 hora y 30 minutos, el lab terminará y tendrás que volver a empezar.
Para obtener más información, consulta la lectura Sugerencias técnicas para el lab.
Descripción general de la actividad
Un falso positivo es una alerta que detecta de manera incorrecta la presencia de una amenaza. La actividad genuina y legítima de los usuarios puede activar los falsos positivos. Los equipos de seguridad pueden dedicar mucho tiempo y recursos a investigar alertas de falsos positivos únicamente para descubrir que no existe una amenaza real.
En este lab, volverás a crear la actividad que genera una alerta de falso positivo. Luego, accederás a la amenaza de falso positivo, la analizarás con Security Command Center (SCC) y tomarás medidas para solucionarla. Usarás dos cuentas independientes en este lab: una para activar el falso positivo y otra para analizar y corregir el falso positivo.
Situación
Camila, tu líder de equipo, recibió una notificación de una alerta de seguridad de gravedad baja. La alerta identificó una cuenta de servicio con amplios permisos que usaba prácticas inseguras de administración de claves a través de claves administradas por el usuario. Después de una investigación más a fondo, se descubrió que Hernán, el arquitecto de la nube, activó accidentalmente esta alerta. Hernán estaba probando una nueva cuenta de servicio y creó accidentalmente una clave para la cuenta de usuario de prueba. Esta alerta se abordó y cerró como falso positivo.
Camila cree que esta alerta es un buen ejemplo de falso positivo. Por lo tanto, te asignó la tarea de volver a crear la actividad que generó la alerta de falso positivo. Analizarás la alerta y, a continuación, la corregirás. El proceso de volver a crear el falso positivo sirve como experiencia de aprendizaje valiosa que te ayudará a entender cómo y por qué se activó la alerta y cómo puedes implementar políticas de seguridad eficaces para mitigar más alertas de falsos positivos.
Sigue estos pasos para completar la tarea: primero, recrearás el falso positivo; para ello, crearás una cuenta de servicio, asignarás un rol, proporcionarás una clave y activarás la cuenta de servicio. A continuación, usarás Security Command Center (SCC) para acceder al hallazgo de vulnerabilidad relacionado con la actividad que activaste. Por último, tomarás medidas para corregir el hallazgo de vulnerabilidad y actuarás para solucionar el falso positivo.
Configuración
Antes de hacer clic en Comenzar lab
Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.
En este lab práctico, puedes realizar las actividades por tu cuenta en un entorno de nube real, en lugar de una simulación o un entorno de demostración. Para ello, se te proporcionan credenciales temporales nuevas que usarás para acceder a Google Cloud durante todo el lab.
Para completar este lab, necesitarás lo siguiente:
- Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
- Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.
Cómo iniciar tu lab y acceder a la consola de Google Cloud
-
Haz clic en el botón Comenzar lab. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:
- Tiempo restante
- El botón Abrir la consola de Google
- Las credenciales temporales que debes usar para el lab
- Otra información para completar el lab, si es necesaria
Nota: Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. -
Haz clic en Abrir la consola de Google (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito) si ejecutas el navegador Chrome. La página Acceder del lab se abre en una nueva pestaña del navegador.
Sugerencia: Puedes organizar las pestañas de manera independiente (una ventana al lado de la otra) para alternar fácilmente entre ellas.
Nota: Si aparece el diálogo Elige una cuenta, haz clic en Usar otra cuenta. -
Si es necesario, copia el nombre de usuario 1 de Google Cloud a continuación, y pégalo en el diálogo Acceder. Haz clic en Siguiente.
También puedes encontrar el nombre de usuario 1 de Google Cloud en el panel Detalles del lab.
- Copia la contraseña de Google Cloud a continuación y pégala en el diálogo Te damos la bienvenida. Haz clic en Siguiente.
También puedes encontrar la contraseña de Google Cloud en el panel Detalles del lab.
- Haz clic para avanzar por las páginas siguientes:
- Acepta los Términos y Condiciones.
- No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
- No te registres para las pruebas gratuitas.
Después de un momento, se abrirá la consola de Cloud en esta pestaña.
Tarea 1: Crea una cuenta de servicio
En esta tarea, crearás una cuenta de servicio y le otorgarás permisos suficientes para activar un hallazgo de amenaza anómalo en SCC.
-
En el Menú de navegación () de la consola de Google Cloud, haz clic en IAM y administración > Cuentas de servicio.
-
En la barra de acciones, haz clic en + Crear cuenta de servicio.
-
En la sección Detalles de la cuenta de servicio:
-
En el campo Nombre de la cuenta de servicio, escribe test-account.
Ten en cuenta que el ID de cuenta de servicio se propaga automáticamente.
-
Haz clic en Crear y continuar.
Presta atención a la ventana emergente con el mensaje “Se creó correctamente la cuenta de servicio”.
-
-
En la sección Otorga a esta cuenta de servicio acceso al proyecto, expande el menú desplegable Seleccionar un rol, selecciona Básico y, a continuación, Propietario.
-
Haz clic en Continuar y, luego, en Listo.
Presta atención a la cuenta de servicio test-account que se enumera en la lista Cuentas de servicio.
Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.
Tarea 2: Crea una clave de autenticación JSON para tu cuenta de servicio
En esta tarea, crearás y descargarás una clave de autenticación JSON para la nueva cuenta de servicio que creaste en la tarea anterior. Luego, usarás Cloud Shell para subir la clave a tu cuenta de Google Cloud. Esto activará un hallazgo de amenaza en SCC.
-
En la página Cuentas de servicio, intercalada con la cuenta de servicio test-account, haz clic en Acciones () > Administrar claves. Se abrirá la página test-account.
-
En la sección Claves, haz clic en Agregar clave > Crear clave nueva.
-
En el diálogo Crear clave privada, establece el tipo de clave en JSON.
-
Haz clic en Crear.
La consola te solicitará descargar la clave en tu dispositivo local. Cuando la hayas descargado, usarás Cloud Shell para subir la clave a tu cuenta (de estudiante) de Google Cloud.
-
En tu dispositivo local, navega al archivo de claves que acabas de descargar y cámbiale el nombre a test-account.
-
En la consola de Google Cloud, haz clic en el ícono Activar Cloud Shell ().
-
Haz clic en Continuar.
El aprovisionamiento y la conexión al entorno de Cloud Shell solo tardan unos momentos.
-
En la barra de título de Cloud Shell, haz clic en More () > Upload > Choose Files.
-
Navega hasta el archivo en tu máquina local y selecciónalo y, a continuación, en el cuadro de diálogo Upload, haz clic en Upload.
-
Copia el siguiente comando en la terminal de Cloud Shell:
ls
Este comando muestra el archivo de claves que acabas de subir.
- Presiona INTRO.
En la página test-account, en la listaClave, observa la clave que acabas de crear con la fecha de creación de la clave como la fecha actual.
Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.
Tarea 3: Activa el resultado falso positivo
En esta tarea, volverás a configurar el entorno de Cloud Shell para usar la nueva cuenta de servicio test-account que creaste en la tarea 1. Esto activará un hallazgo de amenaza en SCC. Luego, asignarás permisos excesivos al proyecto del lab.
-
Copia el siguiente comando en la terminal de Cloud Shell:
export PROJECT_ID=$(gcloud info --format='value(config.project)') export SA_NAME="test-account@${PROJECT_ID}.iam.gserviceaccount.com" gcloud auth activate-service-account ${SA_NAME} --key-file=test-account.json
Este comando activa la nueva cuenta de servicio.
-
Presiona INTRO.
-
Copia el siguiente comando en la terminal de Cloud Shell:
gcloud auth list
Este comando confirma que activaste la cuenta de servicio y que gcloud la está usando.
-
Presiona INTRO.
En el resultado, lo siguiente confirma que la cuenta de servicio está activa:
Resultado:
ACTIVE: * ACCOUNT: test-account@{{{project_0.project_id | "Google Cloud project ID"}}}.iam.gserviceaccount.com -
Copia el siguiente comando en la terminal de Cloud Shell:
export STUDENT2={{{user_1.username | "Google Cloud username 2"}}} gcloud projects add-iam-policy-binding $PROJECT_ID --member user:$STUDENT2 --role roles/editor
Este comando otorga el rol de editor al usuario 2 para que puedas acceder y corregir el resultado falso positivo en la siguiente tarea.
- Presiona INTRO.
Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.
Tarea 4: Accede como el segundo usuario
Tendrás que cambiar de cuenta de Google Cloud. Para ello, accederás a la consola de Google Cloud con la segunda cuenta de usuario que se proporciona en el panel Detalles del lab. Usarás esta cuenta de usuario para realizar las tareas restantes.
-
En la consola de Google Cloud, haz clic en el ícono de usuario ubicado en la esquina superior derecha de la pantalla y, a continuación, haz clic en Agregar cuenta.
-
Regresa al panel Detalles del lab, copia el nombre de usuario 2 de Google Cloud:
y la contraseña. Luego, pega el nombre de usuario y la contraseña en el cuadro de diálogo Acceder de la consola de Google Cloud.
Tarea 5: Visualiza el hallazgo de amenaza en SCC
En esta tarea, localizarás y examinarás el hallazgo de SCC que generó el servicio Event Threat Detection. Este hallazgo es un falso positivo que activó la actividad que generaste en las tareas 1 a 3.
Para ver el hallazgo de Event Threat Detection en SCC, haz lo siguiente:
-
En el Menú de navegación (), haz clic en Seguridad > Hallazgos.
-
En el panel Filtros rápidos, localiza la sección Categoría y, a continuación, selecciona Clave de cuenta de servicio administrada por el usuario. Si es necesario, haz clic en Ver más para encontrarla.
El panel Resultados de la búsqueda se actualiza para mostrar solo la categoría de hallazgo seleccionada.
-
En el panel Resultados de la búsqueda, visualiza los detalles del hallazgo; para ello, haz clic en la Clave de cuenta de servicio administrada por el usuario más reciente (consulta Hora del evento) en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
Deja la página Clave de cuenta de servicio administrada por el usuario abierta para responder las siguientes preguntas.
Tarea 6: Aborda el hallazgo
En esta tarea, corregirás el falso positivo; para ello, borrarás la clave de autenticación JSON para la cuenta de servicio test-account.
-
En el Menú de navegación () de la consola de Google Cloud, haz clic en IAM y administración > Cuentas de servicio.
-
En la página Cuentas de servicio, haz clic en la dirección de correo electrónico de la cuenta de servicio test-account.
-
Haz clic en la pestaña Claves.
-
En la lista de claves, haz clic en el ícono Borrar clave de cuenta de servicio () para borrar la clave. Aparecerá una ventana emergente en la que se te pedirá confirmar la acción. Haz clic en Borrar.
Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente.
Conclusión
¡Muy bien!
Completaste este lab. Usaste SCC para investigar un falso positivo y tomaste medidas para corregirlo. Como analista de seguridad en la nube, es probable que encuentres alertas de falsos positivos. Es importante entender cómo y por qué se generan y cómo puedes tomar medidas para corregirlas.
Finaliza el lab
Antes de que finalices el lab, asegúrate de estar conforme con la forma en que completaste todas las tareas. Cuando estés conforme, haz clic en Finalizar Lab y luego haz clic en Enviar.
Finalizar el lab te quitará el acceso al entorno del lab y no podrás volver a acceder al trabajo que completaste.
Copyright 2024 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.