Esta página foi traduzida pela API Cloud Translation.

Impacto: remoção do dispositivo de backup e DR do Google Cloud

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Os registros de auditoria são examinados para detectar a remoção de um dispositivo de backup e recuperação. Um dispositivo de backup e recuperação é um componente essencial para operações de backup.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

Abra a descoberta Inhibit System Recovery: Google Cloud Backup and DR remove appliance, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.
Na guia Resumo, confira as informações nas seguintes seções:
- O que foi detectado, especialmente os seguintes campos:
  - Nome do dispositivo: o nome de um banco de dados ou VM conectado ao backup e DR
  - Assunto principal: um usuário que executou uma ação com sucesso
- Recurso afetado
  - Nome de exibição do recurso: o projeto do qual o dispositivo foi excluído.
- Links relacionados, principalmente os seguintes campos:
  - Método MITRE ATTACK: link para a documentação do MITRE ATT&CK
  - URI do Logging: link para abrir a Análise de registros

Etapa 2: pesquisar métodos de ataque e resposta

Entre em contato com o proprietário da conta de serviço no campo E-mail principal. Confirme se o proprietário legítimo realizou a ação.

Etapa 3: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

No projeto em que a ação foi realizada, acesse o console de gerenciamento.
Na guia App Manager, encontre os aplicativos afetados que não estão mais protegidos e analise as políticas de backup de cada um.
Para criar um novo dispositivo e aplicar proteções novamente a apps desprotegidos, navegue até "Backup e DR" no console Google Cloud e selecione a opção Implantar outro dispositivo de backup ou recuperação.
No menu Armazenamento, configure cada novo dispositivo com um destino de armazenamento. Após a configuração de um dispositivo, ele vai aparecer como uma opção quando você criar um perfil para seus aplicativos.

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.