Impacto: política de exclusão de backup e DR do Google Cloud

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Os registros de auditoria são examinados para detectar a exclusão de uma política. Uma política define como um backup é feito e onde ele é armazenado.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra a descoberta Impact: Google Cloud Backup and DR delete policy, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.
  2. Na guia Resumo, confira as informações nas seguintes seções:
    • O que foi detectado, especialmente os seguintes campos:
      • Nome da política: o nome de uma única política, que define a frequência, a programação e o tempo de retenção do backup
      • Assunto principal: um usuário que executou uma ação com sucesso
    • Recurso afetado
      • Nome de exibição do recurso: o projeto do qual a política foi excluída.
    • Links relacionados, principalmente os seguintes campos:
      • Método MITRE ATTACK: link para a documentação do MITRE ATT&CK
      • URI do Logging: link para abrir a Análise de registros.

Etapa 2: pesquisar métodos de ataque e resposta

Entre em contato com o proprietário da conta de serviço no campo E-mail principal. Confirme se o proprietário legítimo realizou a ação.

Etapa 3: implementar a resposta

  1. No projeto em que a ação foi realizada, acesse o console de gerenciamento.
  2. Na guia App Manager, selecione o aplicativo afetado e analise as configurações de Política aplicadas a ele.

A seguir