En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Este hallazgo se genera cuando se detectan búsquedas de Java Naming and Directory Interface (JNDI) en encabezados o parámetros de URL. Estas búsquedas pueden indicar intentos de explotación de Log4Shell.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
Abre un resultado de
Initial Access: Log4j Compromise Attempt, tal como se indica en Consultar los detalles de los resultados. Se abre el panel de detalles de la detección en la pestaña Resumen.En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó
- Recurso afectado
- Enlaces relacionados, especialmente los siguientes campos:
- URI de Cloud Logging: enlace a las entradas de registro.
- Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
- Hallazgos relacionados: enlaces a los hallazgos relacionados.
- En la vista detallada de la detección, haga clic en la pestaña JSON.
En el JSON, anota los siguientes campos.
propertiesloadBalancerName: el nombre del balanceador de carga que ha recibido la búsqueda JNDIrequestUrl: la URL de solicitud de la solicitud HTTP. Si está presente, contiene una búsqueda JNDI.requestUserAgent: el user-agent que ha enviado la solicitud HTTP. Si está presente, contiene una búsqueda JNDI.refererUrl: la URL de la página que ha enviado la solicitud HTTP. Si está presente, contiene una búsqueda JNDI.
Paso 2: Consulta los registros
- En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace del campo URI de Cloud Logging del paso 1.
En la página que se carga, compruebe los campos
httpRequestpara ver si hay tokens de cadena como${jndi:ldap://que puedan indicar posibles intentos de explotación.Consulta CVE-2021-44228: detectar ataques de Log4Shell en la documentación de Logging para ver cadenas de ejemplo que puedes buscar y una consulta de ejemplo.
Paso 3: Investiga los métodos de ataque y respuesta
- Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Aprovechamiento de aplicaciones públicas.
- Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y de la misma instancia y red.
- Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
Paso 4: Implementa tu respuesta
El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.
- Actualiza a la versión más reciente de Log4j.
- Sigue las recomendaciones deGoogle Cloudpara investigar y responder a la vulnerabilidad de Apache Log4j.
- Implementa las técnicas de mitigación recomendadas en Vulnerabilidades de seguridad de Apache Log4j.
- Si usas Google Cloud Armor, implementa el
cve-canary ruleen una política de seguridad de Cloud Armor nueva o ya creada. Para obtener más información, consulta el artículo Regla de WAF de Google Cloud Armor para mitigar la vulnerabilidad de Apache Log4j.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.