このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。
概要
ヘッダーまたは URL パラメータ内の Java 命名規則とディレクトリ インターフェース(JNDI)のルックアップが検出されると、この検出結果が生成されます。これらの検索は、Log4Shell の悪用の試みを示している可能性があります。
対処方法
この検出結果に対応する手順は次のとおりです。
ステップ 1: 検出結果の詳細を確認する
検出結果の詳細を確認するの手順に沿って
Initial Access: Log4j Compromise Attemptの検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。[概要] タブで、次のセクションの情報を確認します。
- 検出された内容
- 影響を受けているリソース
- 関連リンク(特に次のフィールド):
- Cloud Logging URI: Logging エントリへのリンク。
- MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
- 関連する検出結果: 関連する検出結果へのリンク。
- 検出結果の詳細ビューで、[JSON] タブをクリックします。
[JSON] で、次のフィールドを確認します。
propertiesloadBalancerName: JNDI ルックアップが実行されたロードバランサの名前requestUrl: HTTP リクエストのリクエスト URL。存在する場合、JNDI ルックアップが行われています。requestUserAgent: HTTP リクエストを送信したユーザー エージェント。存在する場合、JNDI ルックアップが行われています。refererUrl: HTTP リクエストを送信したページの URL。存在する場合、JNDI ルックアップが行われています。
ステップ 2: ログを確認する
- Google Cloud コンソールで、ステップ 1 の [Cloud Logging URI] フィールドのリンクをクリックして、[ログ エクスプローラ] に移動します。
読み込まれたページで、悪用の試みを示す
${jndi:ldap://のような文字列トークンがないか、httpRequestフィールドを確認します。検索する文字列やクエリの例については、Logging ドキュメントの CVE-2021-44228: Detect Log4Shell Exploit をご覧ください。
ステップ 3: 攻撃とレスポンスの手法を調査する
- この検出結果に対応する MITRE ATT&CK フレームワーク エントリ(一般公開されたアプリケーションの悪用)を確認します。
- 検出結果の詳細の [概要] タブで、[関連する検出結果] 行の [関連する検出結果] リンクをクリックして、関連する検出結果を確認します。関連する検出結果とは、同じインスタンスとネットワークで検出された同じタイプの検出結果のことです。
- 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。
ステップ 4: レスポンスを実装する
次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。
- Log4j の最新バージョンにアップグレードします。
- Google Cloudの推奨する「Apache Log4j」の脆弱性の調査と対応の手順を行います。
- Apache Log4j のセキュリティ脆弱性にある推奨の緩和策を実装します。
- Google Cloud Armor を使用している場合は、新規または既存の Cloud Armor セキュリティ ポリシーに
cve-canary ruleをデプロイします。詳細については、Apache Log4j の脆弱性を緩和する Google Cloud Armor WAF ルールをご覧ください。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを参照する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。