Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Um arquivo de configuração cron foi modificado. Modificações em jobs do
cron são uma tática comum usada por invasores para estabelecer
acesso persistente aos sistemas. Os invasores podem usar mudanças não autorizadas em jobs do
cron para executar comandos maliciosos em intervalos específicos,
permitindo que eles mantenham o acesso e o controle sobre o sistema.
Essas modificações podem passar despercebidas e permitir que invasores realizem
atividades furtivas por um período prolongado.
Esse é um detector de monitoramento de arquivos com requisitos específicos de versão do GKE.
Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection.
A origem dessa descoberta é o Container Threat Detection.
Como responder
Para responder a essa descoberta, faça o seguinte:
Analisar os detalhes da descoberta
Abra a descoberta
Execution: Suspicious Cron Modification, conforme instruído em Como verificar descobertas. Revise os detalhes nas guias Resumo e JSON.Identifique outros resultados que ocorreram em um momento semelhante para esse recurso. As descobertas relacionadas podem indicar que essa atividade foi maliciosa, em vez de uma falha em seguir as práticas recomendadas.
Revise as configurações do recurso afetado.
Verifique os registros do recurso afetado.
Pesquisar métodos de ataque e resposta
Analise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Execução.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.