Responder a las detecciones de amenazas de Cloud Run

Este documento ofrece directrices informales sobre cómo responder a las detecciones de actividades sospechosas en tus recursos de Cloud Run. Es posible que los pasos recomendados no sean adecuados para todas las conclusiones y que afecten a sus operaciones. Antes de tomar medidas, debes investigar los resultados, evaluar la información que recojas y decidir cómo responder.

No se garantiza que las técnicas de este documento sean eficaces contra las amenazas anteriores, actuales o futuras a las que te enfrentes. Para saber por qué Security Command Center no ofrece orientación oficial sobre cómo solucionar las amenazas, consulta el artículo Solucionar amenazas.

Antes de empezar

  1. Revisa el resultado. Anota el contenedor afectado y los archivos binarios, procesos o bibliotecas detectados.
  2. Para obtener más información sobre la detección que estás investigando, busca la detección en el índice de detecciones de amenazas.

Recomendaciones generales

  • Ponte en contacto con el propietario del recurso afectado.
  • Consulta los registros del servicio o del trabajo de Cloud Run que pueda estar en peligro.
  • Para realizar un análisis forense, recoge los registros del servicio o del trabajo afectados y crea una copia de seguridad.
  • Para investigar más a fondo, considera la posibilidad de usar servicios de respuesta a incidentes, como Mandiant.
  • Plantéate eliminar el servicio o la revisión del servicio de Cloud Run afectados:
  • Puedes eliminar el trabajo de Cloud Run afectado.

Se ha ejecutado una secuencia de comandos maliciosa o código Python

Si la secuencia de comandos o el código de Python hacían los cambios previstos en el contenedor, despliega una revisión en el servicio que tenga todos los cambios previstos. No confíe en una secuencia de comandos para hacer cambios después de que se haya implementado el contenedor.

Siguientes pasos