このドキュメントでは、Cloud Run リソース内の不審なアクティビティの検出結果に対応する方法について、非公式なガイダンスを提供します。推奨される手順は、すべての検出結果に適しているとは限らず、オペレーションに影響する可能性があります。対応を行う前に、検出結果を調査し、収集した情報を評価して、対応方法を決定する必要があります。
このドキュメントで説明した手法が、過去、現在または将来において、直面する脅威に対して有効であるとは限りません。Security Command Center が脅威に対する公式の修正策を提供していない理由については、脅威の修復をご覧ください。
始める前に
- 検出結果を確認します。影響を受けるコンテナと、検出されたバイナリ、プロセス、ライブラリをメモします。
- 調査している検出結果の詳細については、脅威の検出結果のインデックスで検出結果を検索してください。
一般的な推奨事項
- 影響を受けるリソースのオーナーに連絡します。
- 侵害を受けた可能性がある Cloud Run サービスまたはジョブのログを表示します。
- フォレンジック分析を行う場合は、影響を受けたサービスまたはジョブからログを収集してバックアップします。
- さらに調査するには、Mandiant などのインシデント対応サービスの利用をご検討ください。
- 影響を受ける Cloud Run サービスまたはサービス リビジョンの削除を検討してください。
- サービスを削除するには、既存のサービスを削除するをご覧ください。
- サービス リビジョンを削除するには、以前のリビジョンにロールバックするか、より安全な新しいリビジョンをデプロイします。次に、影響を受けたリビジョンを削除します。
- 影響を受ける Cloud Run ジョブの削除を検討してください。
悪意のあるスクリプトまたは Python コードが実行された
スクリプトまたは Python コードがコンテナに予定していた変更を行っていた場合は、予定していた変更がすべて含まれるサービスにリビジョンをデプロイします。コンテナのデプロイ後にスクリプトを使用して変更を加えることは避けてください。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを参照してください。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。