本文档提供了一些非官方的指导信息,旨在帮助您对 Cloud Run 资源中的可疑活动发现结果做出响应。建议的步骤可能不适用于所有发现结果,并且可能会影响您的运营。在采取任何行动之前,您应先调查发现结果;评估收集到的信息;并决定如何应对。
本文档中的技术不能保证对您之前、当前或未来面对的任何威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁。
准备工作
一般建议
- 与受影响资源的所有者联系。
- 查看可能遭到入侵的 Cloud Run 服务或作业的日志。
- 如需进行取证分析,请收集并备份受影响服务或作业的日志。
- 如需进一步调查,请考虑使用 Mandiant 等突发事件响应服务。
- 请考虑删除受影响的 Cloud Run 服务或服务修订版本:
- 如需删除服务,请参阅删除现有服务。
- 如需删除服务修订版本,请回滚到先前的修订版本或部署一个更安全的新修订版本。然后,删除受影响的修订版本。
- 请考虑删除受影响的 Cloud Run 作业。
执行了恶意脚本或 Python 代码
如果通过脚本或 Python 代码对容器进行了预期更改,请将修订版本部署到包含所有预期更改内容的服务。请勿在完成容器部署后再依赖脚本对其进行更改。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 查看威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。