Esta página se ha traducido con Cloud Translation API.

Responder a las detecciones de amenazas de Compute Engine

En este documento se ofrecen directrices informales sobre cómo responder a las detecciones de actividades sospechosas en tus recursos de Compute Engine. Es posible que los pasos recomendados no sean adecuados para todas las conclusiones y que afecten a sus operaciones. Antes de tomar medidas, debes investigar los resultados, evaluar la información que recojas y decidir cómo responder.

No se garantiza que las técnicas de este documento sean eficaces contra las amenazas anteriores, actuales o futuras a las que te enfrentes. Para saber por qué Security Command Center no ofrece orientación oficial sobre cómo solucionar las amenazas, consulta el artículo Solucionar amenazas.

Antes de empezar

Revisa el resultado. Anota la instancia de Compute Engine afectada y la dirección de correo principal y la dirección IP de la persona que llama detectadas (si están presentes). También debes revisar la detección para ver si hay indicadores de vulneración (IP, dominio, hash de archivo o firma).
Para obtener más información sobre la detección que estás investigando, busca la detección en el índice de detecciones de amenazas.

Recomendaciones generales

Ponte en contacto con el propietario del recurso afectado.
Investiga la instancia que puede estar en peligro y elimina el malware que encuentres.
Si es necesario, detén la instancia vulnerada y sustitúyela por una nueva.
Para realizar análisis forenses, considera la posibilidad de crear copias de seguridad de las máquinas virtuales y los discos persistentes afectados. Para obtener más información, consulta las opciones de protección de datos de la documentación de Compute Engine.
Si es necesario, elimina la instancia de VM.
Si el resultado incluye un correo principal y una IP de llamada, revisa otros registros de auditoría asociados a ese principal o dirección IP para detectar actividad anómala. Si es necesario, inhabilita o reduce los privilegios de la cuenta asociada si se ha visto comprometida.
Para investigar más a fondo, considera la posibilidad de usar servicios de respuesta a incidentes, como Mandiant.

Además, ten en cuenta las recomendaciones de las secciones posteriores de esta página.

Amenazas de SSH

Considera la posibilidad de inhabilitar el acceso SSH a la VM. Para obtener información sobre cómo inhabilitar las claves SSH, consulta el artículo Restringir claves SSH de máquinas virtuales. Esta acción puede interrumpir el acceso autorizado a la VM, por lo que debes tener en cuenta las necesidades de tu organización antes de continuar.
Usa la autenticación SSH solo con claves autorizadas.
Bloquea las direcciones IP maliciosas actualizando las reglas del cortafuegos o usando Cloud Armor. Te recomendamos que habilites Cloud Armor como servicio integrado. En función del volumen de datos, los costes de Cloud Armor pueden ser significativos. Para obtener más información, consulta los precios de Cloud Armor.

Movimientos laterales en instancias de Compute Engine

Considera la posibilidad de usar Arranque seguro en tus instancias de máquina virtual de Compute Engine.
Te recomendamos que elimines la cuenta de servicio que pueda haberse visto vulnerada y que cambies y elimines todas las claves de acceso de la cuenta de servicio del proyecto que pueda haberse visto vulnerado. Después de la eliminación, las aplicaciones que usen la cuenta de servicio para la autenticación perderán el acceso. Antes de continuar, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y trabajar con los propietarios de las aplicaciones para garantizar la continuidad del negocio.
Colabora con tu equipo de seguridad para identificar recursos desconocidos, como instancias de Compute Engine, snapshots, cuentas de servicio y usuarios de IAM. Elimina los recursos que no se hayan creado con cuentas autorizadas.
Responde a las notificaciones de Cloud Customer Care.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.