En este documento, se ofrece orientación informal sobre cómo puedes responder a los hallazgos de actividades sospechosas en tus recursos de Compute Engine. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.
No se garantiza que las técnicas de este documento sean efectivas contra cualquier amenaza anterior, actual o futura que te encuentres. Para comprender por qué Security Command Center no proporciona una guía oficial de solución de amenazas, consulta Soluciona amenazas.
Antes de comenzar
- Revisa el hallazgo. Anota la instancia de Compute Engine afectada, la dirección de correo electrónico principal detectada y la dirección IP del llamador (si está presente). También revisa el hallazgo para detectar indicadores de vulneración (IP, dominio, hash de archivo o firma).
- Para obtener más información sobre el hallazgo que estás investigando, búscalo en el índice de hallazgos de amenazas.
Recomendaciones generales
- Comunícate con el propietario del recurso afectado.
- Investiga la instancia potencialmente comprometida y quita cualquier software malicioso que se haya descubierto.
- Si es necesario, detén la instancia comprometida y reemplázala por una nueva.
- Para el análisis forense, considera crear copias de seguridad de las máquinas virtuales y los discos persistentes afectados. Para obtener más información, consulta Opciones de protección de datos en la documentación de Compute Engine.
- Si es necesario, borra la instancia de VM.
- Si el hallazgo incluye un correo electrónico principal y una IP de la persona que llama, revisa otros registros de auditoría asociados con esa principal o dirección IP para detectar actividad anómala. Si es necesario, inhabilita o reduce los privilegios de la cuenta asociada si se vio comprometida.
- Para realizar una investigación más exhaustiva, considera usar servicios de respuesta ante incidentes, como Mandiant.
Además, ten en cuenta las recomendaciones de las secciones posteriores de esta página.
Amenazas de SSH
- Considera inhabilitar el acceso SSH a la VM. Para obtener información sobre cómo inhabilitar las claves SSH, consulta Restringe las claves SSH de las VMs. Esta acción puede interrumpir el acceso autorizado a la VM, por lo que debes considerar las necesidades de tu organización antes de continuar.
- Usa la autenticación SSH solo con claves autorizadas.
- Actualiza las reglas del firewall o usa Cloud Armor para bloquear las direcciones IP maliciosas. Considera habilitar Cloud Armor como un servicio integrado. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Para obtener más información, consulta los precios de Cloud Armor.
Movimientos laterales en instancias de Compute Engine
Considera usar el arranque seguro para tus instancias de VM de Compute Engine.
Considera borrar la cuenta de servicio potencialmente vulnerada, además de rotar y borrar todas las claves de acceso de la cuenta de servicio del proyecto potencialmente vulnerado. Después de la eliminación, las aplicaciones que usan la cuenta de servicio para la autenticación perderán el acceso. Antes de continuar, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y trabajar con los propietarios de las aplicaciones para garantizar la continuidad del negocio.
Trabaja con tu equipo de seguridad para identificar recursos desconocidos, incluidas instancias de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM. Borra los recursos que no se crearon con cuentas autorizadas.
Responde las notificaciones de la Atención al cliente de Cloud.
¿Qué sigue?
- Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de resultados de amenazas.
- Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
- Obtén más información sobre los servicios que generan hallazgos de amenazas.