Ce document fournit des conseils informels sur la façon de répondre aux résultats d'activités suspectes dans vos ressources Compute Engine. Les étapes recommandées peuvent ne pas convenir à tous les problèmes et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous collectez et décider comment réagir.
L'efficacité des techniques décrites dans ce document n'est pas garantie contre les menaces passées, actuelles ou futures. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour la résolution des menaces, consultez la page Corriger les menaces.
Avant de commencer
- Examinez le problème. Notez l'instance Compute Engine concernée, ainsi que l'adresse e-mail du principal et l'adresse IP de l'appelant détectées (le cas échéant). Examinez également le résultat pour identifier les indicateurs de compromission (adresse IP, domaine, hachage de fichier ou signature).
- Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des résultats de menace.
Recommandations générales
- Contactez le propriétaire de la ressource concernée.
- Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés.
- Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
- Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants concernés. Pour en savoir plus, consultez la section Options de protection des données dans la documentation Compute Engine.
- Si nécessaire, supprimez l'instance de VM.
- Si le résultat inclut une adresse e-mail principale et une adresse IP de l'appelant, examinez les autres journaux d'audit associés à ce compte principal ou à cette adresse IP pour détecter toute activité anormale. Si nécessaire, désactivez ou réduisez les droits du compte associé s'il a été piraté.
- Pour approfondir votre enquête, pensez à utiliser des services de réponse aux incidents comme Mandiant.
Tenez également compte des recommandations figurant dans les sections suivantes de cette page.
Menaces SSH
- Envisagez de désactiver l'accès SSH à la VM. Pour en savoir plus sur la désactivation des clés SSH, consultez Restreindre des clés SSH sur des VM. Cette action peut interrompre l'accès autorisé à la VM. Par conséquent, pensez aux besoins de votre organisation avant de l'appliquer.
- N'utilisez l'authentification SSH qu'avec des clés autorisées.
- Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Cloud Armor. Envisagez d'activer Cloud Armor en tant que service intégré. Selon le volume de données, les coûts de Cloud Armor peuvent être importants. Pour en savoir plus, consultez les tarifs de Cloud Armor.
Mouvements latéraux dans les instances Compute Engine
Envisagez d'utiliser le démarrage sécurisé pour vos instances de VM Compute Engine.
Envisagez de supprimer le compte de service potentiellement compromis et d'alterner puis supprimer toutes les clés d'accès au compte de service du projet potentiellement compromis. Après suppression, les applications qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de continuer, votre équipe de sécurité doit identifier toutes les applications concernées et collaborer avec les propriétaires des applications pour assurer la continuité des opérations.
Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
Répondez à toutes les notifications de Cloud Customer Care.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces