Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nelle risorse Compute Engine. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.
Non è garantito che le tecniche descritte in questo documento siano efficaci contro minacce precedenti, attuali o future che potresti affrontare. Per capire perché Security Command Center non fornisce indicazioni ufficiali per la correzione delle minacce, vedi Correzione delle minacce.
Prima di iniziare
- Rivedi il risultato. Prendi nota dell'istanza Compute Engine interessata e dell'email del principal rilevata e dell'indirizzo IP del chiamante (se presente). Esamina anche il risultato per individuare indicatori di compromissione (IP, dominio, hash del file o firma).
- Per scoprire di più sul risultato che stai esaminando, cerca il risultato nell'indice dei risultati delle minacce.
Consigli generali
- Contatta il proprietario della risorsa interessata.
- Analizza l'istanza potenzialmente compromessa e rimuovi eventuali malware rilevati.
- Se necessario, interrompi l'istanza compromessa e sostituiscila con una nuova istanza.
- Per l'analisi forense, valuta la possibilità di eseguire il backup delle macchine virtuali e dei dischi permanenti interessati. Per saperne di più, consulta Opzioni di protezione dei dati nella documentazione di Compute Engine.
- Se necessario, elimina l'istanza VM.
- Se il risultato include un'email principale e un IP chiamante, esamina altri audit log associati a quell'entità o indirizzo IP per attività anomale. Se necessario, disattiva o riduci i privilegi dell'account associato se è stato compromesso.
- Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.
Inoltre, considera i consigli riportati nelle sezioni successive di questa pagina.
Minacce SSH
- Valuta la possibilità di disabilitare l'accesso SSH alla VM. Per informazioni sulla disattivazione delle chiavi SSH, vedi Limita le chiavi SSH dalle VM. Questa azione può interrompere l'accesso autorizzato alla VM, quindi valuta le esigenze della tua organizzazione prima di procedere.
- Utilizza l'autenticazione SSH solo con chiavi autorizzate.
- Blocca gli indirizzi IP dannosi aggiornando le regole del firewall o utilizzando Cloud Armor. Valuta la possibilità di attivare Cloud Armor come servizio integrato. A seconda del volume di dati, i costi di Cloud Armor possono essere significativi. Per ulteriori informazioni, consulta i prezzi di Cloud Armor.
Movimenti laterali nelle istanze Compute Engine
Valuta la possibilità di utilizzare Secure Boot per le tue istanze VM di Compute Engine.
Valuta la possibilità di eliminare l'account di servizio potenzialmente compromesso e ruotare ed eliminare tutte le chiavi di accesso dell'account di servizio per il progetto potenzialmente compromesso. Dopo l'eliminazione, le applicazioni che utilizzano il service account per l'autenticazione perdono l'accesso. Prima di procedere, il tuo team di sicurezza deve identificare tutte le applicazioni interessate e collaborare con i proprietari delle applicazioni per garantire la continuità operativa.
Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
Rispondi a eventuali notifiche dell'assistenza clienti Google Cloud.
Passaggi successivi
- Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
- Consulta l'indice dei risultati delle minacce.
- Scopri come esaminare un risultato tramite la console Google Cloud .
- Scopri di più sui servizi che generano risultati di minacce.