このドキュメントでは、Compute Engine リソース内の不審なアクティビティの検出結果に対応する方法に関する非公式なガイダンスを提供します。推奨される手順は、すべての検出結果に適しているとは限らず、オペレーションに影響する可能性があります。対応を行う前に、検出結果を調査し、収集した情報を評価して、対応方法を決定する必要があります。
このドキュメントで説明した手法が、過去、現在または将来において、直面する脅威に対して有効であるとは限りません。Security Command Center が脅威に対する公式の修正策を提供していない理由については、脅威の修復をご覧ください。
始める前に
- 検出結果を確認します。影響を受けている Compute Engine インスタンスと、検出されたプリンシパルのメールアドレスと呼び出し元 IP アドレス(存在する場合)をメモします。また、セキュリティ侵害インジケーター(IP、ドメイン、ファイル ハッシュ、シグネチャ)に関する検出結果も確認します。
- 調査している検出結果の詳細については、脅威の検出結果のインデックスで検出結果を検索してください。
一般的な推奨事項
- 影響を受けるリソースのオーナーに連絡します。
- 不正使用の可能性があるインスタンスを調査し、検出されたマルウェアをすべて削除します。
- 必要に応じて、不正使用されたインスタンスを停止し、新しいインスタンスに置き換えます。
- フォレンジック分析を行う場合は、影響を受ける仮想マシンと永続ディスクのバックアップを検討してください。詳細については、Compute Engine ドキュメントのデータ保護オプションをご覧ください。
- 必要に応じて、VM インスタンスを削除します。
- 検出結果にプリンシパルのメールアドレスと呼び出し元 IP アドレスが含まれている場合は、そのプリンシパルまたは IP アドレスに関連付けられている他の監査ログで異常なアクティビティを確認します。必要に応じて、関連付けられたアカウントが不正使用された場合は、そのアカウントの権限を無効にするか、権限を減らします。
- さらに調査するには、Mandiant などのインシデント対応サービスの利用をご検討ください。
また、このページの以降のセクションの推奨事項も検討してください。
SSH の脅威
- VM への SSH アクセスを無効にすることを検討します。SSH 認証鍵の無効化については、VM からの SSH 認証鍵を制限するをご覧ください。この操作を行うと、VM への承認済みアクセスが中断される可能性があります。手順を行う前に組織のニーズを考慮してください。
- 承認済みの鍵を使った SSH 認証のみを使用します。
- ファイアウォール ルールを更新するか Cloud Armor を使用して、不正な IP アドレスをブロックします。統合サービスとして Cloud Armor を有効にすることを検討してください。データ量によっては、Cloud Armor の費用が高額になる可能性があります。詳細については、Cloud Armor の料金をご覧ください。
Compute Engine インスタンスでのラテラル ムーブメント
Compute Engine VM インスタンスでセキュアブートを使用することを検討してください。
不正使用された可能性のあるサービス アカウントを削除し、不正使用された可能性のあるプロジェクトのサービス アカウントのアクセスキーをすべてローテーションして削除することを検討します。削除後は、このサービス アカウントを認証に使用するアプリケーションにアクセスできなくなります。続行する前に、セキュリティ チームは影響を受けるすべてのアプリケーションを特定し、アプリケーションのオーナーと協力してビジネスの継続性を確保する必要があります。
セキュリティ チームと協力して、覚えのないリソース(Compute Engine インスタンス、スナップショット、サービス アカウント、IAM ユーザーなど)を特定します。承認済みアカウントで作成されていないリソースを削除します。
Cloud カスタマーケアからの通知に対応します。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを参照する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。