Este documento oferece orientações informais sobre como pode responder às conclusões de atividades suspeitas nos seus recursos do Compute Engine. Os passos recomendados podem não ser adequados para todas as conclusões e podem afetar as suas operações. Antes de tomar qualquer medida, deve investigar as conclusões, avaliar as informações que recolhe e decidir como responder.
Não é garantido que as técnicas neste documento sejam eficazes contra ameaças anteriores, atuais ou futuras que enfrenta. Para compreender por que motivo o Security Command Center não fornece orientações de remediação oficiais para ameaças, consulte o artigo Remediar ameaças.
Antes de começar
- Reveja a conclusão. Tome nota da instância do Compute Engine afetada e do email principal detetado, bem como do endereço IP do autor da chamada (se presente). Reveja também a descoberta para ver indicadores de comprometimento (IP, domínio, hash ou assinatura do ficheiro).
- Para saber mais acerca da descoberta que está a investigar, pesquise a descoberta no índice de descobertas de ameaças.
Recomendações gerais
- Contacte o proprietário do recurso afetado.
- Investigue a instância potencialmente comprometida e remova qualquer software malicioso descoberto.
- Se necessário, pare a instância comprometida e substitua-a por uma nova instância.
- Para análise forense, pondere fazer uma cópia de segurança das máquinas virtuais afetadas e dos discos persistentes. Para mais informações, consulte as Opções de proteção de dados na documentação do Compute Engine.
- Se necessário, elimine a instância de VM.
- Se a descoberta incluir um email principal e um IP do autor da chamada, reveja outros registos de auditoria associados a esse principal ou endereço IP para verificar se existe atividade anómala. Se for necessário, desative ou reduza os privilégios da conta associada se esta tiver sido comprometida.
- Para uma investigação mais aprofundada, considere usar serviços de resposta a incidentes, como o Mandiant.
Além disso, considere as recomendações nas secções seguintes desta página.
Ameaças de SSH
- Considere desativar o acesso SSH à VM. Para obter informações sobre como desativar chaves SSH, consulte o artigo Restrinja as chaves SSH das VMs. Esta ação pode interromper o acesso autorizado à VM. Por isso, pondere as necessidades da sua organização antes de continuar.
- Use apenas a autenticação SSH com chaves autorizadas.
- Bloqueie endereços IP maliciosos atualizando as regras da firewall ou usando o Cloud Armor. Considere ativar o Cloud Armor como um serviço integrado. Consoante o volume de dados, os custos do Cloud Armor podem ser significativos. Para mais informações, consulte os preços do Cloud Armor.
Movimentos laterais em instâncias do Compute Engine
Considere usar o Arranque seguro para as suas instâncias de VM do Compute Engine.
Considere eliminar a conta de serviço potencialmente comprometida e rodar e eliminar todas as chaves de acesso da conta de serviço para o projeto potencialmente comprometido. Após a eliminação, as aplicações que usam a conta de serviço para autenticação perdem o acesso. Antes de continuar, a sua equipa de segurança deve identificar todas as aplicações afetadas e trabalhar com os proprietários das aplicações para garantir a continuidade da empresa.
Trabalhe com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM. Elimine recursos que não foram criados com contas autorizadas.
Responder a quaisquer notificações do Cloud Customer Care.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.