Esta página foi traduzida pela API Cloud Translation.

Responder a descobertas de ameaças do Compute Engine

Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas nos seus recursos do Compute Engine. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue os resultados, avalie as informações coletadas e decida como responder.

Não há garantias de que as técnicas neste documento sejam eficientes contra ameaças anteriores, atuais ou futuras. Para entender por que o Security Command Center não fornece orientações oficiais para a correção de ameaças, consulte Como corrigir ameaças.

Antes de começar

Analise a descoberta. Anote a instância do Compute Engine afetada e o e-mail principal detectado e o endereço IP do chamador (se houver). Revise também a descoberta para indicadores de comprometimento (IP, domínio, hash de arquivo ou assinatura).
Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.

Recomendações gerais

Entre em contato com o proprietário do recurso afetado.
Investigue a instância possivelmente comprometida e remova qualquer malware descoberto.
Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.
Para análise forense, faça backup das máquinas virtuais e dos discos permanentes afetados. Para mais informações, consulte Opções de proteção de dados na documentação do Compute Engine.
Se necessário, exclua a instância de VM.
Se a descoberta incluir um e-mail principal e um IP do chamador, analise outros registros de auditoria associados a esse principal ou endereço IP para detectar atividades anômalas. Se necessário, desative ou reduza os privilégios da conta associada se ela tiver sido comprometida.
Para mais investigações, considere usar serviços de resposta a incidentes, como a Mandiant.

Além disso, considere as recomendações nas seções subsequentes desta página.

Ameaças de SSH

Considere desativar o acesso SSH à VM. Para informações sobre como desativar chaves SSH, consulte Restringir chaves SSH de VMs. Essa ação pode interromper o acesso autorizado à VM. Portanto, considere as necessidades da organização antes de continuar.
Use a autenticação SSH apenas com chaves autorizadas.
Bloqueie os endereços IP maliciosos atualizando regras de firewall ou usando o Cloud Armor. Considere ativar o Cloud Armor como um serviço integrado. Dependendo do volume de dados, os custos do Cloud Armor podem ser significativos. Para mais informações, consulte Preços do Cloud Armor.

Movimentos laterais em instâncias do Compute Engine

Considere usar a Inicialização segura nas instâncias de VM do Compute Engine.
Considere excluir a conta de serviço potencialmente comprometida e rotacionar e excluir todas as chaves de acesso da conta de serviço do projeto potencialmente comprometido. Após a exclusão, os aplicativos que usam a conta de serviço para autenticação perdem o acesso. Antes de prosseguir, sua equipe de segurança precisa identificar todos os aplicativos afetados e trabalhar com os proprietários deles para garantir a continuidade de negócios.
Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, snapshots, contas de serviço e usuários do IAM. Excluir recursos não criados com contas autorizadas.
Responda às notificações do Cloud Customer Care.

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.