Esta página se ha traducido con Cloud Translation API.

Responder a las detecciones de amenazas de red

En este documento se ofrecen directrices informales sobre cómo responder a las detecciones de actividades sospechosas en su red. Es posible que los pasos recomendados no sean adecuados para todas las conclusiones y que afecten a sus operaciones. Antes de tomar medidas, debes investigar los resultados, evaluar la información que recojas y decidir cómo responder.

No se garantiza que las técnicas de este documento sean eficaces contra las amenazas anteriores, actuales o futuras a las que te enfrentes. Para saber por qué Security Command Center no ofrece orientación oficial sobre cómo solucionar las amenazas, consulta el artículo Solucionar amenazas.

Antes de empezar

Revisa el resultado. Anota el recurso afectado y las conexiones de red detectadas. Si hay alguno, revisa los indicadores de riesgo de la detección con la información sobre amenazas de VirusTotal.
Para obtener más información sobre la detección que estás investigando, busca la detección en el índice de detecciones de amenazas.

Recomendaciones generales

Ponte en contacto con el propietario del recurso afectado.
Investiga el recurso de computación potencialmente vulnerado y elimina el malware que encuentres.
Si es necesario, detén el recurso de computación vulnerado.
Para realizar análisis forenses, considera la posibilidad de crear copias de seguridad de las máquinas virtuales y los discos persistentes afectados. Para obtener más información, consulta las opciones de protección de datos de la documentación de Compute Engine.
Si es necesario, elimina el recurso de proceso afectado.
Para investigar más a fondo, puedes usar servicios de respuesta a incidentes como Mandiant.

Además, ten en cuenta las recomendaciones de las secciones posteriores de esta página.

Malware

Para monitorizar la actividad y las vulnerabilidades que han permitido insertar malware, consulta los registros de auditoría y los registros del sistema asociados al recurso de computación comprometido.
Bloquea las direcciones IP maliciosas actualizando las reglas del cortafuegos o usando Cloud Armor. Te recomendamos que habilites Cloud Armor como servicio integrado. En función del volumen de datos, los costes de Cloud Armor pueden ser significativos. Para obtener más información, consulta los precios de Cloud Armor.
Para controlar el acceso y el uso de las imágenes, utiliza VM blindada y configura políticas de imágenes de confianza.

Amenazas de minería de criptomonedas

Si determinas que la aplicación es una aplicación de minería y su proceso sigue en ejecución, finaliza el proceso. Busca el archivo ejecutable de la aplicación en el almacenamiento del recurso de cálculo y elimínalo.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.