Se usó la API de Cloud Translation para traducir esta página.

Cómo responder a los resultados de amenazas de red

En este documento, se ofrece orientación informal sobre cómo puedes responder a los hallazgos de actividades sospechosas en tu red. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.

No se garantiza que las técnicas de este documento sean efectivas contra cualquier amenaza anterior, actual o futura que te encuentres. Para comprender por qué Security Command Center no proporciona una guía oficial de solución de amenazas, consulta Soluciona amenazas.

Antes de comenzar

Revisa el hallazgo. Anota el recurso afectado y las conexiones de red detectadas. Si están presentes, revisa los indicadores de compromiso en el hallazgo con la inteligencia de amenazas de VirusTotal.
Para obtener más información sobre el hallazgo que estás investigando, búscalo en el índice de hallazgos de amenazas.

Recomendaciones generales

Comunícate con el propietario del recurso afectado.
Investiga el recurso de procesamiento potencialmente comprometido y quita cualquier software malicioso que se haya descubierto.
Si es necesario, detén el recurso de procesamiento comprometido.
Para el análisis forense, considera crear copias de seguridad de las máquinas virtuales y los discos persistentes afectados. Para obtener más información, consulta Opciones de protección de datos en la documentación de Compute Engine.
Si es necesario, borra el recurso de procesamiento afectado.
Para realizar una investigación más profunda, considera usar servicios de respuesta ante incidentes como Mandiant.

Además, ten en cuenta las recomendaciones de las secciones posteriores de esta página.

Software malicioso

Para realizar un seguimiento de la actividad y las vulnerabilidades que permitieron la inserción de software malicioso, verifica los registros de auditoría y los registros de sistema asociados con el recurso de procesamiento comprometido.
Actualiza las reglas del firewall o usa Cloud Armor para bloquear las direcciones IP maliciosas. Considera habilitar Cloud Armor como un servicio integrado. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Para obtener más información, consulta los precios de Cloud Armor.
Para controlar el acceso y el uso de imágenes, usa la VM protegida y configura políticas de imágenes confiables.

Amenazas de minería de criptomonedas

Si determinas que la aplicación es de minería y su proceso aún se está ejecutando, finalízalo. Ubica el archivo binario ejecutable de la aplicación en el almacenamiento del recurso de procesamiento y bórralo.

¿Qué sigue?

Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de resultados de amenazas.
Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
Obtén más información sobre los servicios que generan hallazgos de amenazas.