Cette page a été traduite par l'API Cloud Translation.

Répondre aux résultats de menaces réseau

Ce document fournit des conseils informels sur la façon de répondre aux découvertes d'activités suspectes sur votre réseau. Les étapes recommandées peuvent ne pas convenir à tous les problèmes et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous collectez et décider comment réagir.

L'efficacité des techniques décrites dans ce document n'est pas garantie contre les menaces passées, actuelles ou futures. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour la résolution des menaces, consultez la page Corriger les menaces.

Avant de commencer

Examinez le problème. Notez la ressource concernée et les connexions réseau détectées. Le cas échéant, examinez les indicateurs de compromission dans le résultat avec les informations sur les menaces de VirusTotal.
Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des résultats de menace.

Recommandations générales

Contactez le propriétaire de la ressource concernée.
Examinez la ressource de calcul potentiellement compromise et supprimez tous les logiciels malveillants détectés.
Si nécessaire, arrêtez la ressource de calcul compromise.
Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants concernés. Pour en savoir plus, consultez la section Options de protection des données dans la documentation Compute Engine.
Si nécessaire, supprimez la ressource de calcul concernée.
Pour approfondir vos investigations, pensez à utiliser des services de réponse aux incidents tels que Mandiant.

Tenez également compte des recommandations figurant dans les sections suivantes de cette page.

Logiciels malveillants

Pour suivre l'activité et les failles ayant permis l'insertion de logiciels malveillants, consultez les journaux d'audit et les journaux syslog associés à la ressource de calcul compromise.
Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Cloud Armor. Envisagez d'activer Cloud Armor en tant que service intégré. Selon le volume de données, les coûts de Cloud Armor peuvent être importants. Pour en savoir plus, consultez les tarifs de Cloud Armor.
Pour contrôler l'accès aux images et leur utilisation, utilisez Shielded VM et configurez des règlements relatifs aux images de confiance.

Menaces liées au minage de cryptomonnaies

Si vous considérez que l'application est une application mineure et que son processus est toujours en cours d'exécution, arrêtez-le. Recherchez le fichier binaire exécutable de l'application dans le stockage de la ressource de calcul, puis supprimez-le.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
Consultez l'index des résultats de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
En savoir plus sur les services qui génèrent des résultats de détection des menaces