Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nella tua rete. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.
Non è garantito che le tecniche descritte in questo documento siano efficaci contro minacce precedenti, attuali o future che potresti affrontare. Per capire perché Security Command Center non fornisce indicazioni ufficiali per la correzione delle minacce, vedi Correzione delle minacce.
Prima di iniziare
Rivedi il risultato. Prendi nota della risorsa interessata e delle connessioni di rete rilevate. Se presenti, esamina gli indicatori di compromissione nel risultato con l'intelligence sulle minacce di VirusTotal.
Per scoprire di più sul risultato che stai esaminando, cerca il risultato nell'indice dei risultati delle minacce.
Consigli generali
- Contatta il proprietario della risorsa interessata.
- Analizza la risorsa di calcolo potenzialmente compromessa e rimuovi eventuali malware rilevati.
- Se necessario, arresta la risorsa di calcolo compromessa.
- Per l'analisi forense, valuta la possibilità di eseguire il backup delle macchine virtuali e dei dischi permanenti interessati. Per saperne di più, consulta Opzioni di protezione dei dati nella documentazione di Compute Engine.
- Se necessario, elimina la risorsa di computing interessata.
- Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.
Inoltre, considera i consigli riportati nelle sezioni successive di questa pagina.
Malware
- Per monitorare l'attività e le vulnerabilità che hanno consentito l'inserimento di malware, controlla i log di controllo e i log di sistema associati alla risorsa di calcolo compromessa.
- Blocca gli indirizzi IP dannosi aggiornando le regole del firewall o utilizzando Cloud Armor. Valuta la possibilità di attivare Cloud Armor come servizio integrato. A seconda del volume di dati, i costi di Cloud Armor possono essere significativi. Per ulteriori informazioni, consulta i prezzi di Cloud Armor.
- Per controllare l'accesso e l'utilizzo delle immagini, utilizza Shielded VM e configura criteri per immagini attendibili.
Minacce di mining di criptovalute
Se determini che l'applicazione è un'applicazione di mining e il relativo processo è ancora in esecuzione, termina il processo. Individua il binario eseguibile dell'applicazione nello spazio di archiviazione della risorsa di calcolo ed eliminalo.
Passaggi successivi
- Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
- Consulta l'indice dei risultati delle minacce.
- Scopri come esaminare un risultato tramite la console Google Cloud .
- Scopri di più sui servizi che generano risultati di minacce.