このドキュメントでは、ネットワーク内の不審なアクティビティの検出結果に対応する方法に関する非公式なガイダンスを提供します。推奨される手順は、すべての検出結果に適しているとは限らず、オペレーションに影響する可能性があります。対応を行う前に、検出結果を調査し、収集した情報を評価して、対応方法を決定する必要があります。
このドキュメントで説明した手法が、過去、現在または将来において、直面する脅威に対して有効であるとは限りません。Security Command Center が脅威に対する公式の修正策を提供していない理由については、脅威の修復をご覧ください。
始める前に
検出結果を確認します。影響を受けるリソースと検出されたネットワーク接続をメモします。存在する場合は、VirusTotal の脅威インテリジェンスを使用して、検出結果の侵害インジケーターを確認します。
調査している検出結果の詳細については、脅威の検出結果のインデックスで検出結果を検索してください。
一般的な推奨事項
- 影響を受けるリソースのオーナーに連絡します。
- 不正使用の可能性があるコンピューティング リソースを調査し、検出されたマルウェアをすべて削除します。
- 必要に応じて、不正使用されたコンピューティング リソースを停止します。
- フォレンジック分析を行う場合は、影響を受ける仮想マシンと永続ディスクのバックアップを検討してください。詳細については、Compute Engine ドキュメントのデータ保護オプションをご覧ください。
- 必要に応じて、影響を受けるコンピューティング リソースを削除します。
- さらに調査するには、Mandiant などのインシデント対応サービスの利用をご検討ください。
また、このページの以降のセクションの推奨事項も検討してください。
マルウェア
- マルウェアの侵入を可能にするアクティビティと脆弱性を追跡するには、不正使用されたインスタンスに関連付けられた監査ログと syslog を確認します。
- ファイアウォール ルールを更新するか Cloud Armor を使用して、不正な IP アドレスをブロックします。統合サービスとして Cloud Armor を有効にすることを検討してください。データ量によっては、Cloud Armor の費用が高額になる可能性があります。詳細については、Cloud Armor の料金をご覧ください。
- イメージへのアクセスと使用をコントロールするには、Shielded VM を使用して、信頼できるイメージのポリシーを設定します。
暗号通貨マイニングの脅威
アプリケーションがマイニング アプリケーションであり、そのプロセスが実行されている場合は、プロセスを終了します。コンピューティング リソースのストレージでアプリケーションの実行可能なバイナリを見つけ、削除します。
次のステップ
- Security Command Center で脅威の検出結果を操作する方法を学習する。
- 脅威の検出結果のインデックスを参照する。
- Google Cloud コンソールで検出結果を確認する方法を学習する。
- 脅威の検出結果を生成するサービスについて学習する。