Esta página foi traduzida pela API Cloud Translation.

Responder a descobertas de ameaças de rede

Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas na sua rede. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue os resultados, avalie as informações coletadas e decida como responder.

Não há garantias de que as técnicas neste documento sejam eficientes contra ameaças anteriores, atuais ou futuras. Para entender por que o Security Command Center não fornece orientações oficiais para a correção de ameaças, consulte Como corrigir ameaças.

Antes de começar

Analise a descoberta. Anote o recurso afetado e as conexões de rede detectadas. Se houver, analise os indicadores de comprometimento na descoberta com inteligência contra ameaças do VirusTotal.
Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.

Recomendações gerais

Entre em contato com o proprietário do recurso afetado.
Investigue o recurso de computação possivelmente comprometido e remova qualquer malware descoberto.
Se necessário, interrompa o recurso de computação comprometido.
Para análise forense, faça backup das máquinas virtuais e dos discos permanentes afetados. Para mais informações, consulte Opções de proteção de dados na documentação do Compute Engine.
Se necessário, exclua o recurso de computação afetado.
Para mais investigações, use serviços de resposta a incidentes, como a Mandiant.

Além disso, considere as recomendações nas seções subsequentes desta página.

Malware

Para rastrear atividades e vulnerabilidades que permitiram a inserção de malware, verifique os registros de auditoria e os syslogs associados ao recurso de computação comprometido.
Bloqueie os endereços IP maliciosos atualizando regras de firewall ou usando o Cloud Armor. Considere ativar o Cloud Armor como um serviço integrado. Dependendo do volume de dados, os custos do Cloud Armor podem ser significativos. Para mais informações, consulte Preços do Cloud Armor.
Para controlar o acesso e o uso de imagens, use a VM protegida e configure políticas de imagem confiáveis.

Ameaças de mineração de criptomoedas

Se você determinar que o aplicativo é de mineração e o processo ainda está em execução, encerre o processo. Localize o binário executável do aplicativo no armazenamento do recurso de computação e exclua-o.

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.