持久性：新 API 方法

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

在组织、文件夹或项目中检测到潜在恶意行事者的异常管理员活动。异常活动可以是以下任一情况：

• 组织、文件夹或项目中的主账号的新活动
• 组织、文件夹或项目中主账号一段时间内未出现的活动

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Persistence: New API Method 发现结果。

2. 在发现结果详情的摘要标签页上，记下以下字段的值：

   • 在检测到的内容下：
     • 主账号电子邮件地址：发出调用的账号
     • 服务名称：操作中使用的 Google Cloud 服务的 API 名称
     • 方法名称：所调用的方法
   • 在受影响的资源下：
     • 资源显示名称：受影响资源的名称，可能与组织、文件夹或项目的名称相同
     • 资源路径：活动发生的资源层次结构中的位置

第 2 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：持久性。
2. 调查该操作在组织、文件夹或项目中是否有必要执行，以及该操作是否由账号的合法所有者执行。组织、文件夹或项目显示在资源路径行上，账号显示在主账号电子邮件地址行上。
3. 如需制定响应方案，请将您的调查结果与 MITRE 研究相结合。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。