Diese Seite wurde von der Cloud Translation API übersetzt.

Persistenz: Neue API-Methode

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

In einer Organisation, einem Ordner oder einem Projekt wurde eine ungewöhnliche Administratoraktivität durch einen potenziell böswilligen Akteur erkannt. Anomale Aktivitäten können Folgendes sein:

Neue Aktivität eines Hauptkontos in einer Organisation, einem Ordner oder einem Projekt
Aktivität, die von einem Hauptkonto in einer Organisation, einem Ordner oder einem Projekt seit einiger Zeit nicht mehr ausgeführt wurde

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Persistence: New API Method-Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Notieren Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder:
- Unter Was wurde erkannt?:
  - E-Mail-Adresse des Hauptkontos: das Konto, über das der Anruf getätigt wurde
  - Dienstname: Der API-Name des Google Cloud-Dienstes, der in der Aktion verwendet wird.
  - Methodenname: die aufgerufene Methode
- Unter Betroffene Ressource:
  - Anzeigename der Ressource: Der Name der betroffenen Ressource, der mit dem Namen der Organisation, des Ordners oder des Projekts übereinstimmen kann.
  - Ressourcenpfad: Der Ort in der Ressourcenhierarchie, an dem die Aktivität stattgefunden hat.

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Persistence.
Prüfen Sie, ob die Aktion in der Organisation, im Ordner oder im Projekt gerechtfertigt war und ob sie vom legitimen Inhaber des Kontos ausgeführt wurde. Die Organisation, der Ordner oder das Projekt wird in der Zeile Ressourcenpfad angezeigt und das Konto in der Zeile E-Mail-Adresse des Hauptkontos.
Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren