持久性:新 API 方法

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

在组织、文件夹或项目中检测到潜在恶意行事者的异常管理员活动。异常活动可以是以下任一情况:

  • 组织、文件夹或项目中的主账号的新活动
  • 组织、文件夹或项目中主账号一段时间内未出现的活动

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Persistence: New API Method 发现结果。

  2. 在发现结果详情的摘要标签页上,记下以下字段的值:

    • 检测到的内容下:
      • 主账号电子邮件地址:发出调用的账号
      • 服务名称:操作中使用的 Google Cloud 服务的 API 名称
      • 方法名称:所调用的方法
    • 受影响的资源下:
      • 资源显示名称:受影响资源的名称,可能与组织、文件夹或项目的名称相同
      • 资源路径:活动发生的资源层次结构中的位置

第 2 步:研究攻击和响应方法

  1. 查看此发现结果类型的 MITRE ATT&CK 框架条目:持久性
  2. 调查该操作在组织、文件夹或项目中是否有必要执行,以及该操作是否由账号的合法所有者执行。组织、文件夹或项目显示在资源路径行上,账号显示在主账号电子邮件地址行上。
  3. 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。

后续步骤