本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
我們會檢查稽核記錄,偵測備份和復原設備是否已移除。備份與復原設備是備份作業的重要元件。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 如「查看發現項目」一文所述,開啟
Inhibit System Recovery: Google Cloud Backup and DR remove appliance發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。 - 在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,特別是下列欄位:
- 設備名稱:連線至 Backup and DR 的資料庫或 VM 名稱
- 主要主體:成功執行動作的使用者
- 受影響的資源
- 資源顯示名稱:刪除設備的專案
- 相關連結,尤其是下列欄位:
- MITRE ATTACK 方法:連結至 MITRE ATT&CK 文件
- Logging URI:開啟「Logs Explorer」(記錄檔探索工具) 的連結
- 偵測到的內容,特別是下列欄位:
步驟 2:研究攻擊和回應方法
與「主體電子郵件地址」欄位中的服務帳戶擁有者聯絡。確認正當擁有者是否執行了該項操作。
步驟 3:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 在採取動作的專案中,前往管理控制台。
- 在「應用程式管理員」分頁中,找出不再受保護的受影響應用程式,並逐一查看備份政策。
- 如要建立新設備,並重新為未受保護的應用程式套用保護措施,請前往 Google Cloud 控制台中的「備份與 DR」,然後選取「部署其他備份或復原設備」選項。
- 在「儲存空間」選單中,為每個新設備設定儲存空間目標。 設定設備後,為應用程式建立設定檔時,系統會顯示該設備選項。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。