影響:Google Cloud 備份和災難復原服務會使映像檔過期

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

有惡意人士要求刪除備份圖片。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 如「查看發現項目」一文所述,開啟 Inhibit System Recovery: Google Cloud Backup and DR expire image 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
  2. 在「摘要」分頁中,查看下列各節的資訊:
    • 偵測到的內容,特別是下列欄位:
      • 政策名稱:單一政策的名稱,定義備份頻率、排程和保留時間
      • 範本名稱:一組政策的名稱,用於定義備份頻率、排程和保留時間
      • 設定檔名稱:指定應用程式和 VM 資料備份的儲存空間目標
      • 主要主體:成功執行動作的使用者
    • 受影響的資源
      • 資源顯示名稱:備份映像檔遭刪除的專案
    • 相關連結,尤其是下列欄位:
      • MITRE ATTACK 方法:連結至 MITRE ATT&CK 文件
      • Logging URI:開啟「Logs Explorer」(記錄檔探索工具) 的連結

步驟 2:研究攻擊和回應方法

與「主體電子郵件地址」欄位中的服務帳戶擁有者聯絡。確認正當擁有者是否執行了該項操作。

步驟 3:實作回應

  1. 在採取動作的專案中,前往管理控制台。
  2. 前往「Monitor」(監控) 分頁,然後選取「Jobs」(工作),即可查看刪除備份工作的狀態。
  3. 如果刪除工作未獲授權,請前往 IAM 權限,查看有權存取備份資料的使用者。

後續步驟