Impatto: rimozione del piano di backup e RE di Google Cloud
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai
rilevatori di minacce quando rilevano
una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.
Panoramica
Security Command Center esamina i log di controllo per rilevare l'eliminazione anomala di un piano di backup del servizio di Backup e DR utilizzato per applicare le norme di backup a un'applicazione.
Come rispondere
Per rispondere a questo risultato:
Passaggio 1: esamina i dettagli del risultato
Apri il Impact: Google Cloud Backup and DR remove plan
risultato, come descritto in Revisione dei risultati. Il riquadro dei dettagli
del risultato si apre nella scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:
Che cosa è stato rilevato, in particolare i seguenti campi:
Nome applicazione: il nome di un database o di una VM connessa a Backup and RE
Nome profilo: specifica la destinazione di archiviazione per i backup dei dati di applicazioni e VM
Nome modello: il nome di un insieme di norme che definiscono la frequenza, la pianificazione e il periodo di conservazione del backup
Risorsa interessata
Nome visualizzato risorsa: il progetto in cui è stato eliminato il piano
Link correlati, in particolare i seguenti campi:
Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK
URI di Logging: link per aprire Esplora log
Passaggio 2: ricerca di metodi di attacco e risposta
Contatta il proprietario del account di servizio nel campo Email dell'entità.
Conferma se l'azione è stata eseguita dal legittimo proprietario.
Passaggio 3: implementa la risposta
Nel progetto in cui è stata eseguita l'azione, vai alla console di gestione.
Nella scheda Gestione app, individua le applicazioni interessate che non sono più protette e rivedi le norme di backup per ciascuna.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-10 UTC."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nSecurity Command Center examines audit logs to detect the anomalous deletion of a\nBackup and DR Service backup plan used to apply backup policies to an application.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open the `Impact: Google Cloud Backup and DR remove plan` finding, as detailed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings). The details panel for the finding opens to the **Summary** tab.\n2. On the **Summary** tab, review the information in the following sections:\n - **What was detected** , especially the following fields:\n - **Application name**: the name of a database or VM connected to Backup and DR\n - **Profile name**: specifies the storage target for backups of application and VM data\n - **Template name**: the name for a set of policies that define backup frequency, schedule, and retention time\n - **Affected resource**\n - **Resource display name**: the project in which the plan was deleted\n - **Related** links, especially the following fields:\n - **MITRE ATTACK method**: link to the MITRE ATT\\&CK documentation\n - **Logging URI** : link to open the **Logs Explorer**\n\nStep 2: Research attack and response methods\n\nContact the owner of the service account in the **Principal email** field.\nConfirm whether the legitimate owner conducted the action.\n\nStep 3: Implement your response\n\n1. In the project where the action was taken, navigate to the management console.\n2. In the **App Manager** tab, find the affected applications that are no longer protected and review backup policies for each.\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
