本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引。
概览
通过检查 VPC 流日志和 Cloud DNS 日志中与已知的命令以及控制网域和 IP 地址的连接,检测到恶意软件。
如何应答
如需响应此发现结果,请执行以下操作:
第 1 步:查看发现结果详情
按照查看发现结果中所述,打开
Malware: Cryptomining Bad IP发现结果。系统会打开发现结果详细信息面板,以显示摘要标签页。在摘要标签页上,查看以下部分中的信息:
- 检测到的内容,尤其是以下字段:
- 来源 IP:疑似加密货币挖矿 IP 地址。
- 来源端口:连接的来源端口(如果有)。
- 目标 IP:目标 IP 地址。
- 目标端口:连接的目标端口(如果有)。
- 协议:与连接关联的 IANA 协议。
- 受影响的资源
- 相关链接,其中包括以下字段:
- Logging URI:指向 Logging 条目的链接。
- MITRE ATT&CK 方法:指向 MITRE ATT&CK 文档的链接。
- 相关发现结果:指向任何相关发现结果的链接。
- Flow Analyzer:指向 Network Intelligence Center 的 Flow Analyzer 功能的链接。只有在启用 VPC 流日志后,此字段才会显示。
- 检测到的内容,尤其是以下字段:
在发现结果的详情视图中,点击来源属性标签页。
展开属性,并记下以下字段中的项目和实例值:
instanceDetails:记下项目 ID 和 Compute Engine 实例的名称。项目 ID 和实例名称如下例所示:/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
如需查看发现结果的完整 JSON,请点击 JSON 标签页。
第 2 步:查看权限和设置
在 Google Cloud 控制台中,前往信息中心页面。
选择
properties_project_id中指定的项目。导航到资源卡片,然后点击 Compute Engine。
点击与
properties_sourceInstance匹配的虚拟机实例。调查可能被破解的实例是否存在恶意软件。在导航窗格中,点击 VPC 网络,然后点击防火墙。 移除或停用过于宽松的防火墙规则。
第 3 步:检查日志
在 Google Cloud 控制台中,前往 Logs Explorer。
在 Google Cloud 控制台工具栏中,选择您的项目。
在加载的页面上,使用以下过滤条件查找与
Properties_ip_0相关的 VPC 流日志:logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"(jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")
第 4 步:研究攻击和响应方法
- 查看此发现结果类型的 MITRE ATT&CK 框架条目:资源黑客攻击。
- 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。
第 5 步:实现响应
以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。
- 与包含恶意软件的项目的所有者联系。
- 调查可能被破解的实例,并移除所有发现的恶意软件。为了帮助您检测和移除,请使用端点检测和响应解决方案。
- 如有必要,请停止已被破解的实例并用新实例取代。
- 通过更新防火墙规则或使用 Cloud Armor 阻止恶意 IP 地址。您可以在 Security Command Center 集成式服务页面上启用 Cloud Armor。如果数据量很大,Cloud Armor 的费用可能会非常高。如需了解详情,请参阅 Cloud Armor 价格指南。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 查看威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。