Evasione: accesso da proxy con anonimizzazione

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

L'accesso anomalo da un proxy anonimo viene rilevato esaminando Cloud Audit Logs per le modifiche al servizio Google Cloud provenienti da un indirizzo IP associato alla rete Tor.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri un risultato Evasion: Access from Anonymizing Proxy come indicato in Revisione dei risultati. Si apre il riquadro con i dettagli del problema, che mostra la scheda Riepilogo.

  2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina i valori elencati nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
      • Email principale: l'account che ha apportato le modifiche (un account potenzialmente compromesso).
      • IP: l'indirizzo IP del proxy da cui vengono apportate le modifiche.
    • Risorsa interessata
    • Link correlati, in particolare i seguenti campi:
      • URI Cloud Logging: link alle voci di log.
      • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
      • Risultati correlati: link a eventuali risultati correlati.

  3. (Facoltativo) Fai clic sulla scheda JSON per visualizzare altri campi dei risultati.

Passaggio 2: ricerca di metodi di attacco e risposta

  1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Proxy: proxy multi-hop.
  2. Contatta il proprietario dell'account nel campo principalEmail. Conferma se l'azione è stata eseguita dal proprietario legittimo.
  3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggi successivi