Evasão: acesso de proxy de anonimização

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

O acesso anômalo usando um proxy anônimo é detectado ao analisar os registros de auditoria do Cloud em busca de modificações de serviço do Google Cloud originadas de um endereço IP associado à rede Tor.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Evasion: Access from Anonymizing Proxy, conforme informado em Como verificar descobertas. O painel com os detalhes da descoberta será aberto, exibindo a guia Resumo.

  2. Na guia Resumo do painel de detalhes da descoberta, revise os valores listados nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • E-mail principal: a conta que fez as alterações (uma conta potencialmente comprometida).
      • IP: o endereço IP do proxy de onde as mudanças são realizadas
    • Recurso afetado
    • Links relacionados, principalmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

  3. Se quiser, clique na guia JSON para visualizar outros campos de descoberta.

Etapa 2: pesquisar métodos de ataque e resposta

  1. Analise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Proxy: multi-hop Proxy.
  2. Entre em contato com o proprietário da conta no campo principalEmail. Confirme se a ação foi realizada pelo proprietário legítimo.
  3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

A seguir