規避防禦機制：來自匿名 Proxy 的存取

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

系統會檢查 Cloud 稽核記錄，找出源自與 Tor 網路相關聯 IP 位址的 Google Cloud 服務修改項目，偵測匿名 Proxy 的異常存取活動。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的指示，開啟 Evasion: Access from Anonymizing Proxy 發現項目。系統會開啟發現項目詳細資料面板，並顯示「摘要」分頁。

2. 在發現項目詳細資料面板的「摘要」分頁中，查看下列區段列出的值：

   • 偵測到的內容，特別是下列欄位：
     • 主要電子郵件地址：進行變更的帳戶 (可能是遭盜用的帳戶)。
     • IP：進行變更的 Proxy IP 位址。
   • 受影響的資源
   • 相關連結，尤其是下列欄位：
     • Cloud Logging URI：記錄檔項目的連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。

3. (選用) 按一下「JSON」分頁標籤，即可查看其他發現欄位。

步驟 2：研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： Proxy: Multi-hop Proxy。
2. 請與「principalEmail」欄位中的帳戶擁有者聯絡。確認該動作是否由合法擁有者執行。
3. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。