Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.
Présentation
Les logiciels malveillants sont détectés via un examen des journaux de flux VPC et des journaux Cloud DNS, dont l'objectif est d'identifier les connexions à des domaines de commande et de contrôle connus ainsi qu'à des adresses IP connues.
Event Threat Detection est la source de ce résultat.
Actions à mettre en place
Pour traiter ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez le résultat
Malware: Bad IPcomme indiqué dans Examiner un résultat. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.Dans l'onglet Résumé, examinez les informations des sections suivantes :
- Risque détecté, en particulier les champs suivants :
- Adresse IP de l'indicateur : adresse IP qui a déclenché le résultat.
- Adresse IP source : une adresse IP de commande et contrôle de logiciel malveillant connue.
- Port source : port source de la connexion.
- Adresse IP de destination : adresse IP cible du logiciel malveillant.
- Port de destination : port de destination de la connexion.
- Protocole : numéro de protocole IANA associé à la connexion.
- Ressource concernée, en particulier le champs suivant :
- Nom complet de la ressource : nom de ressource complet de l'instance Compute Engine concernée.
- Nom complet du projet : nom de ressource complet du projet contenant le résultat.
- Liens associés, en particulier les champs suivants :
- URI Cloud Logging : lien vers les entrées Logging.
- Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
- Résultats associés : liens vers les éventuels résultats associés.
- Indicateur VirusTotal : lien vers la page d'analyse VirusTotal.
- Flow Analyzer : lien vers la fonctionnalité Flow Analyzer de Network Intelligence Center. Ce champ ne s'affiche que lorsque les journaux de flux VPC sont activés.
Cliquez sur l'onglet JSON et notez le champ suivant :
evidence:sourceLogId:projectID: ID du projet dans lequel le problème a été détecté.
properties:InstanceDetails: adresse de ressource pour l'instance Compute Engine.
- Risque détecté, en particulier les champs suivants :
Étape 2 : Vérifier les autorisations et les paramètres
Dans la console Google Cloud , accédez à la page Tableau de bord.
Sélectionnez le projet spécifié dans la ligne Nom complet du projet de l'onglet Résumé.
Accédez à la fiche Ressources, puis cliquez sur Compute Engine.
Cliquez sur l'instance de VM qui correspond au nom et à la zone dans Nom complet de la ressource. Vérifiez les détails de l'instance, y compris les paramètres réseau et d'accès.
Dans le volet de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.
Étape 3 : Vérifier les journaux
- Dans l'onglet Résumé du panneau des détails du résultat, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
Sur la page qui s'affiche, recherchez les journaux de flux VPC associés à l'adresse IP indiquée dans Adresse IP source à l'aide du filtre suivant :
logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")Remplacez les éléments suivants :
PROJECT_ID: sélectionnez le projet listé dansprojectId.SOURCE_IP: par l'adresse IP indiquée sur la ligne Adresse IP source de l'onglet Résumé des détails du résultat.
Étape 4 : Vérifier avec Flow Analyzer
Vous devez activer les journaux de flux VPC pour effectuer la procédure suivante.
- Vérifiez que vous avez bien mis à niveau votre bucket de journaux pour pouvoir utiliser l'Analyse de journaux. Pour obtenir des instructions, consultez Mettre à niveau un bucket pour utiliser l'analyse de journaux. La mise à niveau n'entraîne aucuns frais supplémentaires.
Dans la console Google Cloud , accédez à la page Flow Analyzer :
Vous pouvez également accéder à Flow Analyzer via le lien URL de Flow Analyzer dans la section Liens associés de l'onglet Résumé du volet Détails du résultat.
Afin d'examiner plus en détail les informations concernant le résultat Event Threat Detection, utilisez le sélecteur de période dans la barre d'action pour modifier la période. La période doit englober le moment où le résultat a été signalé pour la première fois. Par exemple, si le problème a été signalé au cours des deux dernières heures, vous pouvez définir la période sur 6 dernières heures. Cela garantit que la période dans Flow Analyzer inclut bien le moment où le problème a été signalé.
Appliquez un filtre à Flow Analyzer afin d'afficher les résultats appropriés pour l'adresse IP associée au résultat "Adresse IP malveillante" :
- Dans le menu Filtre de la ligne Source de la section Requête, sélectionnez Adresse IP.
Dans le champ Valeur, saisissez l'adresse IP associée au résultat, puis cliquez sur Exécuter une nouvelle requête.
Si Flow Analyzer n'affiche aucun résultat pour l'adresse IP, effacez le filtre de la ligne Source et exécutez à nouveau la requête avec le même filtre dans la ligne Destination.
Analysez les résultats. Pour obtenir des informations supplémentaires sur un flux spécifique, cliquez sur Détails dans la table Tous les flux de données pour ouvrir le volet Détails du flux.
Étape 5 : Étudier les méthodes d'attaque et de réponse
- Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Résolution dynamique et Commande et contrôle.
- Consultez les résultats associés en cliquant sur le lien Résultats associés indiqué dans la ligne Résultats associés de l'onglet Résumé des détails du résultat. Les résultats associés sont du même type, sur la même instance et sur le même réseau.
- Vérifiez les URL et les domaines signalés dans VirusTotal en cliquant sur le lien dans l'indicateur VirusTotal. VirusTotal est un service appartenant à Alphabet qui fournit du contexte sur des fichiers, des URL, des adresses IP et des domaines potentiellement malveillants.
- Pour élaborer votre plan de réponse, combinez les résultats de votre enquête aux recherches de MITRE.
Étape 6 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.
- Contactez le propriétaire du projet contenant le ou les logiciels malveillants.
- Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés. Pour faciliter la détection et la suppression, utilisez une solution de détection et de réponse sur les points de terminaison.
- Pour suivre l'activité et les failles ayant permis l'insertion de logiciels malveillants, consultez les journaux d'audit et les journaux syslog associés à l'instance compromise.
- Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
-
Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou à l'aide de Cloud Armor. Selon le volume de données concerné, les coûts associés à Cloud Armor peuvent être importants. Pour en savoir plus, consultez le guide des tarifs de Cloud Armor.
Pour activer Cloud Armor dans la console Google Cloud , accédez à la page Services intégrés.
- Pour contrôler les accès et l'utilisation des images de VM, utilisez les stratégies IAM de VM protégée et d'images de confiance.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.