執行:本機偵查工具執行作業

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

容器中執行了本機偵查工具。這表示潛在攻擊者正在收集容器環境的相關資訊,例如網路設定、作用中的程序或已掛接的檔案系統。攻擊者通常會在攻擊初期使用這類工具,繪製潛在目標的地圖並找出弱點。這項發現屬於中等嚴重程度,因為這表示攻擊者正在積極探查容器,尋找進一步的攻擊機會。

偵測服務

Cloud Run 威脅偵測

回應方式

如要回應這項發現,請按照下列步驟操作:

查看發現項目詳細資料

  1. 按照「查看結果」一文中的指示,開啟 Execution: Local Reconnaissance Tool Execution 發現項目。 查看「摘要」和「JSON」分頁中的詳細資料。

  2. 在「摘要」分頁中,查看下列各節的資訊。

    • 偵測到的內容,特別是下列欄位:
      • 程式二進位檔:執行的二進位檔絕對路徑
      • 引數:在二進位檔執行期間傳遞的引數
    • 受影響的資源,尤其是下列欄位:

  3. 在「JSON」分頁中,請注意下列欄位。

    • resource
      • project_display_name:包含受影響 Cloud Run 資源的專案名稱
    • finding
      • processes
        • binary
        • path:執行的二進位檔完整路徑
      • args:執行二進位檔時提供的引數

  4. 找出受影響容器在類似時間發生的其他發現項目。相關發現可能指出這項活動是惡意行為,而非未遵循最佳做法。

  5. 查看受影響容器的設定。

  6. 檢查受影響容器的記錄。

研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: 主動掃描
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

實作回覆內容

如需回應建議,請參閱「回應 Cloud Run 威脅發現」。

後續步驟