本頁面由 Cloud Translation API 翻譯而成。

非預期的子殼層

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

Cloud Run Threat Detection 觀察到某個程序意外產生子殼層程序。這項事件可能表示攻擊者試圖濫用 Shell 指令和指令碼。

如要回應這項發現，請按照下列步驟操作：

按照「查看結果」一文的指示，開啟 Unexpected Child Shell 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。
在「摘要」分頁中，查看下列各節的資訊：
- 偵測到的內容，特別是下列欄位：
  - 父項程序：意外建立子殼層程序的程序
  - 子項程序：子項殼層程序
  - 引數：提供給子項殼層程序二進位的引數
  - 環境變數：子殼層程序二進位的環境變數
  - 容器：容器名稱
  - 容器 URI：容器的映像檔 URI
- 受影響的資源，尤其是下列欄位：
  - 資源顯示名稱：受影響資源的名稱。
  - 完整資源名稱：受影響 Cloud Run 資源的完整資源名稱
- 相關連結，尤其是以下欄位：
  - VirusTotal 指標：連結至 VirusTotal 分析頁面
在「JSON」分頁中，請注意下列欄位：
- processes：包含與發現項目相關的所有程序的陣列。這個陣列包含子項殼層程序和父項程序。
- resource：
  - project_display_name：包含資產的專案名稱。
找出受影響容器在類似時間發生的相關發現項目。這類發現可能表示該活動是惡意行為，而非未遵循最佳做法。
查看受影響容器的設定。
檢查受影響容器的記錄。

查看這類發現項目的 MITRE ATT&CK 架構項目：指令和指令碼解譯器：Unix Shell。
在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值，方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務，可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
如要制定回應計畫，請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。

如需回應建議，請參閱「回應 Cloud Run 威脅發現」。