Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.
Présentation
VM Threat Detection a déterminé que des points ftrace sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code de module ou de kernel attendue.
Actions à mettre en place
Pour traiter ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez le résultat, comme indiqué dans Examiner un résultat. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.
Dans l'onglet Résumé, examinez les informations des sections suivantes :
Risque détecté, en particulier les champs suivants :
- Nom du rootkit de kernel : nom de la famille du rootkit détecté (par exemple,
Diamorphine). - Pages de code de kernel inattendues : indique si des pages de code de kernel sont présentes dans des régions de code de kernel ou de module où elles ne sont pas attendues.
- Gestionnaires d'appels système inattendus : indique si des gestionnaires d'appels système sont présents dans des régions de code de kernel ou de module où ils ne sont pas attendus.
- Nom du rootkit de kernel : nom de la famille du rootkit détecté (par exemple,
Ressource concernée, en particulier le champ suivant :
- Nom complet de la ressource : nom de ressource complet de l'instance de VM concernée, y compris l'ID du projet où elle est déployée.
Pour afficher le code JSON complet de ce résultat, cliquez sur l'onglet JSON dans la vue détaillée du résultat.
Étape 2 : Vérifier les journaux
Dans la console Google Cloud , accédez à l'explorateur de journaux.
Dans la barre d'outils de la console Google Cloud , sélectionnez le projet contenant l'instance de VM, tel qu'indiqué sur la ligne Nom complet de la ressource de l'onglet Résumé des détails du résultat.
Consultez les journaux pour détecter des signes d'intrusion sur l'instance de VM concernée. Recherchez par exemple les activités suspectes ou inconnues, ainsi que les signes de compromission d'identifiants.
Étape 3 : Vérifier les autorisations et les paramètres
- Dans l'onglet Résumé des détails du résultat, cliquez sur le lien présent dans le champ Nom complet de la ressource.
- Vérifiez les détails de l'instance de VM, y compris les paramètres réseau et d'accès.
Étape 4 : Inspecter la VM concernée
Suivez les instructions de la page Inspecter une VM pour détecter des signes de falsification de la mémoire du kernel.
Étape 5 : Étudier les méthodes d'attaque et de réponse
- Examinez les entrées du framework MITRE ATT&CK pour Évasion des défenses.
- Pour élaborer votre plan de réponse, combinez les résultats de votre enquête aux recherches de MITRE.
Étape 6 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.
Contactez le propriétaire de la VM.
Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants. Pour en savoir plus, consultez Options de protection des données dans la documentation Compute Engine.
Supprimez l'instance de VM.
Pour approfondir l'enquête, envisagez d'utiliser des services de réponse aux incidents tels que Mandiant.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.