In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Es sind unerwartete Änderungen am schreibgeschützten Datenspeicher des Kernels vorhanden.
So reagieren Sie
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
Schritt 1: Ergebnisdetails prüfen
Öffnen Sie das Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
Was wurde erkannt?, insbesondere die folgenden Felder:
- Name des Kernel-Rootkits: Der Familienname des erkannten Rootkits, z. B.
Diamorphine. - Unerwartete Kernel-Codeseiten: Gibt an, ob Kernel-Codeseiten in Kernel- oder Modulcodebereichen vorhanden sind, in denen sie nicht erwartet werden.
- Unerwarteter Systemaufruf-Handler: Gibt an, ob Systemaufruf-Handler in Kernel- oder Modulcodebereichen vorhanden sind, in denen sie nicht erwartet werden.
- Name des Kernel-Rootkits: Der Familienname des erkannten Rootkits, z. B.
Betroffene Ressource, insbesondere das folgende Feld:
- Vollständiger Ressourcenname: Der vollständige Ressourcenname der betroffenen VM-Instanz, einschließlich der ID des Projekts, das sie enthält.
Wenn Sie das vollständige JSON für dieses Ergebnis sehen möchten, klicken Sie in der Detailansicht des Ergebnisses auf den Tab JSON.
Schritt 2: Protokolle prüfen
Rufen Sie in der Google Cloud Console den Log-Explorer auf.
Wählen Sie in der Symbolleiste der Google Cloud Console das Projekt aus, das die VM-Instanz enthält, wie in der Zeile Vollständiger Ressourcenname auf dem Tab Zusammenfassung der Ergebnisdetails angegeben.
Prüfen Sie, ob in den Logs Zeichen für Angriffe auf die betroffene VM-Instanz enthalten sind. Beispielsweise können Sie nach verdächtigen oder unbekannten Aktivitäten und Zeichen von kompromittierten Anmeldedaten suchen.
Schritt 3: Berechtigungen und Einstellungen prüfen
- Klicken Sie auf dem Tab Zusammenfassung der Ergebnisdetails im Feld Vollständiger Ressourcenname auf den Link.
- Prüfen Sie die Details der VM-Instanz, einschließlich der Netzwerk- und Zugriffseinstellungen.
Schritt 4: Betroffene VM untersuchen
Folgen Sie der Anleitung unter VM auf Anzeichen für Manipulationen des Kernel-Speichers prüfen.
Schritt 5: Angriffs- und Reaktionsmethoden untersuchen
- Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für Defense Evasion.
- Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.
Schritt 6: Antwort implementieren
Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.
Wenden Sie sich an den Inhaber der VM.
Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.
Für die forensische Analyse sollten Sie die virtuellen Maschinen und nichtflüchtigen Speicher sichern. Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Datenschutzoptionen.
Löschen Sie die VM-Instanz.
Für weitere Untersuchungen sollten Sie Incident-Response-Services wie Mandiant in Betracht ziehen.
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren