Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez un résultat, comme indiqué dans Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.
Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :
Risque détecté, en particulier les champs suivants :
- Nom du rootkit de noyau : nom de famille du rootkit détecté (par exemple,
Diamorphine). - Pages de code kernel inattendues : indique si des pages de code kernel sont présentes dans des régions de code kernel ou de module où elles ne sont pas attendues.
- Gestionnaire d'appels système inattendu : indique si des gestionnaires d'appels système sont présents dans des régions de code de module ou de noyau où ils ne sont pas attendus.
- Nom du rootkit de noyau : nom de famille du rootkit détecté (par exemple,
Ressource concernée, en particulier le champ suivant :
- Nom complet de la ressource : nom complet de la ressource de l'instance de VM concernée, y compris l'ID du projet qui la contient.
Pour afficher le code JSON complet de ce résultat, cliquez sur l'onglet JSON dans la vue détaillée du résultat.
Étape 2 : Vérifier les journaux
Dans la console Google Cloud , accédez à l'explorateur de journaux.
Dans la barre d'outils de la console Google Cloud , sélectionnez le projet contenant l'instance de VM, comme indiqué sur la ligne Nom complet de la ressource de l'onglet Résumé des détails du résultat.
Consultez les journaux pour détecter des signes d'intrusion sur l'instance de VM concernée. Par exemple, recherchez les activités suspectes ou inconnues, ainsi que les signes de compromission des identifiants.
Étape 3 : Vérifier les autorisations et les paramètres
- Dans l'onglet Résumé des détails du résultat, cliquez sur le lien dans le champ Nom complet de la ressource.
- Vérifiez les détails de l'instance de VM, y compris les paramètres réseau et d'accès.
Étape 4 : Inspectez la VM concernée
Suivez les instructions de la section Inspecter une VM pour détecter des signes de falsification de la mémoire du noyau.
Étape 5 : Étudier les méthodes d'attaque et de réponse
- Examinez les entrées du framework MITRE ATT&CK pour Évasion des défenses.
- Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.
Étape 6 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
Contactez le propriétaire de la VM.
Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants. Pour en savoir plus, consultez Options de protection des données dans la documentation Compute Engine.
Supprimez l'instance de VM.
Pour approfondir vos investigations, pensez à utiliser des services de réponse aux incidents tels que Mandiant.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
- Consultez l'index des résultats de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection des menaces