Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.
Visão geral
Há modificações inesperadas da memória de dados somente leitura do kernel.
Como responder
Para responder a essa descoberta, faça o seguinte:
Etapa 1: verificar os detalhes da descoberta
Abra a descoberta, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.
Na guia Resumo, confira as informações nas seguintes seções:
O que foi detectado, especialmente os seguintes campos:
- Nome do rootkit do kernel: o nome da família do rootkit detectado, por exemplo,
Diamorphine. - Páginas de código do kernel inesperadas: se as páginas de código do kernel estão presentes em regiões de código do kernel ou do módulo onde não são esperadas.
- Manipulador inesperado de chamadas do sistema: indica se os manipuladores de chamadas do sistema estão presentes em regiões de código de kernel ou módulo onde não são esperados.
- Nome do rootkit do kernel: o nome da família do rootkit detectado, por exemplo,
Recurso afetado, especialmente o seguinte campo:
- Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que o contém
Para ver o JSON completo dessa descoberta, clique na guia JSON na visualização detalhada.
Etapa 2: verificar os registros
No console Google Cloud , acesse Análise de registros.
Na barra de ferramentas do console do Google Cloud , selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso na guia Resumo dos detalhes da descoberta.
Verifique nos registros se há sinais de invasão na instância da VM afetada. Por exemplo, verifique se há atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.
Etapa 3: verificar permissões e configurações
- Na guia Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
- Revise os detalhes da instância de VM, incluindo as configurações de rede e acesso.
Etapa 4: inspecionar a VM afetada
Siga as instruções em Inspecionar uma VM em busca de sinais de violação da memória do kernel.
Etapa 5: pesquisar métodos de ataque e resposta
- Revise as entradas de framework do MITRE ATT&CK para Evasão de defesa.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.
Etapa 6: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
Entre em contato com o proprietário da VM.
Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.
Para análise forense, faça backup das máquinas virtuais e dos discos permanentes. Para mais informações, consulte Opções de proteção de dados na documentação do Compute Engine.
Exclua a instância de VM.
Para mais investigações, use serviços de resposta a incidentes, como a Mandiant.
A seguir
- Saiba como trabalhar com descobertas de ameaças no Security Command Center.
- Consulte o índice de descobertas de ameaças.
- Saiba como analisar uma descoberta no console Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.