規避防禦機制:執行佇列中的非預期程序

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

排程器執行佇列中存在非預期程序。這類程序位於執行佇列中,但不在程序工作清單中。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看發現項目」一文中的指示開啟發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,尤其是下列欄位:

      • 核心 Rootkit 名稱:偵測到的 Rootkit 系列名稱,例如 Diamorphine
      • 非預期的核心程式碼頁面:核心或模組程式碼區域中是否出現非預期的核心程式碼頁面。
      • 非預期的系統呼叫處理常式:系統呼叫處理常式是否出現在不應出現的核心或模組程式碼區域。

    • 受影響的資源,尤其是下列欄位:

      • 資源完整名稱:受影響 VM 執行個體的完整資源名稱,包括所屬專案的 ID。

  3. 如要查看這項發現的完整 JSON,請在發現的詳細資料檢視畫面中,按一下「JSON」分頁標籤。

步驟 2:檢查記錄

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往記錄檔探索工具

  2. 在 Google Cloud 控制台工具列中,選取包含 VM 執行個體的專案,如發現詳細資料的「Summary」(摘要) 分頁中「Resource full name」(資源全名) 列所指定。

  3. 檢查記錄檔,瞭解受影響的 VM 執行個體是否有入侵跡象。例如,檢查是否有可疑或不明活動,以及憑證遭盜用的跡象。

步驟 3:檢查權限和設定

  1. 在調查結果詳細資料的「摘要」分頁中,點選「資源完整名稱」欄位中的連結。
  2. 查看 VM 執行個體的詳細資料,包括網路和存取權設定。

步驟 4:檢查受影響的 VM

按照「檢查 VM 是否有核心記憶體遭竄改的跡象」一文中的操作說明進行。

步驟 5:研究攻擊和回應方法

  1. 查看「規避防禦措施」的 MITRE ATT&CK 架構項目。
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 6:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  1. 與 VM 擁有者聯絡。

  2. 如有必要,請停止遭入侵的執行個體,並換成新的執行個體。

  3. 如要進行鑑識分析,請考慮備份虛擬機器和永久磁碟。詳情請參閱 Compute Engine 說明文件中的資料保護選項

  4. 刪除 VM 執行個體。

  5. 如要進一步調查,請考慮使用事件應變服務,例如 Mandiant

後續步驟