Persistenz: GCE-Administrator hat SSH-Schlüssel hinzugefügt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Der Metadatenschlüssel ssh-keys der Compute Engine-Instanz wurde auf einer Instanz geändert, die vor mehr als sieben Tagen erstellt wurde.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

1. Prüfen Sie, ob die Änderung absichtlich von einem Mitglied vorgenommen oder von einem Angreifer implementiert wurde, um neuen Zugriff auf Ihre Organisation einzuführen.

2. Prüfen Sie Logs mit den folgenden Filtern:

   protopayload.resource.labels.instance_id=INSTANCE_ID
   protoPayload.serviceName="compute.googleapis.com"
   (protoPayload.metadata.instanceMetaData.addedMetadataKey : "ssh-keys" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "ssh-keys" )
   logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   

   Ersetzen Sie Folgendes:

   • INSTANCE_ID: der im Ergebnis aufgeführte gceInstanceId
   • ORGANIZATION_ID: Ihre Organisations-ID.

3. Untersuchen Sie Ereignisse, die dieses Ergebnis auslösen:

   • MITRE: https://attack.mitre.org/techniques/T1098/004/

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren