Persistencia: El administrador de GCE agregó la clave SSH

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

La clave de metadatos de instancia de Compute Engine ssh-keys se cambió en una instancia que se creó hace más de siete días.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para responder a este hallazgo, haz lo siguiente:

1. Verifica si el cambio lo realizó de manera intencional un miembro o si un adversario lo implementó para agregar un nuevo acceso a tu organización.

2. Verifica los registros con los siguientes filtros:

   protopayload.resource.labels.instance_id=INSTANCE_ID
   protoPayload.serviceName="compute.googleapis.com"
   (protoPayload.metadata.instanceMetaData.addedMetadataKey : "ssh-keys" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "ssh-keys" )
   logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   

   Reemplaza lo siguiente:

   • INSTANCE_ID: el gceInstanceId que se muestra en el resultado
   • ORGANIZATION_ID: El ID de tu organización.

3. Eventos de investigación que activan este hallazgo:

   • MITRE: https://attack.mitre.org/techniques/T1098/004/

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.