Persistência: chave SSH adicionada pelo administrador do GCE

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A chave de metadados da instância do Compute Engine ssh-keys foi alterada em uma instância criada há mais de sete dias.

Como responder

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Para responder a essa descoberta, faça o seguinte:

1. Verifique se a mudança foi feita intencionalmente por um membro ou se foi implementada por um invasor para introduzir um novo acesso à sua organização.

2. Verifique os registros usando os seguintes filtros:

   protopayload.resource.labels.instance_id=INSTANCE_ID
   protoPayload.serviceName="compute.googleapis.com"
   (protoPayload.metadata.instanceMetaData.addedMetadataKey : "ssh-keys" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "ssh-keys" )
   logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   

   Substitua:

   • INSTANCE_ID: a gceInstanceId listada na descoberta
   • ORGANIZATION_ID: o ID da organização

3. Eventos de pesquisa que acionam essa descoberta:

   • MITRE: https://attack.mitre.org/techniques/T1098/004/

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.