持久性:GCE 管理员添加了 SSH 密钥

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

在超过 7 天前创建的实例上更改了 ssh-keys Compute Engine 实例元数据键。

如何应答

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

如需响应此发现结果,请执行以下操作:

  1. 验证更改是否是由成员有意进行的,或者是否是攻击者为引入对您组织的新访问权限而实施的。

  2. 使用以下过滤条件检查日志:

    protopayload.resource.labels.instance_id=INSTANCE_ID
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.metadata.instanceMetaData.addedMetadataKey : "ssh-keys" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "ssh-keys" )
logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

    替换以下内容:

    • INSTANCE_ID:发现结果中列出的 gceInstanceId
    • ORGANIZATION_ID:您的组织 ID。

  3. 触发此发现结果的研究事件:

后续步骤