持續性:GCE 管理員新增安全殼層金鑰

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

在七天前建立的執行個體上,ssh-keys Compute Engine 執行個體中繼資料鍵已變更。

回應方式

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

如要回應這項發現,請按照下列步驟操作:

  1. 確認變更是否為成員的刻意行為,或是由攻擊者實作,藉此為貴機構導入新的存取權。

  2. 使用下列篩選器檢查記錄:

    protopayload.resource.labels.instance_id=INSTANCE_ID
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.metadata.instanceMetaData.addedMetadataKey : "ssh-keys" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "ssh-keys" )
logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

    更改下列內容:

    • INSTANCE_ID:發現結果中列出的 gceInstanceId
    • ORGANIZATION_ID:您的機構 ID

  3. 研究會觸發這項發現項目的事件:

後續步驟