Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Kunci metadata instance Compute Engine startup-script atau startup-script-url diubah pada instance yang dibuat lebih dari tujuh hari yang lalu.
Cara merespons
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota, atau apakah perubahan tersebut diterapkan oleh penyerang untuk memperkenalkan akses baru ke organisasi Anda.
Periksa log menggunakan filter berikut:
protopayload.resource.labels.instance_id=INSTANCE_ID protoPayload.serviceName="compute.googleapis.com" ((protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script" ) OR (protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script-url" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script-url" )) logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
Ganti kode berikut:
INSTANCE_ID:gceInstanceIdyang tercantum dalam temuanORGANIZATION_ID: ID organisasi Anda
Peristiwa penelitian yang memicu temuan ini:
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.