Persistenz: GCE-Administrator hat Startskript hinzugefügt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Der Metadatenschlüssel startup-script oder startup-script-url der Compute Engine-Instanz wurde auf einer Instanz geändert, die vor mehr als sieben Tagen erstellt wurde.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

  1. Prüfen Sie, ob die Änderung absichtlich von einem Mitglied vorgenommen oder von einem Angreifer implementiert wurde, um neuen Zugriff auf Ihre Organisation einzuführen.

  2. Prüfen Sie Logs mit den folgenden Filtern:

    protopayload.resource.labels.instance_id=INSTANCE_ID
protoPayload.serviceName="compute.googleapis.com"
((protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script" OR
protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script" ) OR
(protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script-url" OR
protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script-url" ))
logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

    Ersetzen Sie Folgendes:

    • INSTANCE_ID: der im Ergebnis aufgeführte gceInstanceId
    • ORGANIZATION_ID: Ihre Organisations-ID.

  3. Untersuchen Sie Ereignisse, die dieses Ergebnis auslösen:

Nächste Schritte