Persistencia: El administrador de GCE agregó una secuencia de comandos de inicio

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

La clave de metadatos de instancia de Compute Engine startup-script o startup-script-url se cambió en una instancia que se creó hace más de siete días.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para responder a este hallazgo, haz lo siguiente:

  1. Verifica si el cambio lo realizó de manera intencional un miembro o si un adversario lo implementó para agregar un nuevo acceso a tu organización.

  2. Verifica los registros con los siguientes filtros:

    protopayload.resource.labels.instance_id=INSTANCE_ID
protoPayload.serviceName="compute.googleapis.com"
((protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script" OR
protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script" ) OR
(protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script-url" OR
protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script-url" ))
logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

    Reemplaza lo siguiente:

    • INSTANCE_ID: el gceInstanceId que se muestra en el resultado
    • ORGANIZATION_ID: El ID de tu organización.

  3. Eventos de investigación que activan este hallazgo:

¿Qué sigue?