永続性: GCE 管理者による起動スクリプトの追加

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

検出結果の説明

説明 操作
確立されたインスタンスで startup-script または startup-script-url Compute Engine インスタンスのメタデータキーが変更されました。 7 日以上前に作成されたインスタンスで、Compute Engine インスタンスのメタデータキー startup-script または startup-script-url が変更されました。この変更がメンバーによって意図的に行われたものか、攻撃者が新しい経路で組織に行ったものかを確認します。

次のフィルタを使用してログを確認します。

protopayload.resource.labels.instance_id=INSTANCE_ID

protoPayload.serviceName="compute.googleapis.com"

((protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script" )

OR (protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script-url" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script-url" ))

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

次のように置き換えます。

  • INSTANCE_ID: 検出結果にリストされている gceInstanceId
  • ORGANIZATION_ID: 組織 ID

この検出結果をトリガーするイベントの調査結果:

次のステップ