Umgehung von Abwehrmaßnahmen: Filterung der IP-Adressen von GCS-Buckets geändert

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Event Threat Detection untersucht Audit-Logs, um zu erkennen, ob die IP-Filterkonfiguration für einen Cloud Storage-Bucket aktualisiert wurde.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Defense Evasion: GCS Bucket IP Filtering Modified-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.
2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
   • Was wurde erkannt?, insbesondere die folgenden Felder:
     • Beschreibung: Informationen zur Erkennung
     • Inhaber des Hauptkontos: Ein Nutzer oder Dienstkonto, der bzw. das eine Aktion erfolgreich ausgeführt hat.
   • Betroffene Ressource
     • Anzeigename der Ressource: Der Bucket, in dem die Konfiguration aktualisiert wurde.
   • Weitere Informationen, insbesondere die folgenden Felder:
     • MITRE ATT&CK-Methode: Link zur MITRE ATT&CK-Dokumentation.
     • Logging-URI: Link zum Öffnen des Log-Explorers.

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

Wenden Sie sich im Feld Hauptkonto-Subjekt an den Inhaber des Dienstkontos oder Nutzerkontos. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren