本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
支援的 Log4j 漏洞掃描器會在 HTTP 參數、網址和文字欄位中插入模糊處理的 JNDI 查詢,並回呼至掃描器控管的網域。如果發現未混淆處理的網域 DNS 查詢,就會產生這項發現項目。只有在 JNDI 查閱成功時,才會發生這類查詢,表示 Log4j 存在有效漏洞。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看發現項目詳細資料」一文的說明,開啟
Active Scan: Log4j Vulnerable to RCE發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容
- 受影響的資源,尤其是下列欄位:
- 資源完整名稱:易受 Log4j RCE 攻擊的 Compute Engine 執行個體的完整資源名稱。
- 相關連結,尤其是下列欄位:
- Cloud Logging URI:記錄檔項目的連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
在調查結果的詳細資料檢視畫面中,按一下「JSON」分頁標籤。
請注意 JSON 中的下列欄位。
propertiesscannerDomain:掃描器使用的網域,屬於 JNDI 查閱程序的一部分。這會顯示偵測到安全漏洞的掃描器。sourceIp:用於發出 DNS 查詢的 IP 位址vpcName:執行個體上進行 DNS 查詢的網路名稱。
步驟 2:檢查記錄
- 在 Google Cloud 控制台中,按一下步驟 1「Cloud Logging URI」欄位中的連結,前往「Logs Explorer」。
在隨即載入的頁面中,檢查
httpRequest欄位是否有字串權杖,例如${jndi:ldap://,這可能表示有人試圖進行攻擊。如需搜尋的字串範例和查詢範例,請參閱「CVE-2021-44228:偵測 Log4Shell 弱點」一文。
步驟 3:研究攻擊和回應方法
- 查看這類發現項目的 MITRE ATT&CK 架構項目: Exploitation of Remote Services。
- 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。相關發現項目是指類型相同,且屬於相同執行個體和網路的發現項目。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 4:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
- 升級至最新版 Log4j。
- 請按照 Google Cloud的建議,調查及回應「Apache Log4j」安全漏洞。
- 在「Apache Log4j 安全漏洞」中實作建議的緩解技術。
- 如果您使用 Google Cloud Armor,請將
cve-canary rule部署到新的或現有的 Cloud Armor 安全性政策。詳情請參閱「Cloud Armor 網路應用程式防火牆規則有助於降低 Apache Log4j 安全漏洞的風險」。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。