Cette page a été traduite par l'API Cloud Translation.

Accès initial : tentative de compromis Log4j

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Ce résultat est généré lorsque des recherches Java Naming and Directory Interface (JNDI) dans les en-têtes ou les paramètres d'URL sont détectés. Ces recherches peuvent indiquer des tentatives d'exploitation Log4Shell.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez un résultat Initial Access: Log4j Compromise Attempt, comme indiqué dans la section Examiner les détails des résultats. Le panneau de détails du résultat s'ouvre sur l'onglet Résumé.
Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :
- Ce qui a été détecté
- Ressource concernée
- Liens associés, en particulier les champs suivants :
  - URI Cloud Logging : lien vers les entrées de journalisation.
  - Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  - Résultats associés : liens vers les résultats associés.
- Dans la vue détaillée du résultat, cliquez sur l'onglet JSON.
- Dans le fichier JSON, notez les champs suivants.
- properties
  - loadBalancerName : nom de l'équilibreur de charge ayant reçu la recherche JNDI
  - requestUrl : URL de la requête HTTP. Si ce champ est présent, il contient une recherche JNDI.
  - requestUserAgent : user-agent qui a envoyé la requête HTTP. Si ce champ est présent, il contient une recherche JNDI.
  - refererUrl : URL de la page qui a envoyé la requête HTTP. Si ce champ est présent, il contient une recherche JNDI.

Étape 2 : Vérifier les journaux

Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans le champ URI Cloud Logging de l'étape 1.
Sur la page qui s'affiche, recherchez les jetons de chaîne (tels que ${jndi:ldap://) dans les champs httpRequest qui peuvent indiquer des tentatives d'exploitation possibles.

Pour découvrir des exemples de chaînes à rechercher et un exemple de requête, consultez la section CVE-2021-44228 : Détection de l'exploitation Log4Shell dans la documentation de Logging.

Étape 3 : Rechercher des méthodes d'attaque et de réponse

Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Exploitation d'une application publique.
Consultez les résultats associés en cliquant sur le lien Résultats associés dans la ligne Résultats associés de l'onglet Récapitulatif des détails du résultat. Les résultats associés sont du même type de résultat, sur la même instance et sur le même réseau.
Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étape 4 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

Installez la dernière version de Log4j.
Suivez les recommandations deGoogle Cloudpour enquêter sur la faille "Apache Log4j" et y répondre.
Mettez en œuvre les techniques d'atténuation recommandées dans Failles de sécurité Apache Log4j.
Si vous utilisez Google Cloud Armor, déployez la ressource cve-canary rule dans une stratégie de sécurité Cloud Armor nouvelle ou existante. Pour en savoir plus, consultez la page Règle WAF de Google Cloud Armor pour limiter les failles Apache Log4j.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
Consultez l'index des résultats de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
En savoir plus sur les services qui génèrent des résultats de détection des menaces