URL Berbahaya Ditemukan

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang dapat dieksekusi. Penyerang dapat memuat malware atau library berbahaya melalui URL berbahaya.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malicious URL Observed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • URI: URI berbahaya yang diamati.
     • Menambahkan biner: jalur lengkap biner proses yang menerima argumen yang berisi URL berbahaya.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
     • Variabel lingkungan: variabel lingkungan yang berlaku saat biner proses dipanggil.
     • Containers: nama penampung.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: nama resource yang terpengaruh.
     • Nama lengkap resource: Nama lengkap resource cluster. Nama lengkap resource mencakup informasi berikut:
       • Project yang berisi cluster: projects/PROJECT_ID
       • Lokasi tempat cluster berada: zone/ZONE atau locations/LOCATION
       • Nama cluster: projects/CLUSTER_NAME
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.

3. Di tab JSON, dalam atribut sourceProperties, perhatikan nilai properti VM_Instance_Name.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang muncul di Nama lengkap resource (resource.name), jika perlu. Nama project muncul setelah /projects/ dalam nama resource lengkap.

3. Klik nama cluster yang Anda catat di Nama tampilan resource (resource.display_name) ringkasan temuan. Halaman Cluster akan terbuka.

4. Di bagian Metadata di **halaman detail Cluster, catat informasi yang ditentukan pengguna yang mungkin berguna dalam menyelesaikan ancaman, seperti informasi yang mengidentifikasi pemilik cluster.

5. Klik tab Nodes.

6. Dari node yang tercantum, pilih node yang cocok dengan nilai VM_Instance_Name yang Anda catat dalam JSON temuan sebelumnya.

7. Di tab Details pada halaman Node details, di bagian Annotations, catat nilai anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud , buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di toolbar konsol Google Cloud , pilih project yang Anda catat di Nama lengkap resource (resource.name) cluster dalam ringkasan temuan, jika perlu.

3. Klik Tampilkan beban kerja sistem.

4. Filter daftar beban kerja menurut nama cluster yang Anda catat di Nama lengkap resource (resource.name) dari ringkasan temuan dan, jika perlu, Namespace (kubernetes.pods.ns) pod yang Anda catat.

5. Klik nama workload yang cocok dengan nilai properti VM_Instance_Name yang Anda catat dalam JSON temuan sebelumnya. Halaman Pod details akan terbuka.

6. Di halaman Detail pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.

Langkah 4: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang muncul di Nama lengkap resource (resource.name), jika perlu.

3. Setel Pilih rentang waktu ke periode yang diinginkan.

4. Di halaman yang terbuka, lakukan hal berikut:

   1. Temukan log Pod untuk pod Anda (kubernetes.pods.name) menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Di konsol Google Cloud , buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

3. Di halaman Clusters, klik Connect, lalu klik Run in Cloud Shell.

   Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.

4. Tekan enter dan, jika dialog Authorize Cloud Shell muncul, klik Authorize.

5. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

     kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh
   

   Ganti CONTAINER_NAME dengan nama penampung yang Anda catat dalam ringkasan temuan sebelumnya.

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Meneliti metode serangan dan respons

1. Periksa status situs Safe Browsing untuk mendapatkan detail tentang alasan URL diklasifikasikan sebagai berbahaya.
2. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer.
3. Periksa nilai hash SHA-256 untuk file biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project dengan penampung yang disusupi.
• Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.