本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
VM 威脅偵測功能掃描 Compute Engine VM 的永久磁碟,偵測到已知惡意軟體特徵,因此判斷檔案可能含有惡意內容。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看結果」一文的指示,開啟
Malware: Malicious file on disk (YARA)發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,特別是下列欄位:
- YARA 規則名稱:相符的 YARA 規則。
- 檔案:偵測到的潛在惡意檔案的分區 UUID 和相對路徑。
- 受影響的資源,尤其是下列欄位:
- 資源完整名稱:受影響 VM 執行個體的完整資源名稱,包括所屬專案的 ID。
- 偵測到的內容,特別是下列欄位:
如要查看這項發現的完整 JSON,請在發現的詳細資料檢視畫面中,按一下「JSON」分頁標籤。
請注意 JSON 中的下列欄位:
indicatorsignatures:yaraRuleSignature:與相符 YARA 規則對應的簽章。
步驟 2:檢查記錄
如要查看 Compute Engine VM 執行個體的記錄,請按照下列步驟操作:
前往 Google Cloud 控制台的「Logs Explorer」頁面。
在 Google Cloud 控制台工具列中,選取包含 VM 執行個體的專案,如發現詳細資料的「Summary」(摘要) 分頁中「Resource full name」(資源全名) 列所示。
檢查記錄檔,瞭解受影響的 VM 執行個體是否有入侵跡象。舉例來說,請檢查是否有可疑或不明活動,以及遭盜用的憑證。
如要瞭解如何檢查 Amazon EC2 VM 執行個體的記錄,請參閱 Amazon CloudWatch Logs 說明文件。
步驟 3:檢查權限和設定
- 在調查結果詳細資料的「摘要」分頁中,點選「資源完整名稱」欄位中的連結。
- 查看 VM 執行個體的詳細資料,包括網路和存取權設定。
步驟 4:研究攻擊和回應方法
在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值,方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
步驟 5:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
與 VM 擁有者聯絡。
如有必要,請找出並刪除可能有害的檔案。如要取得檔案的分區 UUID 和相對路徑,請參閱調查結果詳細資料的「摘要」分頁中的「檔案」欄位。如要協助偵測及移除,請使用端點偵測與回應解決方案。
如有必要,請停止遭入侵的執行個體,並換成新的執行個體。
Compute Engine VM:請參閱 Compute Engine 說明文件中的「停止或重新啟動 Compute Engine 執行個體」。
Amazon EC2 VM:請參閱 AWS 說明文件中的「停止及啟動 Amazon EC2 執行個體」。
如要進行鑑識分析,請考慮備份虛擬機器和永久磁碟。
- Compute Engine VM:請參閱 Compute Engine 說明文件中的資料保護選項。
- Amazon EC2 VM:請參閱 AWS 說明文件中的「Amazon EC2 backup and recovery with snapshots and AMIs」。
如要進一步調查,請考慮使用事件應變服務,例如 Mandiant。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。