Diese Seite wurde von der Cloud Translation API übersetzt.

Malware: Schädliche Datei auf dem Laufwerk

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

VM Threat Detection hat eine potenziell schädliche Datei erkannt, indem die nichtflüchtigen Speicher einer Amazon Elastic Compute Cloud-VM (EC2) nach bekannten Malware-Signaturen gescannt wurden.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Ergebnis Malware: Malicious file on disk, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt?, insbesondere die folgenden Felder:
  - YARA-Regelname: die YARA-Regel, die übereinstimmt.
  - Dateien: Die Partitions-UUID und der relative Pfad der potenziell schädlichen Datei, die erkannt wurde.
- Betroffene Ressource, insbesondere die folgenden Felder:
  - Vollständiger Ressourcenname: Der vollständige Ressourcenname der betroffenen VM-Instanz, einschließlich der ID des Projekts, das sie enthält.
Wenn Sie das vollständige JSON für dieses Ergebnis sehen möchten, klicken Sie in der Detailansicht des Ergebnisses auf den Tab JSON.
Beachten Sie in der JSON-Datei die folgenden Felder:
- indicator
  - signatures:
    - yaraRuleSignature: eine Signatur, die der abgeglichenen YARA-Regel entspricht.

Schritt 2: Protokolle prüfen

So rufen Sie die Logs für eine Compute Engine-VM-Instanz auf:

Rufen Sie in der Google Cloud Console den Log-Explorer auf.

Zum Log-Explorer
Wählen Sie in der Symbolleiste der Google Cloud Console das Projekt aus, das die VM-Instanz enthält, wie in der Zeile Vollständiger Ressourcenname auf dem Tab Zusammenfassung der Ergebnisdetails angegeben.
Prüfen Sie, ob in den Logs Zeichen für Angriffe auf die betroffene VM-Instanz enthalten sind. Beispielsweise können Sie nach verdächtigen oder unbekannten Aktivitäten und Zeichen von kompromittierten Anmeldedaten suchen.

Informationen zum Prüfen von Logs für eine Amazon EC2-VM-Instanz finden Sie in der Dokumentation zu Amazon CloudWatch Logs.

Schritt 3: Berechtigungen und Einstellungen prüfen

Klicken Sie auf dem Tab Zusammenfassung der Ergebnisdetails im Feld Vollständiger Ressourcenname auf den Link.
Prüfen Sie die Details der VM-Instanz, einschließlich der Netzwerk- und Zugriffseinstellungen.

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

Prüfen Sie den SHA-256-Hashwert für die als schädlich gekennzeichnete Binärdatei auf VirusTotal, indem Sie auf den Link in VirusTotal-Indikator klicken. VirusTotal ist ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Wenden Sie sich an den Inhaber der VM.
Suchen Sie bei Bedarf die potenziell schädliche Datei und löschen Sie sie. Die Partitions-UUID und den relativen Pfad der Datei finden Sie im Feld Dateien auf dem Tab Zusammenfassung der Ergebnisdetails. Verwenden Sie eine Lösung zur Endpunkterkennung und ‑reaktion, um Unterstützung bei der Erkennung und Entfernung zu erhalten.
Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.
- Compute Engine-VM: Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Compute Engine-Instanz beenden oder neu starten.
  
  Hinweis :Mit der Enterprise-Stufe von Security Command Center können Sie diese Aktion auch über ein Playbook zur Reaktion auf Bedrohungen ausführen.
- Amazon EC2-VM: Weitere Informationen finden Sie in der AWS-Dokumentation unter Stop and start Amazon EC2 instances (Amazon EC2-Instanzen beenden und starten).
Für die forensische Analyse sollten Sie die virtuellen Maschinen und nichtflüchtigen Speicher sichern.
- Compute Engine-VM: Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Datenschutzoptionen.
- Amazon EC2-VM: Weitere Informationen finden Sie in der AWS-Dokumentation unter Amazon EC2 backup and recovery with snapshots and AMIs.
Für weitere Untersuchungen sollten Sie Incident-Response-Services wie Mandiant in Betracht ziehen.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren