Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils identifient une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menaces disponibles, consultez cet index.
Présentation
Les journaux d'audit sont examinés pour détecter les mouvements de disque suspects parmi les ressources d'instance Compute Engine. Un disque de démarrage potentiellement modifié a été associé à votre instance Compute Engine.
Event Threat Detection est la source de ce résultat.
Actions à mettre en place
Pour traiter ce résultat, procédez comme suit :
Étape 1 : Examinez les détails du résultat
- Ouvrez le résultat
Lateral Movement: Modify Boot Disk Attaching to Instance, comme indiqué dans Examiner les résultats. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé. Dans l'onglet Résumé, notez les valeurs des champs suivants.
Sous Risque détecté :
- Adresse e-mail du compte principal : compte de service qui a effectué l'action
- Nom du service : nom de l'API du service Google Cloud auquel le compte de service a accédé
- Nom de la méthode : méthode appelée
Étape 2 : Étudiez les méthodes d'attaque et de réponse
- Utilisez les outils de compte de service, comme Activity Analyzer, pour vérifier l'activité du compte de service associé.
- Contactez le propriétaire du compte de service indiqué dans le champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime est bien à l'origine de l'action.
Étape 3 : Mettez en œuvre votre plan de réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par le résultat.
- Contactez le propriétaire du projet dans lequel l'action a été effectuée.
- Envisagez d'utiliser le démarrage sécurisé pour vos instances de VM Compute Engine.
- Envisagez de supprimer le compte de service potentiellement compromis et d'alterner toutes les clés d'accès au compte de service du projet potentiellement compromis afin de les supprimer. Après la suppression, les applications qui utilisent le compte de service pour l'authentification perdront l'accès. Avant de procéder, votre équipe de sécurité doit donc identifier toutes les applications concernées et contacter leurs propriétaires pour assurer la continuité des opérations.
- Avec votre équipe de sécurité, identifiez les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
- Répondez aux notifications de l'assistance Google Cloud .
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menaces dans Security Command Center.
- Consultez l'index des résultats de détection de menaces.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- En savoir plus sur les services qui génèrent des résultats de détection de menaces