此页面由 Cloud Translation API 翻译。

横向移动：修改了挂接到实例的启动磁盘

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

系统会检查审核日志以检测 Compute Engine 实例资源中可疑的磁盘移动情况。可能已修改的启动磁盘已挂接到您的 Compute Engine。

如需响应此发现结果，请执行以下操作：

按照查看发现结果中所述，打开 Lateral Movement: Modify Boot Disk Attaching to Instance 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。
在摘要标签页上，记下以下字段的值。

在检测到的内容下：
- 主账号邮件：执行操作的服务账号
- 服务名称：服务账号访问的 Google Cloud 服务的 API 名称
- 方法名称：所调用的方法

以下响应方案可能适合此发现结果，但也可能会影响运营。请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

与执行操作的项目的所有者联系。
考虑为您的 Compute Engine 虚拟机实例使用安全启动。
考虑删除可能被盗用的服务账号，然后轮替和删除可能被破解的项目的所有服务账号访问密钥。删除后，使用该服务账号进行身份验证的应用会失去访问权限。在继续操作之前，您的安全团队应确定所有受影响的应用并与应用所有者合作，以确保业务连续性。
与您的安全团队合作，确定不熟悉的资源，包括 Compute Engine 实例、快照、服务账号和 IAM 用户。删除未使用已获授权的账号创建的资源。
响应来自 Google Cloud 支持团队的任何通知。