Cette page a été traduite par l'API Cloud Translation.

Mouvement latéral: disque de démarrage modifié associé à l'instance

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Les journaux d'audit sont examinés pour détecter les mouvements de disque suspects parmi les ressources d'instance Compute Engine. Un disque de démarrage potentiellement modifié a été associé à votre instance Compute Engine.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

Ouvrez le résultat Lateral Movement: Modify Boot Disk Attaching to Instance, comme indiqué dans Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.
Dans l'onglet Résumé, notez les valeurs des champs suivants.

Sous Risque détecté :
- Adresse e-mail principale : compte de service ayant effectué l'action
- Nom du service : nom de l'API du service Google Cloud auquel le compte de service a accédé
- Nom de la méthode : méthode appelée

Étape 2 : Étudier les méthodes d'attaque et de réponse

Utilisez les outils de compte de service, comme Activity Analyzer, pour examiner l'activité du compte de service associé.
Contactez le propriétaire du compte de service dans le champ Adresse e-mail du compte principal. Confirmez si le propriétaire légitime a effectué l'action.

Étape 3 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

Contactez le propriétaire du projet dans lequel l'action a été effectuée.
Envisagez d'utiliser le démarrage sécurisé pour vos instances de VM Compute Engine.
Envisagez de supprimer le compte de service potentiellement compromis et d'alterner puis supprimer toutes les clés d'accès au compte de service du projet potentiellement compromis. Après suppression, les applications qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de continuer, votre équipe de sécurité doit identifier toutes les applications concernées et collaborer avec les propriétaires des applications pour assurer la continuité des opérations.
Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
Répondez aux notifications de l'assistance Google Cloud .

Étapes suivantes

Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
Consultez l'index des résultats de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
En savoir plus sur les services qui génèrent des résultats de détection des menaces