Diese Seite wurde von der Cloud Translation API übersetzt.

Seitliche Bewegung: Geändertes Bootlaufwerk an Instanz angehängt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Audit-Logs werden untersucht, um verdächtige Festplattenbewegungen zwischen Compute Engine-Instanzressourcen zu erkennen. Ein möglicherweise modifiziertes Bootlaufwerk wurde an Ihre Compute Engine-Instanz angehängt.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Lateral Movement: Modify Boot Disk Attaching to Instance-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.
Notieren Sie sich auf dem Tab Zusammenfassung die Werte der folgenden Felder.

Unter Was wurde erkannt?:
- E-Mail-Adresse des Hauptkontos: Das Dienstkonto, mit dem die Aktion ausgeführt wurde
- Dienstname: Der API-Name des Google Cloud Dienstes, auf den über das Dienstkonto zugegriffen wurde
- Methodenname: die aufgerufene Methode

Schritt 2: Angriffs- und Reaktionsmethoden untersuchen

Verwenden Sie Dienstkontotools wie die Aktivitätsanalyse, um die Aktivitäten des zugehörigen Dienstkontos zu untersuchen.
Wenden Sie sich im Feld E-Mail-Adresse des Hauptkontos an den Inhaber des Dienstkontos. Bestätigen Sie, dass die Aktion vom rechtmäßigen Inhaber ausgeführt wurde.

Schritt 3: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Wenden Sie sich an den Inhaber des Projekts, in dem die Maßnahme ergriffen wurde.
Erwägen Sie die Verwendung von Secure Boot für Ihre Compute Engine-VM-Instanzen.
Erwägen Sie, das möglicherweise manipulierte Dienstkonto zu löschen und alle Dienstkontoschlüssel für das möglicherweise manipulierte Projekt zu rotieren und zu löschen. Nach dem Löschen verlieren Anwendungen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff. Bevor Sie fortfahren, sollte Ihr Sicherheitsteam alle betroffenen Anwendungen identifizieren und mit den Anwendungsbesitzern zusammenarbeiten, um die Geschäftskontinuität zu gewährleisten.
Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer. Ressourcen löschen, die nicht mit autorisierten Konten erstellt wurden.
Auf Benachrichtigungen des Google Cloud -Supports antworten

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren