Movimiento lateral: disco de arranque modificado conectado a una instancia
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Los registros de auditoría se examinan para detectar movimientos sospechosos de discos entre recursos de instancias de Compute Engine. Se ha adjuntado a tu instancia de Compute Engine un disco de arranque que podría haberse modificado.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
Abra el Lateral Movement: Modify Boot Disk Attaching to Instance, tal como se explica en el artículo Revisar los resultados. Se abre el panel de detalles del resultado en la pestaña Resumen.
En la pestaña Resumen, anote los valores de los siguientes campos.
En Qué se detectó:
Correo principal: la cuenta de servicio que ha realizado la acción.
Nombre del servicio: el nombre de la API del Google Cloud servicio al que ha accedido la cuenta de servicio
Nombre del método: el método al que se ha llamado
Paso 2: Investiga los métodos de ataque y respuesta
Ponte en contacto con el propietario de la cuenta de servicio que aparece en el campo Correo principal.
Confirma si el propietario legítimo ha llevado a cabo la acción.
Paso 3: Implementa tu respuesta
El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones.
Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.
Ponte en contacto con el propietario del proyecto en el que se ha realizado la acción.
Te recomendamos que uses Arranque seguro en tus instancias de máquina virtual de Compute Engine.
Te recomendamos que elimines la cuenta de servicio que pueda estar en peligro y que rotes y elimines todas las claves de acceso de la cuenta de servicio del proyecto que pueda estar en peligro. Después de eliminarla, las aplicaciones que usen la cuenta de servicio para la autenticación perderán el acceso. Antes de continuar, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y colaborar con los propietarios de las aplicaciones para garantizar la continuidad del negocio.
Colabora con tu equipo de seguridad para identificar recursos desconocidos, como instancias de Compute Engine, snapshots, cuentas de servicio y usuarios de gestión de identidades y accesos. Elimina los recursos que no se hayan creado con cuentas autorizadas.
Responde a las notificaciones de Google Cloud Asistencia.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nAudit logs are examined to detect suspicious disk movements among\nCompute Engine instance resources. A potentially modified boot disk has been\nattached to your Compute Engine.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open the `Lateral Movement: Modify Boot Disk Attaching to Instance` finding, as detailed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings). The details panel for the finding opens to the **Summary** tab.\n2. On the **Summary** tab, note the values of\n following fields.\n\n Under **What was detected**:\n - **Principal email**: the service account that performed the action\n - **Service name**: the API name of the Google Cloud service that was accessed by the service account\n - **Method name**: the method that was called\n\nStep 2: Research attack and response methods\n\n1. Use [service account\n tools](/policy-intelligence/docs/service-account-usage-tools), like [Activity\n Analyzer](/policy-intelligence/docs/activity-analyzer-service-account-authentication), to investigate the activity of the associated service account.\n2. Contact the owner of the service account in the **Principal email** field. Confirm whether the legitimate owner conducted the action.\n\nStep 3: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project where the action was taken.\n- Consider using [Secure Boot](/compute/shielded-vm/docs/shielded-vm#secure-boot) for your Compute Engine VM instances.\n- Consider [deleting the potentially compromised service account](/iam/docs/service-accounts-delete-undelete#deleting) and rotate and delete all service account access keys for the potentially compromised project. After deletion, applications that use the service account for authentication lose access. Before proceeding, your security team should identify all impacted applications and work with application owners to ensure business continuity.\n- Work with your security team to identify unfamiliar resources, including Compute Engine instances, snapshots, service accounts, and IAM users. Delete resources not created with authorized accounts.\n- Respond to any notifications from Google Cloud Support.\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
