Movimiento lateral: Disco de arranque modificado conectado a la instancia
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.
Descripción general
Se examinan los registros de auditoría para detectar movimientos sospechosos de discos entre los recursos de instancias de Compute Engine. Se adjuntó a tu instancia de Compute Engine un disco de arranque que podría estar modificado.
Cómo responder
Para responder a este hallazgo, haz lo siguiente:
Paso 1: Revisa los detalles del hallazgo
Abre el hallazgo de Lateral Movement: Modify Boot Disk Attaching to Instance, como se detalla en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.
En la pestaña Resumen, anota los valores de los siguientes campos.
En Qué se detectó, se muestra lo siguiente:
Correo electrónico principal: Es la cuenta de servicio que realizó la acción.
Nombre del servicio: Es el nombre de la API del servicio Google Cloud al que accedió la cuenta de servicio.
Nombre del método: Es el método al que se llamó.
Paso 2: Investiga los métodos de ataque y respuesta
Comunícate con el propietario de la cuenta de servicio en el campo Correo electrónico principal.
Confirma si el propietario legítimo realizó la acción.
Paso 3: Implementa tu respuesta
El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones.
Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.
Comunícate con el propietario del proyecto en el que se realizó la acción.
Considera usar el inicio seguro para tus instancias de VM de Compute Engine.
Considera borrar la cuenta de servicio potencialmente vulnerada, además de rotar y borrar todas las claves de acceso de la cuenta de servicio del proyecto potencialmente vulnerado. Después de la eliminación, las aplicaciones que usan la cuenta de servicio para la autenticación perderán el acceso. Antes de continuar, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y trabajar con los propietarios de las aplicaciones para garantizar la continuidad del negocio.
Trabaja con tu equipo de seguridad para identificar recursos desconocidos, incluidos instancias de Compute Engine, instantáneas, cuentas de servicio y usuarios de IAM. Borra los recursos que no se crearon con cuentas autorizadas.
Responde las notificaciones de la Google Cloud asistencia.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nAudit logs are examined to detect suspicious disk movements among\nCompute Engine instance resources. A potentially modified boot disk has been\nattached to your Compute Engine.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open the `Lateral Movement: Modify Boot Disk Attaching to Instance` finding, as detailed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings). The details panel for the finding opens to the **Summary** tab.\n2. On the **Summary** tab, note the values of\n following fields.\n\n Under **What was detected**:\n - **Principal email**: the service account that performed the action\n - **Service name**: the API name of the Google Cloud service that was accessed by the service account\n - **Method name**: the method that was called\n\nStep 2: Research attack and response methods\n\n1. Use [service account\n tools](/policy-intelligence/docs/service-account-usage-tools), like [Activity\n Analyzer](/policy-intelligence/docs/activity-analyzer-service-account-authentication), to investigate the activity of the associated service account.\n2. Contact the owner of the service account in the **Principal email** field. Confirm whether the legitimate owner conducted the action.\n\nStep 3: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project where the action was taken.\n- Consider using [Secure Boot](/compute/shielded-vm/docs/shielded-vm#secure-boot) for your Compute Engine VM instances.\n- Consider [deleting the potentially compromised service account](/iam/docs/service-accounts-delete-undelete#deleting) and rotate and delete all service account access keys for the potentially compromised project. After deletion, applications that use the service account for authentication lose access. Before proceeding, your security team should identify all impacted applications and work with application owners to ensure business continuity.\n- Work with your security team to identify unfamiliar resources, including Compute Engine instances, snapshots, service accounts, and IAM users. Delete resources not created with authorized accounts.\n- Respond to any notifications from Google Cloud Support.\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
