Mouvement latéral: disque de démarrage modifié associé à l'instance
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.
Présentation
Les journaux d'audit sont examinés pour détecter les mouvements de disque suspects parmi les ressources d'instance Compute Engine. Un disque de démarrage potentiellement modifié a été associé à votre instance Compute Engine.
Comment répondre
Pour répondre à ce résultat, procédez comme suit :
Étape 1 : Examiner les détails du résultat
Ouvrez le résultat Lateral Movement: Modify Boot Disk Attaching to Instance, comme indiqué dans Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.
Dans l'onglet Résumé, notez les valeurs des champs suivants.
Sous Risque détecté :
Adresse e-mail principale : compte de service ayant effectué l'action
Nom du service : nom de l'API du service Google Cloud auquel le compte de service a accédé
Nom de la méthode : méthode appelée
Étape 2 : Étudier les méthodes d'attaque et de réponse
Contactez le propriétaire du compte de service dans le champ Adresse e-mail du compte principal.
Confirmez si le propriétaire légitime a effectué l'action.
Étape 3 : Mettre en œuvre votre réponse
Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations.
Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.
Contactez le propriétaire du projet dans lequel l'action a été effectuée.
Envisagez d'utiliser le démarrage sécurisé pour vos instances de VM Compute Engine.
Envisagez de supprimer le compte de service potentiellement compromis et d'alterner puis supprimer toutes les clés d'accès au compte de service du projet potentiellement compromis. Après suppression, les applications qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de continuer, votre équipe de sécurité doit identifier toutes les applications concernées et collaborer avec les propriétaires des applications pour assurer la continuité des opérations.
Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
Répondez aux notifications de l'assistance Google Cloud .
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nAudit logs are examined to detect suspicious disk movements among\nCompute Engine instance resources. A potentially modified boot disk has been\nattached to your Compute Engine.\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open the `Lateral Movement: Modify Boot Disk Attaching to Instance` finding, as detailed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings). The details panel for the finding opens to the **Summary** tab.\n2. On the **Summary** tab, note the values of\n following fields.\n\n Under **What was detected**:\n - **Principal email**: the service account that performed the action\n - **Service name**: the API name of the Google Cloud service that was accessed by the service account\n - **Method name**: the method that was called\n\nStep 2: Research attack and response methods\n\n1. Use [service account\n tools](/policy-intelligence/docs/service-account-usage-tools), like [Activity\n Analyzer](/policy-intelligence/docs/activity-analyzer-service-account-authentication), to investigate the activity of the associated service account.\n2. Contact the owner of the service account in the **Principal email** field. Confirm whether the legitimate owner conducted the action.\n\nStep 3: Implement your response\n\n\nThe following response plan might be appropriate for this finding, but might also impact operations.\nCarefully evaluate the information you gather in your investigation to determine the best way to\nresolve findings.\n\n- Contact the owner of the project where the action was taken.\n- Consider using [Secure Boot](/compute/shielded-vm/docs/shielded-vm#secure-boot) for your Compute Engine VM instances.\n- Consider [deleting the potentially compromised service account](/iam/docs/service-accounts-delete-undelete#deleting) and rotate and delete all service account access keys for the potentially compromised project. After deletion, applications that use the service account for authentication lose access. Before proceeding, your security team should identify all impacted applications and work with application owners to ensure business continuity.\n- Work with your security team to identify unfamiliar resources, including Compute Engine instances, snapshots, service accounts, and IAM users. Delete resources not created with authorized accounts.\n- Respond to any notifications from Google Cloud Support.\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
