Gerakan Lateral: Boot Disk yang Diubah Dipasang ke Instance

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Log audit diperiksa untuk mendeteksi pergerakan disk yang mencurigakan di antara resource instance Compute Engine. Boot disk yang berpotensi dimodifikasi telah terpasang ke Compute Engine Anda.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Lateral Movement: Modify Boot Disk Attaching to Instance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, catat nilai kolom berikut.

   Di bagian Yang terdeteksi:

   • Email utama: akun layanan yang melakukan tindakan
   • Nama layanan: nama API dari Google Cloud layanan yang diakses oleh akun layanan
   • Nama metode: metode yang dipanggil

Langkah 2: Meneliti metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan terkait.
2. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project tempat tindakan dilakukan.
• Pertimbangkan untuk menggunakan Boot Aman untuk instance VM Compute Engine Anda.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan ganti serta hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Google Cloud Dukungan.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.