Questa pagina è stata tradotta dall'API Cloud Translation.

Movimento laterale: disco di avvio modificato collegato all'istanza

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Gli audit log vengono esaminati per rilevare movimenti sospetti dei dischi tra le risorse delle istanze di Compute Engine. Un disco di avvio potenzialmente modificato è stato collegato a Compute Engine.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

Apri il risultato Lateral Movement: Modify Boot Disk Attaching to Instance, come descritto in Revisione dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.
Nella scheda Riepilogo, prendi nota dei valori dei seguenti campi.

In Che cosa è stato rilevato:
- Email entità: il account di servizio che ha eseguito l'azione
- Nome servizio: il nome API del servizio Google Cloud a cui ha avuto accesso il account di servizio
- Nome metodo: il metodo chiamato

Passaggio 2: ricerca di metodi di attacco e risposta

Utilizza gli strumenti per i service account, come Activity Analyzer, per esaminare l'attività del account di servizio associato.
Contatta il proprietario del account di servizio nel campo Email dell'entità. Conferma se l'azione è stata eseguita dal legittimo proprietario.

Passaggio 3: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Contatta il proprietario del progetto in cui è stata eseguita l'azione.
Valuta la possibilità di utilizzare Secure Boot per le tue istanze VM di Compute Engine.
Valuta la possibilità di eliminare il service account potenzialmente compromesso e ruotare ed eliminare tutte le chiavi di accesso delaccount di serviziot per il progetto potenzialmente compromesso. Dopo l'eliminazione, le applicazioni che utilizzano ilaccount di serviziot per l'autenticazione perdono l'accesso. Prima di procedere, il tuo team di sicurezza deve identificare tutte le applicazioni interessate e collaborare con i proprietari delle applicazioni per garantire la continuità operativa.
Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
Rispondi a eventuali notifiche dell'assistenza Google Cloud .

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri di più sui servizi che generano risultati di minacce.