ラテラル ムーブメント: 変更されたブートディスクがインスタンスにアタッチされた

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

監査ログを確認することで、Compute Engine インスタンス リソース間での不審なディスク移動を検出します。変更された可能性のあるブートディスクが Compute Engine に接続されました。

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

  1. 検出結果の確認の説明に従って、Lateral Movement: Modify Boot Disk Attaching to Instance の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

  2. [概要] タブで、次のフィールドの値をメモします。

    検出された内容の以下のフィールド:

    • プリンシパルのメール: アクションを実行したサービス アカウント
    • サービス名: サービス アカウントによってアクセスされた Google Cloud サービスの API 名
    • メソッド名: 呼び出されたメソッド

ステップ 2: 攻撃とレスポンスの手法を調査する

  1. 関連付けられているサービス アカウントのアクティビティを調査するには、Activity Analyzer などのサービス アカウント ツールを使用します。
  2. [プリンシパルのメール] フィールドにあるサービス アカウントのオーナーに連絡します。正当なオーナーが操作を行ったかどうかを確認します。

ステップ 3: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

  • 操作が行われたプロジェクトのオーナーに連絡します。
  • Compute Engine VM インスタンスでセキュアブートを使用することを検討してください。
  • 不正使用された可能性のあるサービス アカウントを削除し、不正使用された可能性のあるプロジェクトのサービス アカウントのアクセスキーをすべてローテーションして削除することを検討します。削除後は、このサービス アカウントを認証に使用するアプリケーションにアクセスできなくなります。続行する前に、セキュリティ チームは影響を受けるすべてのアプリケーションを特定し、アプリケーションのオーナーと協力してビジネスの継続性を確保する必要があります。
  • セキュリティ チームと協力して、覚えのないリソース(Compute Engine インスタンス、スナップショット、サービス アカウント、IAM ユーザーなど)を特定します。承認済みアカウントで作成されていないリソースを削除します。
  • Google Cloud サポートからの通知に対応します。

次のステップ