Esta página foi traduzida pela API Cloud Translation.

Movimentação lateral: disco de inicialização modificado anexado à instância

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Os registros de auditoria são examinados para detectar movimentos suspeitos de disco entre recursos de instância do Compute Engine. Um disco de inicialização potencialmente modificado foi anexado ao seu Compute Engine.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

Abra a descoberta Lateral Movement: Modify Boot Disk Attaching to Instance, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.
Na guia Resumo, observe os valores dos seguintes campos:

Em O que foi detectado:
- E-mail principal: a conta de serviço que realizou a ação
- Nome do serviço: o nome da API do serviço Google Cloud acessado pela conta de serviço
- Nome do método: o método que foi chamado

Etapa 2: pesquisar métodos de ataque e resposta

Use as ferramentas da conta de serviço, como o Activity Analyzer, para investigar a atividade da conta de serviço associada.
Entre em contato com o proprietário da conta de serviço no campo E-mail principal. Confirme se o proprietário legítimo realizou a ação.

Etapa 3: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Entre em contato com o proprietário do projeto em que a ação foi realizada.
Considere usar a Inicialização segura nas instâncias de VM do Compute Engine.
Considere excluir a conta de serviço potencialmente comprometida, bem como trocar e excluir todas as chaves de acesso da conta de serviço do projeto comprometido. Após a exclusão, os aplicativos que usam a conta de serviço para autenticação perdem o acesso. Antes de prosseguir, sua equipe de segurança precisa identificar todos os aplicativos afetados e trabalhar com os proprietários do aplicativo para garantir a continuidade de negócios.
Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, inclusive instâncias do Compute Engine, snapshots, contas de serviço e usuários do IAM. Excluir recursos não criados com contas autorizadas.
Responda a notificações do suporte do Google Cloud .

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.