무작위 공격: SSH

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

호스트에서 SSH의 성공적인 무작위 공격을 감지합니다.

Event Threat Detection이 이 발견 항목의 소스입니다.

대응 방법

이 발견 항목에 대응하려면 다음을 수행하세요.

1단계: 발견 항목 세부정보 검토하기

  1. 발견 항목 검토의 지시에 따라 Brute Force: SSH 발견 항목을 엽니다.

  2. 발견 항목 세부정보 패널의 요약 탭에서 다음 섹션의 정보를 검토합니다.

    • 특히 다음 필드를 포함하는 감지된 항목:

      • 호출자 IP: 공격을 시작한 IP 주소
      • 사용자 이름: 로그인한 계정

    • 영향을 받는 리소스

    • 특히 다음 필드를 포함하는 관련 링크:

      • Cloud Logging URI: Logging 항목의 링크
      • MITRE ATT&CK 메서드: MITRE ATT&CK 문서의 링크
      • 관련 발견 항목: 모든 관련 발견 항목의 링크

  3. JSON 탭을 클릭합니다.

  4. JSON에서 다음 필드를 확인합니다.

    • sourceProperties:
      • evidence:
        • sourceLogId: 로그 항목을 식별하는 프로젝트 ID 및 타임스탬프
        • projectId: 발견 항목을 포함하는 프로젝트
      • properties:
        • attempts:
        • Attempts: 로그인 시도 횟수
          • username: 로그인한 계정
          • vmName: 가상 머신 인스턴스의 이름
          • authResult: SSH 인증 결과

2단계: 권한 및 설정 검토하기

  1. Google Cloud 콘솔에서 대시보드로 이동합니다.

    대시보드로 이동

  2. projectId에 지정된 프로젝트를 선택합니다.

  3. 리소스 카드로 이동하여 Compute Engine을 클릭합니다.

  4. vmName의 이름 및 영역과 일치하는 VM 인스턴스를 클릭합니다. 네트워크 및 액세스 설정을 포함한 인스턴스 세부정보를 검토합니다.

  5. 탐색 창에서 VPC 네트워크를 클릭한 다음 방화벽을 클릭합니다. 포트 22에서 과도한 권한이 부여된 방화벽 규칙을 삭제하거나 사용 중지합니다.

3단계: 로그 확인하기

  1. Google Cloud 콘솔에서 Cloud Logging URI의 링크를 클릭하여 로그 탐색기로 이동합니다.
  2. 로드되는 페이지에서 다음 필터를 사용하여 발견 항목 세부정보의 요약 탭에서 주 구성원 이메일 행에 나열된 IP 주소와 관련된 VPC 흐름 로그를 찾습니다.
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

4단계: 공격 및 대응 방법 조사하기

  1. 이 발견 항목 유형의 MITRE ATT&CK 프레임워크 항목을 검토합니다. 유효한 계정: 로컬 계정.
  2. 발견 항목 세부정보의 요약 탭에 있는 관련 발견 항목 행에서 관련 발견 항목 링크를 클릭하여 관련 발견 항목을 검토합니다. 관련 발견 항목은 동일한 발견 유형과 동일한 인스턴스 및 네트워크입니다.
  3. 대응 계획을 개발하려면 조사 결과를 MITRE 연구와 결합합니다.

5단계: 대응 구현하기

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

  • 무작위 공격 시도가 성공한 프로젝트 소유자에게 문의하세요.
  • 도용 가능성이 있는 인스턴스를 조사하고 발견된 멀웨어를 삭제합니다. 감지 및 삭제를 지원하려면 엔드포인트 감지 및 응답 솔루션을 이용하세요.
  • VM에 대한 SSH 액세스를 사용 중지합니다. SSH 키 사용 중지에 대한 자세한 내용은 VM에서 SSH 키 제한을 참조하세요. 이 단계로 VM에 대해 승인된 액세스가 중단될 수 있으므로 계속하기 전에 조직의 요구사항을 고려해야 합니다.
  • 승인된 키에만 SSH 인증을 사용하세요.
  • 방화벽 규칙을 업데이트하거나 Google Cloud Armor를 사용하여 악성 IP 주소를 차단합니다. Security Command Center 통합 서비스 페이지에서 Cloud Armor를 사용 설정할 수 있습니다. 정보 양에 따라 Cloud Armor 비용이 크게 증가할 수 있습니다. 자세한 내용은 Cloud Armor 가격 책정 가이드를 참고하세요.

다음 단계