Brute Force: SSH

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Erkennung erfolgreicher SSH-Brute Force auf einem Host.

Event Threat Detection ist die Quelle dieses Ergebnisses.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Brute Force: SSH-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

2. Sehen Sie sich im Bereich „Ergebnisdetails“ auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt, insbesondere die folgenden Felder:

     • IP-Adresse des Anrufers: Die IP-Adresse, von der der Angriff gestartet wurde.
     • Nutzername: Das Konto, mit dem sich angemeldet wurde.

   • Betroffene Ressource

   • Zugehörige Links, insbesondere die folgenden Felder:

     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Klicken Sie auf den Tab JSON.

4. Achten Sie in der JSON-Datei auf die folgenden Felder.

   • sourceProperties:
     • evidence:
       • sourceLogId: die Projekt-ID und der Zeitstempel zur Identifizierung des Logeintrags
       • projectId: das Projekt, das das Ergebnis enthält
     • properties:
       • attempts:
       • Attempts: Die Anzahl der Anmeldeversuche
         • username: das Konto, mit dem Sie sich angemeldet haben
         • vmName: der Name der VM
         • authResult: das Ergebnis der SSH-Authentifizierung

Schritt 2: Berechtigungen und Einstellungen prüfen

1. Rufen Sie in der Google Cloud Console das Dashboard auf.

   Zum Dashboard

2. Wählen Sie das Projekt aus, das in projectId angegeben ist.

3. Rufen Sie die Karte Ressourcen auf und klicken Sie auf Compute Engine.

4. Klicken Sie auf die VM-Instanz, die dem Namen und der Zone in vmName entspricht. Prüfen Sie die Instanzdetails einschließlich der Netzwerk- und Zugriffseinstellungen.

5. Klicken Sie im Navigationsbereich auf VPC-Netzwerk und dann auf Firewall. Entfernen oder deaktivieren Sie zu freizügige Firewallregeln für Port 22.

Schritt 3: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link unter Cloud Logging-URI.
2. Suchen Sie auf der Seite, die geladen wird, mit dem folgenden Filter nach VPC-Flusslogs, die sich auf die IP-Adresse beziehen, die im Tab Zusammenfassung der Ergebnisdetails in der Zeile Haupt-E-Mail-Adresse aufgeführt ist:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Gültige Konten: Lokale Konten.
2. Klicken Sie auf den Link unter Ähnliche Ergebnisse auf dem Tab Zusammenfassung der Ergebnisdetails, um ähnliche Ergebnisse aufzurufen. Ähnliche Ergebnisse haben denselben Ergebnistyp und dieselbe Instanz und dasselbe Netzwerk.
3. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Wenden Sie sich mit dem erfolgreichen Versuch der Brute-Force an den Inhaber des Projekts.
• Untersuchen Sie die potenziell manipulierte Instanz und entfernen Sie erkannte Malware. Verwenden Sie eine Lösung zur Endpunkterkennung und -antwort, um Unterstützung bei der Erkennung und Entfernung zu erhalten.
• Deaktivieren Sie den SSH-Zugriff auf die VM. Informationen zum Deaktivieren von SSH-Schlüsseln finden Sie unter SSH-Schlüssel von VMs einschränken. Dieser Schritt könnte den autorisierten Zugriff auf die VM unterbrechen. Berücksichtigen Sie daher die Anforderungen Ihrer Organisation, bevor Sie fortfahren.
• Verwenden Sie die SSH-Authentifizierung nur mit autorisierten Schlüsseln.
• Blockieren Sie die schädlichen IP-Adressen, indem Sie Firewallregeln aktualisieren oder Google Cloud Armor verwenden. Sie können Cloud Armor auf der Seite Integrierte Dienste des Security Command Center aktivieren. Abhängig von der Menge der Informationen können die Cloud Armor-Kosten erheblich sein. Weitere Informationen finden Sie in der Preisübersicht für Cloud Armor.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren