Attaques par force brute SSH

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Détection d'une attaque par force brute SSH réussie sur un hôte

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Brute Force: SSH, comme indiqué dans la section Examiner les résultats.

2. Dans l'onglet Résumé du panneau "Détails du résultat", examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :

     • Adresse IP de l'appelant : adresse IP qui a lancé l'attaque.
     • Nom d'utilisateur : compte auquel l'utilisateur s'est connecté.

   • Ressource concernée

   • Liens associés, en particulier les champs suivants :

     • URI Cloud Logging : lien vers les entrées de journalisation.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les résultats associés.

3. Cliquez sur l'onglet JSON.

4. Dans le fichier JSON, notez les champs suivants.

   • sourceProperties :
     • evidence :
       • sourceLogId : ID de projet et code temporel permettant d'identifier l'entrée de journal
       • projectId : projet contenant le résultat.
     • properties :
       • attempts :
       • Attempts : nombre de tentatives de connexion.
         • username : compte qui s'est connecté.
         • vmName : nom de la machine virtuelle.
         • authResult : résultat de l'authentification SSH.

Étape 2 : Vérifier les autorisations et les paramètres

1. Dans la console Google Cloud , accédez au tableau de bord.

   Accéder au tableau de bord

2. Sélectionnez le projet spécifié dans projectId.

3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

4. Cliquez sur l'instance de VM qui correspond au nom et à la zone dans vmName. Examinez les détails de l'instance, y compris les paramètres réseau et d'accès.

5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives sur le port 22.

Étape 3 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien dans URI Cloud Logging.
2. Sur la page qui s'affiche, recherchez les journaux de flux VPC associés à l'adresse IP listée dans la ligne Adresse e-mail principale de l'onglet Résumé des détails du résultat à l'aide du filtre suivant :
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Étape 4 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides : comptes locaux.
2. Consultez les résultats associés en cliquant sur le lien Résultats associés dans la ligne Résultats associés de l'onglet Récapitulatif des détails du résultat. Les résultats associés sont du même type de résultat, sur la même instance et sur le même réseau.
3. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 5 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Contactez le propriétaire du projet associé à la tentative de force brute réussie.
• Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés. Pour faciliter la détection et la suppression, utilisez une solution de détection et de gestion des points de terminaison.
• Envisagez de désactiver l'accès SSH à la VM. Pour en savoir plus sur la désactivation des clés SSH, consultez la section Restreindre des clés SSH sur des VM. Cette étape peut interrompre l'accès autorisé à la VM. Par conséquent, pensez aux besoins de votre organisation avant de l'appliquer.
• N'utilisez l'authentification SSH qu'avec des clés autorisées.
• Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Google Cloud Armor Vous pouvez activer Cloud Armor sur la page Services intégrés de Security Command Center. Selon la quantité d'informations, les coûts de Cloud Armor peuvent être importants. Pour en savoir plus, consultez le guide des tarifs de Cloud Armor.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces