Brute Force: SSH

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Deteksi brute force SSH yang berhasil pada host.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Brute Force: SSH, seperti yang diarahkan dalam Meninjau temuan.

  2. Di tab Ringkasan pada panel detail temuan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:

      • IP Pemanggil: alamat IP yang meluncurkan serangan.
      • Nama pengguna: akun yang login.

    • Resource yang terpengaruh

    • Link terkait, terutama kolom berikut:

      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

  3. Klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties:
      • evidence:
        • sourceLogId: project ID dan stempel waktu untuk mengidentifikasi entri log
        • projectId: project yang berisi temuan
      • properties:
        • attempts:
        • Attempts: jumlah upaya login
          • username: akun yang login
          • vmName: nama virtual machine
          • authResult: hasil autentikasi SSH

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud , buka Dasbor.

    Buka Dasbor

  2. Pilih project yang ditentukan di projectId.

  3. Buka kartu Resources, lalu klik Compute Engine.

  4. Klik instance VM yang cocok dengan nama dan zona di vmName. Tinjau detail instance, termasuk setelan jaringan dan akses.

  5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif di port 22.

Langkah 3: Periksa log

  1. Di konsol Google Cloud , buka Logs Explorer dengan mengklik link di Cloud Logging URI.
  2. Di halaman yang dimuat, temukan VPC Flow Logs yang terkait dengan alamat IP yang tercantum di baris Email utama di tab Ringkasan detail temuan menggunakan filter berikut:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

Langkah 4: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Lokal.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

  • Hubungi pemilik project yang mengalami upaya brute force yang berhasil.
  • Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
  • Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk informasi tentang cara menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Langkah ini dapat mengganggu akses yang sah ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
  • Hanya gunakan autentikasi SSH dengan kunci yang sah.
  • Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada jumlah informasi, biaya Cloud Armor bisa menjadi signifikan. Lihat panduan harga Cloud Armor untuk mengetahui informasi selengkapnya.

Langkah berikutnya