Forza bruta: SSH

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Rilevamento di attacco Brute Force SSH riuscito su un host.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri un risultato Brute Force: SSH come indicato in Revisione dei risultati.

  2. Nella scheda Riepilogo del riquadro dei dettagli del risultato, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:

      • IP chiamante: l'indirizzo IP che ha lanciato l'attacco.
      • Nome utente: l'account che ha eseguito l'accesso.

    • Risorsa interessata

    • Link correlati, in particolare i seguenti campi:

      • URI Cloud Logging: link alle voci di log.
      • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
      • Risultati correlati: link a eventuali risultati correlati.

  3. Fai clic sulla scheda JSON.

  4. Nel JSON, prendi nota dei seguenti campi.

    • sourceProperties:
      • evidence:
        • sourceLogId: l'ID progetto e il timestamp per identificare la voce di log
        • projectId: il progetto che contiene il risultato
      • properties:
        • attempts:
        • Attempts: il numero di tentativi di accesso
          • username: l'account che ha eseguito l'accesso
          • vmName: il nome della macchina virtuale
          • authResult: il risultato dell'autenticazione SSH

Passaggio 2: rivedi le autorizzazioni e le impostazioni

  1. Nella console Google Cloud , vai alla dashboard.

    Vai alla dashboard

  2. Seleziona il progetto specificato in projectId.

  3. Vai alla scheda Risorse e fai clic su Compute Engine.

  4. Fai clic sull'istanza VM che corrisponde al nome e alla zona in vmName. Esamina i dettagli dell'istanza, incluse le impostazioni di rete e di accesso.

  5. Nel riquadro di navigazione, fai clic su Rete VPC, quindi su Firewall. Rimuovi o disabilita le regole firewall eccessivamente permissive sulla porta 22.

Passaggio 3: controlla i log

  1. Nella console Google Cloud , vai a Esplora log facendo clic sul link in URI Cloud Logging.
  2. Nella pagina che viene caricata, trova i log di flusso VPC correlati all'indirizzo IP elencato nella riga Email principale della scheda Riepilogo dei dettagli del problema utilizzando il seguente filtro:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

Passaggio 4: ricerca di metodi di attacco e risposta

  1. Esamina la voce del framework MITRE ATT&CK per questo tipo di risultato: Account validi: account locali.
  2. Esamina i risultati correlati facendo clic sul link nella sezione Risultati correlati della riga Risultati correlati nella scheda Riepilogo dei dettagli del risultato. I risultati correlati sono dello stesso tipo e della stessa istanza e rete.
  3. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

  • Contatta il proprietario del progetto con il tentativo di attacco di tipo brute force riuscito.
  • Esamina l'istanza potenzialmente compromessa e rimuovi eventuali malware rilevati. Per facilitare il rilevamento e la rimozione, utilizza una soluzione di rilevamento e risposta degli endpoint.
  • Valuta la possibilità di disabilitare l'accesso SSH alla VM. Per informazioni sulla disattivazione delle chiavi SSH, vedi Limita le chiavi SSH dalle VM. Questo passaggio potrebbe interrompere l'accesso autorizzato alla VM, quindi valuta le esigenze della tua organizzazione prima di procedere.
  • Utilizza l'autenticazione SSH solo con chiavi autorizzate.
  • Blocca gli indirizzi IP dannosi aggiornando le regole firewall o utilizzando Google Cloud Armor. Puoi abilitare Cloud Armor nella pagina Servizi integrati di Security Command Center. A seconda della quantità di informazioni, i costi di Cloud Armor possono essere significativi. Per ulteriori informazioni, consulta la guida ai prezzi di Cloud Armor.

Passaggi successivi