ブルート フォース: SSH

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

ホストに対するブルート フォース攻撃で SSH 認証に成功した試行の検出。

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の確認の説明に従って、Brute Force: SSH の検出結果を開きます。

2. 検出結果の詳細パネルの [概要] タブで、次のセクションの情報を確認します。

   • 検出された内容（特に次のフィールド）:

     • 発信者の IP: 攻撃を行った IP アドレス。
     • ユーザー名: ログインしたアカウント。

   • 影響を受けているリソース

   • 関連リンク（特に次のフィールド）:

     • Cloud Logging URI: Logging エントリへのリンク。
     • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
     • 関連する検出結果: 関連する検出結果へのリンク。

3. [JSON] タブをクリックします。

4. [JSON] で、次のフィールドを確認します。

   • sourceProperties:
     • evidence:
       • sourceLogId: ログエントリを識別するプロジェクト ID とタイムスタンプ
       • projectId: 検出結果を含むプロジェクト
     • properties:
       • attempts:
       • Attempts: ログイン試行回数
         • username: ログインしたアカウント
         • vmName: 仮想マシンの名前
         • authResult: SSH 認証の結果

ステップ 2: 権限と設定を確認する

1. Google Cloud コンソールで、[ダッシュボード] に移動します。

   [ダッシュボード] に移動

2. projectId で指定されたプロジェクトを選択します。

3. [リソース] カードに移動し、[Compute Engine] をクリックします。

4. vmName の名前とゾーンと一致する VM インスタンスをクリックします。ネットワークやアクセスの設定など、インスタンスの詳細を確認します。

5. ナビゲーション パネルで、[VPC ネットワーク]、[ファイアウォール] の順にクリックします。ポート 22 で制限が緩すぎるファイアウォール ルールを削除するか無効にします。

ステップ 3: ログを確認する

1. Google Cloud コンソールで、Cloud Logging URI 内のリンクをクリックして [ログ エクスプローラ] に移動します。
2. 読み込まれたページで、次のフィルタを使用して、[検出の詳細] の [概要] タブの [プリンシパルのメール] 行に表示される IP アドレスに関連する VPC フローログを見つけます。
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

ステップ 4: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワークのエントリ（Valid Accounts: Local Accounts）を確認します。
2. 検出結果の詳細の [概要] タブで、[関連する検出結果] 行の [関連する検出結果] リンクをクリックして、関連する検出結果を確認します。関連する検出結果とは、同じインスタンスとネットワークで検出された同じタイプの検出結果のことです。
3. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• ブルート フォースの試みが成功したプロジェクトのオーナーに連絡します。
• 不正使用の可能性があるインスタンスを調査し、検出されたマルウェアをすべて削除します。検出と削除をサポートするには、エンドポイントの検出と対応ソリューションを使用します。
• VM への SSH アクセスを無効にすることを検討します。SSH 認証鍵の無効化については、VM からの SSH 認証鍵を制限するをご覧ください。この手順を行うと、VM への承認済みアクセスが中断される可能性があります。手順を行う前に組織のニーズを考慮してください。
• 承認済みの鍵を使った SSH 認証のみを使用します。
• ファイアウォール ルールを更新するか Google Cloud Armor を使用して、不正な IP アドレスをブロックします。Cloud Armor は、Security Command Center の [統合されたサービス] ページで有効にできます。情報量によっては、Cloud Armor の費用が高額になる場合があります。詳細については、Cloud Armor の料金ガイドをご覧ください。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを参照してください。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。