무작위 공격: SSH

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

호스트에서 SSH의 성공적인 무작위 공격을 감지합니다.

대응 방법

이 발견 항목에 대응하려면 다음을 수행하세요.

1단계: 발견 항목 세부정보 검토하기

1. 발견 항목 검토의 지시에 따라 Brute Force: SSH 발견 항목을 엽니다.

2. 발견 항목 세부정보 패널의 요약 탭에서 다음 섹션의 정보를 검토합니다.

   • 특히 다음 필드를 포함하는 감지된 항목:

     • 호출자 IP: 공격을 시작한 IP 주소
     • 사용자 이름: 로그인한 계정

   • 영향을 받는 리소스

   • 특히 다음 필드를 포함하는 관련 링크:

     • Cloud Logging URI: Logging 항목의 링크
     • MITRE ATT&CK 메서드: MITRE ATT&CK 문서의 링크
     • 관련 발견 항목: 모든 관련 발견 항목의 링크

3. JSON 탭을 클릭합니다.

4. JSON에서 다음 필드를 확인합니다.

   • sourceProperties:
     • evidence:
       • sourceLogId: 로그 항목을 식별하는 프로젝트 ID 및 타임스탬프
       • projectId: 발견 항목을 포함하는 프로젝트
     • properties:
       • attempts:
       • Attempts: 로그인 시도 횟수
         • username: 로그인한 계정
         • vmName: 가상 머신 인스턴스의 이름
         • authResult: SSH 인증 결과

2단계: 권한 및 설정 검토하기

1. Google Cloud 콘솔에서 대시보드로 이동합니다.

   대시보드로 이동

2. projectId에 지정된 프로젝트를 선택합니다.

3. 리소스 카드로 이동하여 Compute Engine을 클릭합니다.

4. vmName의 이름 및 영역과 일치하는 VM 인스턴스를 클릭합니다. 네트워크 및 액세스 설정을 포함한 인스턴스 세부정보를 검토합니다.

5. 탐색 창에서 VPC 네트워크를 클릭한 다음 방화벽을 클릭합니다. 포트 22에서 과도한 권한이 부여된 방화벽 규칙을 삭제하거나 사용 중지합니다.

3단계: 로그 확인하기

1. Google Cloud 콘솔에서 Cloud Logging URI의 링크를 클릭하여 로그 탐색기로 이동합니다.
2. 로드되는 페이지에서 다음 필터를 사용하여 발견 항목 세부정보의 요약 탭에서 주 구성원 이메일 행에 나열된 IP 주소와 관련된 VPC 흐름 로그를 찾습니다.
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

4단계: 공격 및 대응 방법 조사하기

1. 이 발견 항목 유형의 MITRE ATT&CK 프레임워크 항목을 검토합니다. 유효한 계정: 로컬 계정.
2. 발견 항목 세부정보의 요약 탭에 있는 관련 발견 항목 행에서 관련 발견 항목 링크를 클릭하여 관련 발견 항목을 검토합니다. 관련 발견 항목은 동일한 발견 유형과 동일한 인스턴스 및 네트워크입니다.
3. 대응 계획을 개발하려면 조사 결과를 MITRE 연구와 결합합니다.

5단계: 대응 구현하기

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

• 무작위 공격 시도가 성공한 프로젝트 소유자에게 문의하세요.
• 도용 가능성이 있는 인스턴스를 조사하고 발견된 멀웨어를 삭제합니다. 감지 및 삭제를 지원하려면 엔드포인트 감지 및 응답 솔루션을 이용하세요.
• VM에 대한 SSH 액세스를 사용 중지합니다. SSH 키 사용 중지에 대한 자세한 내용은 VM에서 SSH 키 제한을 참조하세요. 이 단계로 VM에 대해 승인된 액세스가 중단될 수 있으므로 계속하기 전에 조직의 요구사항을 고려해야 합니다.
• 승인된 키에만 SSH 인증을 사용하세요.
• 방화벽 규칙을 업데이트하거나 Google Cloud Armor를 사용하여 악성 IP 주소를 차단합니다. Security Command Center 통합 서비스 페이지에서 Cloud Armor를 사용 설정할 수 있습니다. 정보 양에 따라 Cloud Armor 비용이 크게 증가할 수 있습니다. 자세한 내용은 Cloud Armor 가격 책정 가이드를 참고하세요.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.