Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
File konfigurasi cron telah diubah. Modifikasi pada tugas
cron adalah taktik umum yang digunakan oleh penyerang untuk mendapatkan
akses persisten ke sistem. Penyerang dapat menggunakan perubahan yang tidak sah pada tugas cron untuk menjalankan perintah berbahaya pada interval tertentu, sehingga mereka dapat mempertahankan akses dan kontrol atas sistem.
Modifikasi tersebut mungkin tidak disadari dan memungkinkan penyerang melakukan aktivitas tersembunyi selama jangka waktu yang lama.
Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu.
Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.
Container Threat Detection adalah sumber temuan ini.
Cara merespons
Untuk menanggapi temuan ini, lakukan hal berikut:
Meninjau detail temuan
Buka temuan
Execution: Suspicious Cron Modificationseperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk resource ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.
Tinjau setelan resource yang terpengaruh.
Periksa log untuk resource yang terpengaruh.
Meneliti metode serangan dan respons
Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksekusi.
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.