本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
cron 設定檔已修改。攻擊者通常會修改
cron 工作,以建立系統的持續存取權。攻擊者可利用未經授權的變更,在特定間隔執行惡意指令,藉此維持對系統的存取權和控制權。cron這類修改可能不會引起注意,讓攻擊者長時間進行隱匿活動。
這是檔案監控偵測工具,且有 特定 GKE 版本規定。
這項偵測工具預設為停用。如要瞭解如何啟用這項功能,請參閱「測試 Container Threat Detection」。
Container Threat Detection 是這項發現的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
查看發現項目詳細資料
按照「查看結果」一文的指示,開啟
Execution: Suspicious Cron Modification發現項目。查看「摘要」和「JSON」分頁中的詳細資料。找出這項資源在類似時間發生的其他發現項目。 相關發現可能指出這項活動是惡意行為,而非未遵循最佳做法。
查看受影響資源的設定。
查看受影響資源的記錄。
研究攻擊和回應方法
查看這類發現的 MITRE ATT&CK 架構項目:執行。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。