Menyelidiki dan merespons ancaman

Dokumen ini menawarkan panduan informal untuk membantu Anda menyelidiki temuan aktivitas yang mencurigakan di lingkungan Google Cloud dari pelaku yang berpotensi berbahaya. Dokumen ini juga menyediakan referensi tambahan untuk menambahkan konteks ke temuan Security Command Center. Dengan mengikuti langkah-langkah ini, Anda dapat memahami apa yang terjadi selama potensi serangan dan mengembangkan kemungkinan respons untuk resource yang terpengaruh.

Teknik di halaman ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau yang akan Anda hadapi. Lihat Memperbaiki ancaman untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan dan log, serta mengubah resource Google Cloud. Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator dan lihat Kontrol akses untuk mempelajari peran. Untuk menyelesaikan error resource, baca dokumentasi untuk produk yang terpengaruh.

Memahami temuan ancaman

Event Threat Detection menghasilkan temuan keamanan dengan mencocokkan peristiwa dalam aliran log Cloud Logging Anda dengan indikator kompromi (IoC) yang diketahui. IoC, yang dikembangkan oleh sumber keamanan Google internal, mengidentifikasi potensi kerentanan dan serangan. Deteksi Ancaman Peristiwa juga mendeteksi ancaman dengan mengidentifikasi taktik, teknik, dan prosedur lawan yang diketahui di aliran logging Anda, dan dengan mendeteksi penyimpangan dari perilaku sebelumnya dari organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memindai log Google Workspace Anda.

Container Threat Detection menghasilkan temuan dengan mengumpulkan dan menganalisis perilaku yang diamati tingkat rendah di kernel tamu container.

Temuan ditulis ke Security Command Center. Jika mengaktifkan paket Premium Security Command Center di level organisasi, Anda juga dapat mengonfigurasi temuan untuk ditulis ke Cloud Logging.

Meninjau temuan

Untuk meninjau temuan ancaman di konsol Google Cloud, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Temuan Security Command Center.

    Buka Temuan

  2. Jika perlu, pilih project, folder, atau organisasi Google Cloud Anda.

    Pemilih project

  3. Di bagian Filter cepat, klik filter yang sesuai untuk menampilkan temuan yang Anda perlukan di tabel Hasil kueri temuan. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Source display name, hanya temuan dari layanan yang dipilih yang akan muncul dalam hasil.

    Tabel diisi dengan temuan untuk sumber yang Anda pilih.

  4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan akan diluaskan untuk menampilkan ringkasan detail temuan.

  5. Untuk melihat definisi JSON temuan, klik tab JSON.

Temuan memberikan nama dan ID numerik resource yang terlibat dalam insiden, beserta variabel lingkungan dan properti aset. Anda dapat menggunakan informasi tersebut untuk mengisolasi resource yang terpengaruh dengan cepat dan menentukan potensi cakupan peristiwa.

Untuk membantu penyelidikan Anda, temuan ancaman juga berisi link ke referensi eksternal berikut:

  • Entri framework MITRE ATT&CK. Framework ini menjelaskan teknik untuk serangan terhadap resource cloud dan memberikan panduan perbaikan.
  • VirusTotal, layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya. Jika tersedia, kolom Indikator VirusTotal akan memberikan link ke VirusTotal untuk membantu Anda menyelidiki lebih lanjut potensi masalah keamanan.

    VirusTotal adalah penawaran dengan harga terpisah dengan batas dan fitur penggunaan yang berbeda. Anda bertanggung jawab untuk memahami dan mematuhi kebijakan penggunaan API VirusTotal dan biaya terkait. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VirusTotal.

Bagian berikut menguraikan potensi respons terhadap temuan ancaman.

Penonaktifan temuan ancaman

Setelah Anda menyelesaikan masalah yang memicu temuan ancaman, Security Command Center tidak otomatis menetapkan status temuan ke INACTIVE. Status temuan ancaman tetap ACTIVE kecuali jika Anda menetapkan properti state ke INACTIVE secara manual.

Untuk positif palsu, pertimbangkan untuk membiarkan status temuan sebagai ACTIVE dan bisukan temuan tersebut.

Untuk positif palsu yang persisten atau berulang, buat aturan penonaktifan. Menetapkan aturan bisukan dapat mengurangi jumlah temuan yang perlu Anda kelola, sehingga mempermudah identifikasi ancaman yang sebenarnya saat terjadi.

Untuk ancaman yang sebenarnya, sebelum Anda menetapkan status temuan ke INACTIVE, hilangkan ancaman dan selesaikan penyelidikan menyeluruh terhadap ancaman yang terdeteksi, tingkat intrusi, dan temuan serta masalah terkait lainnya.

Untuk membisukan temuan atau mengubah statusnya, lihat topik berikut:

Respons Event Threat Detection

Untuk mempelajari Event Threat Detection lebih lanjut, lihat cara kerja Event Threat Detection.

Bagian ini tidak berisi respons untuk temuan yang dihasilkan oleh modul kustom untuk Event Threat Detection, karena organisasi Anda menentukan tindakan yang direkomendasikan untuk detektor tersebut.

Evasion: Access from Anonymizing Proxy

Akses yang tidak wajar dari proxy anonim terdeteksi dengan memeriksa Cloud Audit Logs untuk mengetahui modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Evasion: Access from Anonymizing Proxy, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, yang menampilkan tab Ringkasan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan (akun yang berpotensi dibobol).
      • IP: Alamat IP proxy tempat perubahan dilakukan.
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Anda juga dapat mengklik tab JSON untuk melihat kolom temuan tambahan.

Langkah 2: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Proxy: Multi-hop Proxy.
  2. Hubungi pemilik akun di kolom principalEmail. Konfirmasikan apakah tindakan tersebut dilakukan oleh pemilik yang sah.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Defense Evasion: Breakglass Workload Deployment Created

Breakglass Workload Deployment Created terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada deployment ke workload yang menggunakan flag breakglass untuk mengganti kontrol Binary Authorization.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Defense Evasion: Breakglass Workload Deployment Created, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail penemuan akan terbuka, yang menampilkan tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan.
      • Nama metode: metode yang dipanggil.
      • Pod Kubernetes: nama dan namespace pod.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: namespace GKE tempat deployment terjadi.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.
  3. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Defense Evasion: Breakglass Workload Deployment Updated

Breakglass Workload Deployment Updated terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada update pada workload yang menggunakan flag breakglass untuk mengganti kontrol Otorisasi Biner.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Defense Evasion: Breakglass Workload Deployment Updated, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail penemuan akan terbuka, yang menampilkan tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan.
      • Nama metode: metode yang dipanggil.
      • Pod Kubernetes: nama dan namespace pod.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: namespace GKE tempat update terjadi.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.
  3. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Defense Evasion: Manually Deleted Certificate Signing Request (CSR)

Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR otomatis dihapus oleh pengontrol pengumpulan sampah, tetapi pelaku berbahaya mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus ditujukan untuk sertifikat yang disetujui dan diterbitkan, pelaku yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Kubernetes tidak mendukung pencabutan sertifikat. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa lain yang terkait dengan CSR ini untuk menentukan apakah CSR adalah approved dan apakah pembuatan CSR adalah aktivitas yang diharapkan oleh akun utama.
  2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging. Contoh:
    • Apakah akun utama yang menghapus CSR berbeda dengan akun utama yang membuatnya atau menyetujuinya?
    • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lainnya?
  3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster.

Defense Evasion: Modify VPC Service Control

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Log audit diperiksa untuk mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut. Berikut adalah beberapa contohnya:

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Defense Evasion: Modify VPC Service Control, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail penemuan akan terbuka, yang menampilkan tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama perimeter Kontrol Layanan VPC yang diubah.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties
      • properties
        • name: nama perimeter Kontrol Layanan VPC yang diubah
        • policyLink: link ke kebijakan akses yang mengontrol perimeter
        • delta: perubahan, baik REMOVE maupun ADD, pada perimeter yang mengurangi perlindungannya
        • restricted_resources: project yang mengikuti batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus project
        • restricted_services: layanan yang dilarang berjalan oleh batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus layanan yang dibatasi
        • allowed_services: layanan yang diizinkan untuk berjalan berdasarkan batasan perimeter ini. Perlindungan akan berkurang jika Anda menambahkan layanan yang diizinkan
        • access_levels: tingkat akses yang dikonfigurasi untuk mengizinkan akses ke resource dalam perimeter. Perlindungan akan berkurang jika Anda menambahkan lebih banyak tingkat akses

Langkah 2: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Temukan log aktivitas admin yang terkait dengan perubahan Kontrol Layanan VPC menggunakan filter berikut:
    • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
    • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Modify Authentication Process.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik kebijakan dan perimeter Kontrol Layanan VPC.
  • Pertimbangkan untuk mengembalikan perubahan untuk perimeter hingga investigasi selesai.
  • Pertimbangkan untuk mencabut peran Access Context Manager pada akun utama yang mengubah perimeter hingga penyelidikan selesai.
  • Selidiki cara perlindungan yang dikurangi telah digunakan. Misalnya, jika "BigQuery Data Transfer Service API" diaktifkan, atau ditambahkan sebagai layanan yang diizinkan, periksa siapa yang mulai menggunakan layanan tersebut dan apa yang mereka transfer.

Defense Evasion: Potential Kubernetes Pod Masquerading

Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan beban kerja default yang dibuat GKE untuk operasi cluster reguler. Teknik ini disebut penyamaran. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Pastikan Pod tersebut sah.
  2. Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
  3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
  4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
  5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.

Discovery: Can get sensitive Kubernetes object check

Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka kueri, menggunakan perintah kubectl auth can-i get. Secara khusus, pelaku menjalankan salah satu perintah berikut:

  • kubectl auth can-i get '*'
  • kubectl auth can-i get secrets
  • kubectl auth can-i get clusterroles/cluster-admin

Langkah 1: Tinjau detail temuan

  1. Buka temuan Discovery: Can get sensitive Kubernetes object check seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut:

    • Di bagian Yang terdeteksi:
      • Tinjauan akses Kubernetes: informasi tinjauan akses yang diminta, berdasarkan resource k8s SelfSubjectAccessReview.
      • Email utama: akun yang melakukan panggilan.
    • Di bagian Resource yang terpengaruh:
      • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
    • Di bagian Link terkait:
      • Cloud Logging URI: link ke entri Logging.

Langkah 2: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Di halaman yang dimuat, periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Discovery
  2. Konfirmasi sensitivitas objek yang dikueri dan tentukan apakah ada tanda lain dari aktivitas berbahaya oleh akun utama dalam log.
  3. Jika akun yang Anda catat di baris Email utama di detail temuan bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

    Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber peninjauan akses untuk menentukan legitimasinya.

  4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Execution: Kubernetes Pod Created with Potential Reverse Shell Arguments

Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya dikaitkan dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk mengeksekusi perintah arbitrer. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Pastikan Pod memiliki alasan yang sah untuk menentukan perintah dan argumen ini.
  2. Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
  3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
  4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi legitimasi yang menyebabkan akun layanan melakukan tindakan ini
  5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.

Execution: Suspicious Exec or Attach to a System Pod

Seseorang menggunakan perintah exec atau attach untuk mendapatkan shell atau menjalankan perintah di penampung yang berjalan di namespace kube-system. Metode ini terkadang digunakan untuk tujuan proses debug yang sah. Namun, kube-system namespace ditujukan untuk objek sistem yang dibuat oleh Kubernetes, dan eksekusi perintah atau pembuatan shell yang tidak terduga harus ditinjau. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau log audit di Cloud Logging untuk menentukan apakah aktivitas ini merupakan aktivitas yang diharapkan oleh akun utama.
  2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.

Tinjau panduan untuk menggunakan prinsip hak istimewa terendah untuk peran RBAC dan peran cluster yang mengizinkan akses ini.

Exfiltration: BigQuery Data Exfiltration

Temuan yang ditampilkan oleh Exfiltration: BigQuery Data Exfiltration berisi salah satu dari dua kemungkinan subaturan. Setiap subaturan memiliki tingkat keparahan yang berbeda:

  • Subaturan exfil_to_external_table dengan tingkat keparahan = HIGH:
    • Resource disimpan di luar organisasi atau project Anda.
  • Subaturan vpc_perimeter_violation dengan tingkat keparahan = LOW:
    • Kontrol Layanan VPC memblokir operasi salin atau upaya untuk mengakses resource BigQuery.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: BigQuery Data Exfiltration, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

    • Yang terdeteksi:
      • Keparahan: keparahannya adalah HIGH untuk subaturan exfil_to_external_table atau LOW untuk subaturan vpc_perimeter_violation.
      • Email utama: akun yang digunakan untuk mengeksfiltrasi data.
      • Sumber pemindahan data: detail tentang tabel tempat data dipindahkan.
      • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang di-ekspor disimpan.
    • Resource yang terpengaruh:
      • Nama lengkap resource: nama lengkap resource project, folder, atau organisasi tempat data diekspor.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Google Security Operations: link ke Google SecOps.
  3. Klik tab Properti Sumber dan tinjau kolom yang ditampilkan, terutama:

    • detectionCategory:
      • subRuleName: exfil_to_external_table atau vpc_perimeter_violation.
    • evidence:
      • sourceLogId:
        • projectId: project Google Cloud yang berisi set data BigQuery sumber.
    • properties
      • dataExfiltrationAttempt
        • jobLink: link ke tugas BigQuery yang mengeksfiltrasi data.
        • query: kueri SQL yang dijalankan di set data BigQuery.
  4. Atau, klik tab JSON untuk melihat listingan lengkap properti JSON temuan.

Langkah 2: Selidiki di Google Security Operations

Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa terpadu. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda hanya dapat menggunakan Google SecOps jika mengaktifkan Security Command Center di tingkat organisasi.

  1. Buka halaman Temuan Security Command Center di konsol Google Cloud.

    Buka Temuan

  2. Di panel Filter cepat, scroll ke bawah ke Nama tampilan sumber.

  3. Di bagian Source display name, pilih Event Threat Detection.

    Tabel akan diisi dengan temuan dari Event Threat Detection.

  4. Dalam tabel, di bagian category, klik temuan Exfiltration: BigQuery Data Exfiltration. Panel detail untuk temuan akan terbuka.

  5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.

  6. Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.

Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:

Langkah 3: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan.

  3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Principal email dan periksa izin yang ditetapkan ke akun.

Langkah 4: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:

    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 5: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Exfiltration: BigQuery Data Extraction

Eksfiltrasi data dari BigQuery terdeteksi dengan memeriksa log audit untuk dua skenario:

  • Resource disimpan ke bucket Cloud Storage di luar organisasi Anda.
  • Resource disimpan ke bucket Cloud Storage yang dapat diakses secara publik dan dimiliki oleh organisasi Anda.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: BigQuery Data Extraction, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan membuka tab Ringkasan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

    • Yang terdeteksi:
      • Email utama: akun yang digunakan untuk mengeksfiltrasi data.
      • Sumber pemindahan data: detail tentang tabel tempat data dipindahkan.
      • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang di-ekspor disimpan.
    • Resource yang terpengaruh:
      • Nama lengkap resource: nama resource BigQuery yang datanya diekspor.
      • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Di panel detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: project Google Cloud yang berisi set data BigQuery sumber.
      • properties:
        • extractionAttempt:
        • jobLink: link ke tugas BigQuery yang mengeksfiltrasi data

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

  3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Principal email (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Exfiltration: BigQuery Data to Google Drive

Eksfiltrasi data dari BigQuery terdeteksi dengan memeriksa log audit untuk skenario berikut:

  • Referensi disimpan ke folder Google Drive.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: BigQuery Data to Google Drive, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, termasuk:
      • Email utama: akun yang digunakan untuk mengeksfiltrasi data.
      • Sumber pemindahan data: detail tentang tabel BigQuery yang datanya dipindahkan.
      • Target pemindahan yang tidak sah: detail tentang tujuan di Google Drive.
    • Resource yang terpengaruh, termasuk:
      • Nama lengkap resource: nama resource BigQuery yang datanya diekstrak.
      • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
    • Link terkait, termasuk:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Untuk informasi tambahan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties:
      • evidence:
        • sourceLogId:
        • projectId: project Google Cloud yang berisi set data BigQuery sumber.
      • properties:
        • extractionAttempt:
        • jobLink: link ke tugas BigQuery yang mengeksfiltrasi data

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

  3. Di halaman yang muncul, pada kotak Filter, masukkan alamat email yang tercantum di access.principalEmail (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Exfiltration: Cloud SQL Data Exfiltration

Eksfiltrasi data dari Cloud SQL terdeteksi dengan memeriksa log audit untuk dua skenario:

  • Data instance aktif yang diekspor ke bucket Cloud Storage di luar organisasi.
  • Data instance aktif yang diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.

Semua jenis instance Cloud SQL didukung.

Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: Cloud SQL Data Exfiltration, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama : akun yang digunakan untuk mengeksfiltrasi data.
      • Sumber pemindahan tidak sah: detail tentang instance Cloud SQL yang datanya dipindahkan secara tidak sah.
      • Target pemindahan data: detail tentang bucket Cloud Storage tempat data diekspor.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource Cloud SQL yang datanya diekspor.
      • Nama lengkap project: project Google Cloud yang berisi data Cloud SQL sumber.
    • Link terkait, termasuk:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Klik tab JSON.

  4. Dalam JSON untuk temuan, perhatikan kolom berikut:

    • sourceProperties:
      • evidence:
      • sourceLogId:
        • projectId: project Google Cloud yang berisi instance Cloud SQL sumber.
      • properties
      • bucketAccess: apakah bucket Cloud Storage dapat diakses secara publik atau bersifat eksternal bagi organisasi
      • exportScope: jumlah data yang diekspor, seperti, seluruh instance, satu atau beberapa database, satu atau beberapa tabel, atau subset yang ditentukan oleh kueri)

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project instance yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

  3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di baris Email utama di tab Ringkasan dari detail penemuan (dari Langkah 1). Periksa izin yang ditetapkan ke akun.

Langkah 3: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait yang dijelaskan di Langkah 1). Temuan terkait memiliki jenis temuan yang sama pada instance Cloud SQL yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang datanya diekspor.
  • Pertimbangkan untuk membatalkan izin untuk access.principalEmail hingga investigasi selesai.
  • Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke instance Cloud SQL yang terpengaruh.
  • Untuk membatasi akses ke dan ekspor dari Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Exfiltration: Cloud SQL Restore Backup to External Organization

Eksfiltrasi data dari cadangan Cloud SQL terdeteksi dengan memeriksa log audit untuk menentukan apakah data dari cadangan telah dipulihkan ke instance Cloud SQL di luar organisasi atau project. Semua jenis instance dan pencadangan Cloud SQL didukung.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: Cloud SQL Restore Backup to External Organization, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang digunakan untuk mengeksfiltrasi data.
      • Sumber eksfiltrasi: detail tentang instance Cloud SQL tempat pencadangan dibuat.
      • Target eksfiltrasi: detail tentang instance Cloud SQL tempat data cadangan dipulihkan.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource cadangan yang dipulihkan.
      • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL tempat pencadangan dibuat.
  3. Link terkait, terutama kolom berikut:

    • Cloud Logging URI: link ke entri Logging.
    • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
    • Temuan terkait: link ke temuan terkait.
  4. Klik tab JSON.

  5. Dalam JSON, perhatikan kolom berikut.

    • resource:
      • parent_name: nama resource instance Cloud SQL tempat cadangan dibuat
    • evidence:
      • sourceLogId:
        • projectId: project Google Cloud yang berisi set data BigQuery sumber.
    • properties:
      • restoreToExternalInstance:
        • backupId: ID pencadangan yang dijalankan dan dipulihkan

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project instance yang tercantum di kolom projectId dalam JSON temuan (dari Langkah 1).

  3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email akun utama (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
  2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait. (dari Langkah 1). Temuan terkait memiliki jenis temuan yang sama di instance Cloud SQL yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang datanya diekspor.
  • Pertimbangkan untuk membatalkan izin akun utama yang tercantum di baris Email utama di tab Ringkasan detail temuan hingga investigasi selesai.
  • Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke instance Cloud SQL yang terpengaruh.
  • Untuk membatasi akses ke Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Exfiltration: Cloud SQL Over-Privileged Grant

Mendeteksi kapan semua hak istimewa atas database PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Exfiltration: Cloud SQL Over-Privileged Grant, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Nama tampilan database: nama database di instance PostgreSQL Cloud SQL yang terpengaruh.
      • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
      • Kueri database: kueri PostgreSQL yang dieksekusi yang memberikan hak istimewa.
      • Penerima akses database: penerima hak istimewa yang terlalu luas.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource instance PostgreSQL Cloud SQL yang terpengaruh.
      • Nama lengkap induk: nama resource instance PostgreSQL Cloud SQL.
      • Nama lengkap project: project Google Cloud yang berisi instance PostgreSQL Cloud SQL.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

  1. Hubungkan ke database PostgreSQL.
  2. Mencantumkan dan menampilkan hak istimewa akses untuk hal berikut:
    • Database. Gunakan meta-perintah \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1).
    • Fungsi atau prosedur. Gunakan metaperintah \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur di database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
  2. Di Logs Explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dieksekusi ke database, dengan menggunakan filter berikut:
    • protoPayload.request.database="var class="edit">database"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik instance yang memiliki pemberian hak istimewa yang berlebihan.
  • Pertimbangkan untuk membatalkan semua izin untuk penerima yang tercantum di Penerima database hingga penyelidikan selesai.
  • Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, cabut izin yang tidak diperlukan dari penerima (dari Penerima database di Langkah 1.

Initial Access: Database Superuser Writes to User Tables

Mendeteksi saat akun superuser database Cloud SQL (postgres untuk PostgreSQL dan root untuk MySQL) menulis ke tabel pengguna. Superuser (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Saat superuser menulis ke tabel pengguna, hal ini dapat menunjukkan bahwa penyerang telah mengeskalasi hak istimewa atau telah disusupi pengguna database default dan mengubah data. Hal ini juga dapat menunjukkan praktik normal, tetapi tidak aman.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Database Superuser Writes to User Tables, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Nama tampilan database: nama database di instance Cloud SQL PostgreSQL atau MySQL yang terpengaruh.
      • Nama pengguna database: superuser.
      • Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource instance Cloud SQL yang terpengaruh.
      • Nama lengkap induk: nama resource instance Cloud SQL.
      • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
  2. Periksa log untuk log pgaudit PostgreSQL atau log audit Cloud SQL untuk MySQL, yang berisi kueri yang dijalankan oleh superuser, dengan menggunakan filter berikut:
    • protoPayload.request.user="SUPERUSER"

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Initial Access: Anonymous GKE resource created from the internet

Mendeteksi saat pelaku yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk membuat resource Kubernetes baru di cluster:

  • system:anonymous
  • system:authenticated
  • system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk membuat resource tersebut di cluster.

Tinjau resource yang dibuat dan binding RBAC terkait untuk memastikan bahwa binding diperlukan. Jika binding tidak diperlukan, hapus. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.

Untuk mengurangi masalah ini, lihat Menghindari peran dan grup default.

Initial Access: GKE resource modified anonymously from the internet

Mendeteksi saat pelaku yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk mengubah resource Kubernetes di cluster:

  • system:anonymous
  • system:authenticated
  • system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk mengubah resource tersebut di cluster.

Tinjau resource yang diubah dan binding RBAC terkait untuk memastikan bahwa binding diperlukan. Jika binding tidak diperlukan, hapus. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.

Untuk mengurangi masalah ini, lihat Menghindari peran dan grup default.

Initial Access: Dormant Service Account Action

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Dormant Service Account Action, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: akun layanan tidak aktif yang melakukan tindakan
    • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
    • Nama metode: metode yang dipanggil

Langkah 2: Pelajari metode serangan dan respons

  1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
  2. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Initial Access: Dormant Service Account Key Created

Mendeteksi peristiwa saat kunci akun layanan yang dikelola pengguna yang tidak aktif dibuat. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Dormant Service Account Key Created, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: pengguna yang membuat kunci akun layanan

    Di bagian Resource yang terpengaruh:

    • Nama tampilan resource: kunci akun layanan tidak aktif yang baru dibuat
    • Nama lengkap project: project tempat akun layanan yang tidak aktif tersebut berada

Langkah 2: Pelajari metode serangan dan respons

  1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
  2. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
  • Batalkan validasi kunci akun layanan yang baru dibuat di Halaman Akun Layanan.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Merespons notifikasi dari Cloud Customer Care.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pembuat rekomendasi IAM.

Initial Access: Leaked Service Account Key Used

Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. Misalnya, kunci akun layanan sering kali tidak sengaja diposting di repositori GitHub publik.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Leaked Service Account Key Used, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: akun layanan yang digunakan dalam tindakan ini
    • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
    • Nama metode: nama metode tindakan
    • Nama kunci akun layanan: kunci akun layanan yang bocor yang digunakan untuk mengautentikasi tindakan ini
    • Deskripsi: deskripsi tentang apa yang terdeteksi, termasuk lokasi di internet publik tempat kunci akun layanan dapat ditemukan

    Di bagian Resource yang terpengaruh:

    • Nama tampilan resource: resource yang terlibat dalam tindakan

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
  2. Di toolbar konsol Google Cloud, pilih project atau organisasi Anda.
  3. Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
    • protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"

    Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail penemuan. Ganti SERVICE_ACCOUNT_KEY_NAME dengan nilai yang Anda catat di kolom Nama kunci akun layanan dalam detail temuan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Cabut kunci akun layanan segera di halaman Akun Layanan.
  • Hapus halaman web atau repositori GitHub tempat kunci akun layanan diposting.
  • Pertimbangkan untuk menghapus akun layanan yang disusupi.
  • Putar dan hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum menghapus, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Merespons notifikasi dari Cloud Customer Care.

Initial Access: Excessive Permission Denied Actions

Mendeteksi peristiwa saat akun utama berulang kali memicu error izin ditolak di beberapa metode dan layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Excessive Permission Denied Actions, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email akun utama: akun utama yang memicu beberapa error izin ditolak
    • Nama layanan: nama API layanan Google Cloud tempat error izin ditolak terakhir kali terjadi
    • Nama metode: metode yang dipanggil saat error izin terakhir ditolak terjadi
  3. Dalam detail temuan, di tab Source Properties, catat nilai kolom berikut dalam JSON:

    • properties.failedActions: error izin ditolak yang terjadi. Untuk setiap entri, detailnya mencakup nama layanan, nama metode, jumlah upaya yang gagal, dan waktu terakhir kali error terjadi. Maksimal 10 entri yang ditampilkan.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
  2. Di toolbar konsol Google Cloud, pilih project Anda.
  3. Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
    • protoPayload.status.code=7

    Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail penemuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Cloud.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik akun di kolom Email akun utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  • Hapus resource project yang dibuat oleh akun tersebut, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal, dll.
  • Hubungi pemilik project dengan akun tersebut, dan berpotensi menghapus atau menonaktifkan akun.

Brute Force: SSH

Deteksi brute force SSH yang berhasil pada host. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Brute Force: SSH, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:

      • IP Pemanggil: alamat IP yang meluncurkan serangan.
      • Nama pengguna: akun yang login.
    • Resource yang terpengaruh

    • Link terkait, terutama kolom berikut:

      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Investigasi di Google Security Operations: link ke Google SecOps.
  3. Klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • sourceProperties:
      • evidence:
        • sourceLogId: project ID dan stempel waktu untuk mengidentifikasi entri log
        • projectId: project yang berisi temuan
      • properties:
        • attempts:
        • Attempts: jumlah upaya login
          • username: akun yang login
          • vmName: nama virtual machine
          • authResult: hasil autentikasi SSH

Langkah 2: Selidiki di Google Security Operations

Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa yang mudah digunakan. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda hanya dapat menggunakan Google SecOps jika mengaktifkan Security Command Center di tingkat organisasi.

  1. Buka halaman Temuan Security Command Center di konsol Google Cloud.

    Buka Temuan

  2. Di panel Filter cepat, scroll ke bawah ke Nama tampilan sumber.

  3. Di bagian Source display name, pilih Event Threat Detection.

    Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.

  4. Dalam tabel, di bagian category, klik temuan Brute Force: SSH. Panel detail untuk temuan akan terbuka.

  5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.

  6. Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.

Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:

Langkah 3: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka Dasbor.

    Buka Dasbor

  2. Pilih project yang ditentukan di projectId.

  3. Buka kartu Resources, lalu klik Compute Engine.

  4. Klik instance VM yang cocok dengan nama dan zona di vmName. Tinjau detail instance, termasuk setelan jaringan dan akses.

  5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif di port 22.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
  2. Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP yang tercantum di baris Email utama di tab Ringkasan dari detail temuan menggunakan filter berikut:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

Langkah 5: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Valid Accounts: Local Accounts.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang berhasil melakukan upaya brute force.
  • Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
  • Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk mengetahui informasi tentang cara menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Langkah ini dapat mengganggu akses yang diotorisasi ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
  • Hanya gunakan autentikasi SSH dengan kunci yang diotorisasi.
  • Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada jumlah informasi, biaya Google Cloud Armor dapat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.

Credential Access: External Member Added To Privileged Group

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Mendeteksi saat anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (grup yang diberikan perizinan atau peran sensitif). Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Credential Access: External Member Added To Privileged Group, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan.
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Di panel detail, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • groupName: Google Grup tempat perubahan dilakukan
    • externalMember: anggota eksternal yang baru ditambahkan
    • sensitiveRoles: peran sensitif yang terkait dengan grup ini

Langkah 2: Tinjau anggota grup

  1. Buka Google Grup.

    Buka Google Grup

  2. Klik nama grup yang ingin ditinjau.

  3. Di menu navigasi, klik Anggota.

  4. Jika anggota eksternal yang baru ditambahkan tidak boleh berada dalam grup ini, klik kotak centang di samping nama anggota, lalu pilih Hapus anggota atau Blokir anggota.

    Untuk menghapus atau menambahkan anggota, Anda harus menjadi Admin Google Workspace, atau diberi peran Pemilik atau Pengelola di Google Grup. Untuk informasi selengkapnya, lihat Menetapkan peran ke anggota grup.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.

    Pemilih project

  3. Di halaman yang ditampilkan, periksa log untuk perubahan keanggotaan Google Grup menggunakan filter berikut:

    • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR)

Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya guna menentukan apakah CSR approved dan dikeluarkan, serta apakah tindakan terkait CSR adalah aktivitas yang diharapkan oleh akun utama.
  2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging. Contoh:
    • Apakah akun utama yang mencoba menyetujui CSR berbeda dengan akun yang membuatnya?
    • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lainnya?
  3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster.

Credential Access: Manually Approved Kubernetes Certificate Signing Request (CSR)

Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya untuk menentukan apakah tindakan terkait CSR adalah aktivitas yang diharapkan oleh akun utama.
  2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging. Contoh:
    • Apakah kepala sekolah yang menyetujui CSR berbeda dengan yang membuatnya?
    • Apakah CSR menentukan penanda tangan bawaan, tetapi pada akhirnya perlu disetujui secara manual karena tidak memenuhi kriteria penanda tangan?
    • Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lainnya?
  3. Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster.

Credential Access: Privileged Group Opened To Public

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Mendeteksi saat Google Grup dengan hak istimewa (grup yang diberi perizinan atau peran sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk menanggapi temuan ini, lakukan langkah berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Credential Access: Privileged Group Opened To Public, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan, yang mungkin telah disusupi.
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    1. Klik tab JSON.
    2. Dalam JSON, perhatikan kolom berikut.
    • groupName: Google Grup tempat perubahan dilakukan
    • sensitiveRoles: peran sensitif yang terkait dengan grup ini
    • whoCanJoin: setelan kemampuan bergabung grup

Langkah 2: Tinjau setelan akses grup

  1. Buka Konsol Admin untuk Google Grup. Anda harus menjadi Admin Google Workspace untuk login ke konsol.

    Buka Konsol Admin

  2. Di panel navigasi, klik Direktori, lalu pilih Grup.

  3. Klik nama grup yang ingin ditinjau.

  4. Klik Setelan Akses, lalu, di bagian Siapa yang dapat bergabung ke grup, tinjau setelan kemampuan bergabung grup.

  5. Di menu drop-down, jika perlu, ubah setelan kemampuan bergabung.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.

    Pemilih project

  3. Di halaman yang dimuat, periksa log untuk perubahan setelan Google Grup menggunakan filter berikut:

    • protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Credential Access: Secrets Accessed in Kubernetes Namespace

Mendeteksi saat default akun layanan Kubernetes Pod digunakan untuk mengakses objek Secret di cluster. Akun layanan Kubernetes default tidak boleh memiliki akses ke objek Secret kecuali jika Anda secara eksplisit memberikan akses tersebut dengan objek Role atau objek ClusterRole.

Credential Access: Sensitive Role Granted To Hybrid Group

Mendeteksi saat peran atau izin sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Credential Access: Sensitive Role Granted To Hybrid Group, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan perubahan, yang mungkin telah disusupi.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: resource tempat peran baru diberikan.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    1. Klik tab JSON.
    2. Dalam JSON, perhatikan kolom berikut.
    • groupName: Google Grup tempat perubahan dilakukan
    • bindingDeltas: peran sensitif yang baru diberikan ke grup ini.

Langkah 2: Tinjau izin grup

  1. Buka halaman IAM di Konsol Google Cloud.

    Buka IAM

  2. Di kolom Filter, masukkan nama akun yang tercantum di groupName.

  3. Tinjau peran sensitif yang diberikan ke grup.

  4. Jika peran sensitif yang baru ditambahkan tidak diperlukan, cabut peran tersebut.

    Anda memerlukan izin tertentu untuk mengelola peran di organisasi atau project. Untuk mengetahui informasi selengkapnya, lihat Izin yang diperlukan.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.

    Pemilih project

  3. Di halaman yang dimuat, periksa log untuk perubahan setelan Google Grup menggunakan filter berikut:

    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Malware: Cryptomining Bad IP

Malware terdeteksi dengan memeriksa log VPC Flow Logs dan Cloud DNS untuk menemukan koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Malware: Cryptomining Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • IP Sumber: alamat IP yang dicurigai melakukan penambangan kripto.
      • Source port: port sumber koneksi, jika tersedia.
      • IP tujuan: alamat IP target.
      • Port tujuan: port tujuan koneksi, jika tersedia.
      • Protokol: protokol IANA yang dikaitkan dengan koneksi.
    • Resource yang terpengaruh
    • Link terkait, termasuk kolom berikut:
      • Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Flow Analyzer (Pratinjau): link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika Log Aliran VPC diaktifkan.
  3. Di tampilan detail temuan, klik tab Properti sumber.

  4. Luaskan properties dan catat nilai project dan instance di kolom berikut:

    • instanceDetails: catat project ID dan nama instance Compute Engine. Project ID dan nama instance akan muncul seperti yang ditunjukkan dalam contoh berikut:

      /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
  5. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman Dasbor.

    Buka Dasbor

  2. Pilih project yang ditentukan di properties_project_id.

  3. Buka kartu Resources, lalu klik Compute Engine.

  4. Klik instance VM yang cocok dengan properties_sourceInstance. Selidiki instance yang berpotensi disusupi malware.

  5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project Anda.

  3. Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan Properties_ip_0 menggunakan filter berikut:

    • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
    • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pembajakan Resource.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang berisi malware.
  • Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
  • Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
  • Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor dapat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.

Initial Access: Log4j Compromise Attempt

Temuan ini dihasilkan saat lookup Java Naming and Directory Interface (JNDI) dalam header atau parameter URL terdeteksi. Penelusuran ini dapat menunjukkan upaya eksploitasi Log4Shell. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Log4j Compromise Attempt, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    • Di tampilan detail temuan, klik tab JSON.
    • Dalam JSON, perhatikan kolom berikut.

    • properties

      • loadBalancerName: nama load balancer yang menerima lookup JNDI
      • requestUrl: URL permintaan dari permintaan HTTP. Jika ada, kolom ini berisi pencarian JNDI.
      • requestUserAgent: agen pengguna yang mengirim permintaan HTTP. Jika ada, ini berisi pencarian JNDI.
      • refererUrl: URL halaman yang mengirim permintaan HTTP. Jika ada, properti ini berisi pencarian JNDI.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.
  2. Di halaman yang dimuat, periksa kolom httpRequest untuk token string seperti ${jndi:ldap:// yang mungkin menunjukkan kemungkinan upaya eksploitasi.

    Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exploit Public-Facing Application.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Active Scan: Log4j Vulnerable to RCE

Pemindai kerentanan Log4j yang didukung memasukkan pencarian JNDI yang di-obfuscate dalam parameter, URL, dan kolom teks HTTP dengan callback ke domain yang dikontrol oleh pemindai. Temuan ini dihasilkan saat kueri DNS untuk domain yang tidak di-obfuscate ditemukan. Kueri tersebut hanya terjadi jika pencarian JNDI berhasil, yang menunjukkan kerentanan Log4j yang aktif. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Active Scan: Log4j Vulnerable to RCE, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource lengkap dari instance Compute Engine yang rentan terhadap RCE Log4j.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • properties
      • scannerDomain: domain yang digunakan oleh pemindai sebagai bagian dari pencarian JNDI. Hal ini memberi tahu Anda pemindai mana yang mengidentifikasi kerentanan.
      • sourceIp: alamat IP yang digunakan untuk membuat kueri DNS
      • vpcName: nama jaringan pada instance tempat kueri DNS dibuat.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.
  2. Di halaman yang dimuat, periksa kolom httpRequest untuk token string seperti ${jndi:ldap:// yang mungkin menunjukkan kemungkinan upaya eksploitasi.

    Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksploitasi Layanan Jarak Jauh.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Leaked credentials

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Temuan ini dihasilkan saat kredensial akun layanan Google Cloud tidak sengaja bocor secara online atau disusupi. Untuk menanggapi temuan ini, lakukan langkah berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan account_has_leaked_credentials, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

  • Yang terdeteksi
  • Resource yang terpengaruh
  1. Klik tab Properti Sumber dan perhatikan kolom berikut:

    • Compromised_account: akun layanan yang berpotensi disusupi
    • Project_identifier: project yang berisi kredensial akun yang berpotensi bocor
    • URL: link ke repositori GitHub
  2. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau izin project dan akun layanan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di Project_identifier.

  3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Compromised_account dan periksa izin yang ditetapkan.

  4. Di konsol Google Cloud, buka halaman Akun Layanan.

    Buka Akun Layanan

  5. Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi dan periksa kunci akun layanan serta tanggal pembuatan kunci.

Langkah 3: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project Anda.

  3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:

    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
    • protoPayload.methodName="InsertProjectOwnershipInvite"
    • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Cloud.
  2. Tinjau temuan terkait dengan mengklik link di relatedFindingURI. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang kredensialnya bocor.
  • Pertimbangkan untuk menghapus akun layanan yang disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Menanggapi notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
  • Buka link URL dan hapus kredensial yang bocor. Kumpulkan informasi selengkapnya tentang akun yang disusupi dan hubungi pemiliknya.

Malware

Malware terdeteksi dengan memeriksa Log Alur VPC dan log Cloud DNS untuk menemukan koneksi ke domain perintah dan kontrol serta alamat IP yang diketahui. Saat ini, Event Threat Detection menyediakan deteksi malware umum (Malware: Bad IP dan Malware: Bad Domain) serta detector khusus untuk malware terkait Log4j (Log4j Malware: Bad IP dan Log4j Malware: Bad Domain).

Langkah-langkah berikut menjelaskan cara menyelidiki dan merespons temuan berbasis IP. Langkah-langkah perbaikannya serupa untuk temuan berbasis domain.

Langkah 1: Tinjau detail temuan

  1. Buka temuan malware yang relevan. Langkah-langkah berikut menggunakan temuan Malware: Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Domain indikator: untuk temuan Bad domain, domain yang memicu temuan.
      • IP Indikator: untuk temuan Bad IP, alamat IP yang memicu temuan.
      • IP sumber: untuk temuan Bad IP, alamat IP kontrol dan perintah malware yang diketahui.
      • Source port: untuk temuan Bad IP, port sumber koneksi.
      • IP tujuan: untuk temuan Bad IP, alamat IP target malware.
      • Port tujuan: untuk temuan Bad IP, port tujuan koneksi.
      • Protokol: untuk temuan Bad IP, nomor protokol IANA yang terkait dengan koneksi.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama lengkap resource instance Compute Engine yang terpengaruh.
      • Project full name: nama resource lengkap project yang berisi temuan.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Investigasi di Google Security Operations: link ke Google SecOps.
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
      • Flow Analyzer (Pratinjau): link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika Log Aliran VPC diaktifkan.
    1. Klik tab JSON dan perhatikan kolom berikut:

      • evidence:
      • sourceLogId:
        • projectID: ID project tempat masalah terdeteksi.
      • properties:
      • InstanceDetails: alamat resource untuk instance Compute Engine.

Langkah 2: Selidiki di Google Security Operations

Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa yang mudah digunakan. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda hanya dapat menggunakan Google SecOps jika mengaktifkan Security Command Center di tingkat organisasi.

  1. Buka halaman Temuan Security Command Center di konsol Google Cloud.

    Buka Temuan

  2. Di panel Filter cepat, scroll ke Nama tampilan sumber.

  3. Di bagian Source display name, pilih Event Threat Detection.

    Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.

  4. Dalam tabel, di bagian category, klik temuan Malware: Bad IP. Panel detail untuk menemukan akan terbuka.

  5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.

  6. Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.

Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:

Langkah 3: Tinjau izin dan setelan

  1. Di konsol Google Cloud, buka halaman Dasbor.

    Buka Dasbor

  2. Pilih project yang ditentukan di baris Project full name di tab Summary.

  3. Buka kartu Resources, lalu klik Compute Engine.

  4. Klik instance VM yang cocok dengan nama dan zona di Nama lengkap resource. Tinjau detail instance, termasuk setelan jaringan dan akses.

  5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 4: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP di Source IP menggunakan filter berikut:

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      Ganti kode berikut:

      • PROJECT_ID dengan memilih project yang tercantum di projectId.
      • SOURCE_IP dengan alamat IP yang tercantum di baris Source IP di tab Summary dari detail temuan.

Langkah 5: Periksa Flow Analyzer

Anda harus mengaktifkan Log Aliran VPC untuk melakukan proses berikut.

  1. Pastikan Anda telah mengupgrade bucket log untuk menggunakan Log Analytics. Untuk mengetahui petunjuknya, lihat Mengupgrade bucket untuk menggunakan Log Analytics. Tidak ada biaya tambahan untuk melakukan upgrade.
  2. Di konsol Google Cloud, buka halaman Flow Analyzer:

    Buka Flow Analyzer

    Anda juga dapat mengakses Flow Analyzer melalui link URL Flow Analyzer di bagian Link Terkait pada tab Ringkasan di panel Menemukan detail.

  3. Untuk menyelidiki lebih lanjut informasi yang berkaitan dengan temuan Event Threat Detection, gunakan pemilih rentang waktu di panel tindakan untuk mengubah jangka waktu. Jangka waktu harus mencerminkan waktu temuan pertama kali dilaporkan. Misalnya, jika temuan dilaporkan dalam 2 jam terakhir, Anda dapat menetapkan jangka waktu ke 6 jam terakhir. Hal ini memastikan jangka waktu di Flow Analyzer mencakup waktu saat temuan dilaporkan.

  4. Filter Flow Analyzer untuk menampilkan hasil yang sesuai untuk alamat IP yang terkait dengan temuan IP berbahaya:

    1. Dari menu Filter di baris Source pada bagian Query, pilih IP.
    2. Di kolom Nilai, masukkan alamat IP yang terkait dengan temuan tersebut, lalu klik Jalankan Kueri Baru.

      Jika Flow Analyzer tidak menampilkan hasil apa pun untuk alamat IP, hapus filter dari baris Sumber, lalu jalankan kueri lagi dengan filter yang sama di baris Tujuan.

  5. Analisis hasilnya. Untuk informasi tambahan tentang alur tertentu, klik Detail di tabel Semua alur data untuk membuka panel Detail alur.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Dynamic Resolution dan Command and Control.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Periksa URL dan domain yang ditandai di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang berisi malware.
  • Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
  • Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang disusupi.
  • Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
  • Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor dapat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
  • Untuk mengontrol akses dan penggunaan image VM, gunakan kebijakan IAM Shielded VM dan Trusted Images.

Persistence: IAM Anomalous Grant

Log audit diperiksa untuk mendeteksi penambahan pemberian peran IAM (IAM) yang mungkin dianggap mencurigakan.

Berikut adalah contoh pemberian yang tidak wajar:

  • Mengundang pengguna eksternal, seperti pengguna gmail.com, sebagai pemilik project dari konsol Google Cloud
  • Akun layanan yang memberikan izin sensitif
  • Peran khusus yang memberikan izin sensitif
  • Akun layanan yang ditambahkan dari luar organisasi atau project Anda

Penemuan IAM Anomalous Grant bersifat unik karena menyertakan sub-aturan yang memberikan informasi lebih spesifik tentang setiap instance penemuan ini. Klasifikasi tingkat keparahan temuan ini bergantung pada sub-aturan. Setiap sub-aturan mungkin memerlukan respons yang berbeda.

Daftar berikut menunjukkan semua kemungkinan sub-aturan dan tingkat keparahannya:

  • external_service_account_added_to_policy:
    • HIGH, jika peran yang sangat sensitif diberikan atau jika peran sensitivitas sedang diberikan di tingkat organisasi. Untuk informasi selengkapnya, lihat Peran yang sangat sensitif.
    • MEDIUM, jika peran sensitivitas sedang diberikan. Untuk informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
  • external_member_invited_to_policy: HIGH
  • external_member_added_to_policy:
    • HIGH, jika peran yang sangat sensitif diberikan atau jika peran sensitivitas sedang diberikan di tingkat organisasi. Untuk informasi selengkapnya, lihat Peran yang sangat sensitif.
    • MEDIUM, jika peran sensitivitas sedang diberikan. Untuk informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
  • custom_role_given_sensitive_permissions: MEDIUM
  • service_account_granted_sensitive_role_to_member: HIGH
  • policy_modified_by_default_compute_service_account: HIGH

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: IAM Anomalous Grant seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email akun utama: alamat email untuk pengguna atau akun layanan yang menetapkan peran.
    • Resource yang terpengaruh

    • Link terkait, terutama kolom berikut:

      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
      • Investigasi di Google Security Operations: link ke Google SecOps.
  3. Klik tab JSON. JSON lengkap dari temuan akan ditampilkan.

  4. Dalam JSON untuk temuan, perhatikan kolom berikut:

    • detectionCategory:
      • subRuleName: informasi yang lebih spesifik tentang jenis pemberian yang tidak wajar yang terjadi. Sub-aturan menentukan klasifikasi tingkat keparahan temuan ini.
    • evidence:
      • sourceLogId:
      • projectId: ID project yang berisi temuan.
    • properties:
      • sensitiveRoleGrant:
        • bindingDeltas:
        • Action: tindakan yang dilakukan oleh pengguna.
        • Role: peran yang ditetapkan kepada pengguna.
        • member: alamat email pengguna yang menerima peran.

Langkah 2: Selidiki di Google Security Operations

Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa yang mudah digunakan. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda tidak dapat menyelidiki temuan Security Command Center di Google SecOps jika mengaktifkan Security Command Center di level project.

  1. Buka halaman Temuan Security Command Center di konsol Google Cloud.

    Buka Temuan

  2. Di panel Filter cepat, scroll ke bawah ke Nama tampilan sumber.

  3. Di bagian Source display name, pilih Event Threat Detection.

    Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.

  4. Dalam tabel, di bagian category, klik temuan Persistence: IAM Anomalous Grant. Panel detail untuk menemukan akan terbuka.

  5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.

  6. Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.

Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Di halaman yang dimuat, cari resource IAM baru atau yang diperbarui menggunakan filter berikut:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Valid Accounts: Cloud Accounts.
  2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang akunnya disusupi.
  • Hapus akun layanan yang disusupi, lalu putar dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
  • Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
  • Untuk membatasi penambahan pengguna gmail.com, gunakan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Persistence: Impersonation Role Granted for Dormant Service Account

Mendeteksi peristiwa saat peran peniruan identitas diberikan kepada akun utama yang memungkinkan akun utama tersebut meniru identitas akun layanan yang dikelola pengguna yang tidak aktif. Dalam temuan ini, akun layanan yang tidak aktif adalah resource yang terpengaruh, dan akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: Impersonation Role Granted for Dormant Service Account, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: pengguna yang melakukan tindakan pemberian
    • Pemberian akses yang melanggar.Nama akun utama: akun utama yang diberi peran peniruan identitas

    Di bagian Resource yang terpengaruh:

    • Nama tampilan resource: akun layanan yang tidak aktif sebagai resource
    • Nama lengkap project: project tempat akun layanan yang tidak aktif tersebut berada

Langkah 2: Pelajari metode serangan dan respons

  1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
  2. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link Cloud Logging URI untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
  • Hapus peran peniruan identitas yang baru diberikan dari anggota target.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Merespons notifikasi dari Cloud Customer Care.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pembuat rekomendasi IAM.

Persistence: Unmanaged Account Granted Sensitive Role

Mendeteksi peristiwa saat peran sensitif diberikan ke akun yang tidak dikelola Akun yang tidak dikelola tidak dapat dikontrol oleh administrator sistem. Misalnya, saat karyawan yang bersangkutan keluar dari perusahaan, administrator tidak dapat menghapus akun tersebut. Oleh karena itu, memberikan peran sensitif ke akun yang tidak dikelola dapat menimbulkan potensi risiko keamanan bagi organisasi.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: Unmanaged Account Granted Sensitive Role, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: pengguna yang melakukan tindakan pemberian
    • Offending access grants.Principal name: akun tidak terkelola yang menerima pemberian
    • Pemberian akses yang melanggar.Peran diberikan: peran sensitif yang diberikan

Langkah 2: Pelajari metode serangan dan respons

  1. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  2. Hubungi pemilik kolom Offending access grants.Principal name, pahami asal akun yang tidak dikelola.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link Cloud Logging URI untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
  • Hapus peran sensitif yang baru diberikan dari akun yang tidak dikelola.
  • Pertimbangkan untuk mengonversi akun yang tidak dikelola menjadi akun terkelola menggunakan alat transfer, dan pindahkan akun ini ke dalam kontrol administrator sistem.

Persistence: New API Method

Aktivitas admin yang tidak wajar oleh aktor yang berpotensi berbahaya terdeteksi di organisasi, folder, atau project. Aktivitas yang tidak wajar dapat berupa salah satu dari hal berikut:

  • Aktivitas baru oleh akun utama di organisasi, folder, atau project
  • Aktivitas yang sudah lama tidak dilihat oleh akun utama di organisasi, folder, atau project

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: New API Method seperti yang diarahkan dalam Meninjau temuan.
  2. Di detail temuan, pada tab Ringkasan, catat nilai kolom berikut:

    • Di bagian Yang terdeteksi:
      • Email utama: akun yang melakukan panggilan
      • Nama layanan: nama API layanan Google Cloud yang digunakan dalam tindakan
      • Nama metode: metode yang dipanggil
    • Di bagian Resource yang terpengaruh:
      • Nama tampilan resource: nama resource yang terpengaruh, yang dapat sama dengan nama organisasi, folder, atau project
      • Jalur resource: lokasi dalam hierarki resource tempat aktivitas berlangsung

Langkah 2: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Persistensi.
  2. Selidiki apakah tindakan tersebut dibenarkan di organisasi, folder, atau project dan apakah tindakan tersebut diambil oleh pemilik akun yang sah. Organisasi, folder, atau project ditampilkan di baris Resource path dan akun ditampilkan di baris Principal email.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Persistence: New Geography

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akun pengguna atau layanan IAM mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: New Geography, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

  • Yang terdeteksi, terutama kolom berikut:
    • Email utama: akun pengguna yang berpotensi disusupi.
  • Resource yang terpengaruh, terutama kolom berikut:
    • Nama lengkap project: project yang berisi akun pengguna yang berpotensi dibobol.
  • Link terkait, terutama kolom berikut:
    • Cloud Logging URI: link ke entri Logging.
    • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
    • Temuan terkait: link ke temuan terkait.
  1. Di tampilan detail temuan, klik tab JSON.
  2. Dalam JSON, perhatikan kolom sourceProperties berikut:

    • affectedResources:
      • gcpResourceName: resource yang terpengaruh
    • evidence:
      • sourceLogId:
      • projectId: ID project yang berisi temuan.
    • properties:
      • anomalousLocation:
      • anomalousLocation: perkiraan lokasi pengguna saat ini.
      • callerIp: alamat IP eksternal.
      • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran untuk perilaku normal.
      • typicalGeolocations: lokasi tempat pengguna biasanya mengakses resource Google Cloud.

Langkah 2: Tinjau izin project dan akun

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di kolom projectID dalam JSON temuan.

  3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Email akun utama dan periksa peran yang diberikan.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.
  3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Valid Accounts: Cloud Accounts.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang akunnya disusupi.
  • Tinjau kolom anomalousLocation, typicalGeolocations, dan notSeenInLast untuk memverifikasi apakah akses tersebut tidak normal dan apakah akun telah disusupi.
  • Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
  • Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi Lokasi Resource.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Persistence: New User Agent

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Akun layanan IAM mengakses Google Cloud menggunakan software yang mencurigakan, seperti yang ditunjukkan oleh agen pengguna yang tidak wajar.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Persistence: New User Agent, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun layanan yang berpotensi disusupi.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap project: project yang berisi akun layanan yang berpotensi dibobol.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    1. Di tampilan detail temuan, klik tab JSON.
    2. Dalam JSON, perhatikan kolom berikut.
    • projectId: project yang berisi akun layanan yang berpotensi dikompromikan.
    • callerUserAgent: agen pengguna yang tidak wajar.
    • anomalousSoftwareClassification: jenis software.
    • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.

Langkah 2: Tinjau izin project dan akun

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di projectId.

  3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email akun utama di tab Ringkasan detail temuan dan periksa peran yang diberikan.

  4. Di konsol Google Cloud, buka halaman Akun Layanan.

    Buka Akun Layanan

  5. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email utama di tab Ringkasan detail temuan.

  6. Periksa kunci akun layanan dan tanggal pembuatan kunci.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.
  3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Cloud.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang akunnya disusupi.
  • Tinjau kolom anomalousSoftwareClassification, callerUserAgent, dan behaviorPeriod untuk memverifikasi apakah akses tersebut tidak normal dan apakah akun telah disusupi.
  • Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
  • Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi Lokasi Resource.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Changes to sensitive Kubernetes RBAC objects

Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole, RoleBinding, atau ClusterRoleBinding dari peran cluster-admin sensitif menggunakan permintaan PUT atau PATCH.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Changes to sensitive Kubernetes RBAC objects seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan panggilan.
      • Nama metode: metode yang dipanggil.
      • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang diubah.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Di bagian Yang terdeteksi, klik nama binding di baris Kubernetes bindings. Detail binding akan ditampilkan.

  4. Dalam binding yang ditampilkan, catat detail binding.

Langkah 2: Periksa log

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Jika nilai di Nama metode adalah metode PATCH, periksa isi permintaan untuk melihat properti yang diubah.

    Dalam panggilan update (PUT), seluruh objek dikirim dalam permintaan, sehingga perubahannya tidak begitu jelas.

  3. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses
  2. Konfirmasi sensitivitas objek dan apakah modifikasi tersebut dibenarkan.
  3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang diikat.
  4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
  5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

    Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber perubahan untuk menentukan legitimasinya.

  6. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Create Kubernetes CSR for master cert

Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberi mereka akses cluster-admin.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Create Kubernetes CSR for master cert seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan panggilan.
      • Nama metode: metode yang dipanggil.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.
  3. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
  2. Selidiki apakah pemberian akses cluster-admin dibenarkan.
  3. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

    Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.

  4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Creation of sensitive Kubernetes bindings

Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Creation of sensitive Kubernetes bindings seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan panggilan.
      • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang dibuat.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
  2. Konfirmasi sensitivitas binding yang dibuat dan apakah peran diperlukan untuk subjek.
  3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang diikat.
  4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
  5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

    Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.

  6. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access

Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut:

  • system:anonymous
  • system:authenticated
  • system:unauthenticated

Pengguna dan grup ini secara efektif bersifat anonim dan harus dihindari saat membuat binding peran atau binding peran cluster ke peran RBAC apa pun. Tinjau binding untuk memastikan bahwa binding tersebut diperlukan. Jika binding tidak diperlukan, hapus binding tersebut. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.

  1. Tinjau semua binding yang dibuat yang memberikan izin ke pengguna system:anonymous, system:unauthenticated group, atau grup system:authenticated.
  2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging.

Jika ada tanda-tanda aktivitas berbahaya, tinjau panduan untuk menyelidiki dan menghapus binding yang mengizinkan akses ini.

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.

Berikut adalah contoh perintah yang terdeteksi oleh aturan ini:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan panggilan.
      • Nama metode: metode yang dipanggil.
    • Di bagian Resource yang terpengaruh:
      • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Periksa log

Jika nama metode, yang Anda catat di kolom Nama metode dalam detail temuan, adalah metode GET, lakukan tindakan berikut:

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
  2. Jika CSR tertentu tersedia dalam entri log, selidiki sensitivitas sertifikat dan apakah tindakan tersebut dibenarkan.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Launch of privileged Kubernetes container

Pelaku yang berpotensi berbahaya membuat Pod yang berisi penampung hak istimewa atau penampung dengan kemampuan eskalasi hak istimewa.

Penampung dengan hak istimewa memiliki kolom privileged yang ditetapkan ke true. Penampung dengan kemampuan eskalasi hak istimewa memiliki kolom allowPrivilegeEscalation yang ditetapkan ke true. Untuk mengetahui informasi selengkapnya, lihat referensi API inti SecurityContext v1 dalam dokumentasi Kubernetes.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Launch of privileged Kubernetes container seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email utama: akun yang melakukan panggilan.
      • Pod Kubernetes: Pod yang baru dibuat dengan penampung dengan hak istimewa.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
  3. Di tab JSON, perhatikan nilai kolom temuan:

    • findings.kubernetes.pods[].containers: container dengan hak istimewa muncul dalam Pod.

Langkah 2: Periksa log

  1. Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
  2. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:

    • resource.labels.cluster_name="CLUSTER_NAME"
    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      Ganti kode berikut:

    • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

    • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
  2. Pastikan penampung yang dibuat memerlukan akses ke resource host dan kemampuan kernel.
  3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
  4. Jika email akun utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.

    Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.

  5. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Dormant Service Account Granted Sensitive Role

Mendeteksi peristiwa saat peran IAM sensitif diberikan ke akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Dormant Service Account Granted Sensitive Role, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: pengguna yang melakukan tindakan pemberian
    • Offending access grants.Principal name: Akun layanan tidak aktif yang menerima peran sensitif
    • Pemberian akses yang melanggar.Peran yang diberikan: Peran IAM sensitif yang ditetapkan

    Di bagian Resource yang terpengaruh:

    • Nama tampilan resource: organisasi, folder, atau project tempat peran IAM sensitif diberikan ke akun layanan yang tidak aktif.

Langkah 2: Pelajari metode serangan dan respons

  1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
  2. Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link Cloud Logging URI untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
  • Hapus peran IAM sensitif yang baru ditetapkan dari akun layanan yang tidak aktif.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Merespons notifikasi dari Cloud Customer Care.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pembuat rekomendasi IAM.

Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity

Peniruan Identitas Akun Layanan yang Anomal terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
      • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
      • Nama metode: metode yang dipanggil.
      • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: Nama cluster.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Pelajari metode serangan dan respons

  1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
  3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity

Anomalous Multistep Service Account Delegation terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
      • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
      • Nama metode: metode yang dipanggil.
      • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Pelajari metode serangan dan respons

  1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
  3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Anomalous Multistep Service Account Delegation terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
      • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
      • Nama metode: metode yang dipanggil
      • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Pelajari metode serangan dan respons

  1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
  3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity

Anomalous Service Account Impersonator terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:

      • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
      • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
      • Nama metode: metode yang dipanggil
      • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
    • Resource yang terpengaruh

    • Link terkait, terutama kolom berikut:

      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.

Langkah 2: Pelajari metode serangan dan respons

  1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
  3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Peniru Akun Layanan Anomal terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for Data Access, seperti yang diarahkan dalam Meninjau temuan.
  2. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
    • Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
    • Nama metode: metode yang dipanggil
    • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas

Langkah 2: Pelajari metode serangan dan respons

  1. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
  2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
  3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.
  • Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
  • Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: ClusterRole with Privileged Verbs

Seseorang membuat objek ClusterRole RBAC yang berisi kata kerja bind, escalate, atau impersonate. Subjek yang terikat dengan peran dengan kata kerja ini dapat meniru identitas pengguna lain dengan hak istimewa yang lebih tinggi, terikat dengan objek Role atau ClusterRole tambahan yang berisi izin tambahan, atau mengubah izin ClusterRole mereka sendiri. Hal ini dapat menyebabkan subjek tersebut mendapatkan hak istimewa cluster-admin. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau ClusterRole dan ClusterRoleBindings terkait untuk memeriksa apakah subjek benar-benar memerlukan izin ini.
  2. Jika memungkinkan, hindari membuat peran yang melibatkan kata kerja bind, escalate, atau impersonate.
  3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging.
  4. Saat menetapkan izin dalam peran RBAC, gunakan prinsip hak istimewa terendah dan berikan izin minimum yang diperlukan untuk melakukan tugas. Menggunakan prinsip hak istimewa terendah akan mengurangi potensi eskalasi akses jika cluster Anda disusupi, dan mengurangi kemungkinan akses yang berlebihan menyebabkan insiden keamanan.

Privilege Escalation: ClusterRoleBinding to Privileged Role

Seseorang membuat ClusterRoleBinding RBAC yang mereferensikan system:controller:clusterrole-aggregation-controller ClusterRole default. ClusterRole default ini memiliki kata kerja escalate, yang memungkinkan subjek mengubah hak istimewa peran mereka sendiri, sehingga memungkinkan eskalasi hak istimewa. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau ClusterRoleBinding yang mereferensikan system:controller:clusterrole-aggregation-controller ClusterRole.
  2. Tinjau setiap modifikasi pada system:controller:clusterrole-aggregation-controller ClusterRole.
  3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal yang membuat ClusterRoleBinding dalam log audit di Cloud Logging.

Privilege Escalation: Suspicious Kubernetes Container Names - Exploitation and Escape

Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan alat umum yang digunakan untuk melarikan diri dari penampung atau untuk menjalankan serangan lain di cluster. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Pastikan Pod tersebut sah.
  2. Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
  3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
  4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
  5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.

Privilege Escalation: Workload Created with a Sensitive Host Path Mount

Seseorang membuat workload yang berisi pemasangan volume hostPath ke jalur sensitif di sistem file node host. Akses ke jalur ini di sistem file host dapat digunakan untuk mengakses informasi sensitif atau dengan hak istimewa di node dan untuk container escape. Jika memungkinkan, jangan izinkan volume hostPath apa pun di cluster Anda. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Tinjau beban kerja untuk menentukan apakah volume hostPath ini diperlukan untuk fungsi yang diinginkan. Jika ya, pastikan jalurnya mengarah ke direktori yang paling spesifik. Misalnya, /etc/myapp/myfiles, bukan / atau /etc.
  2. Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya yang terkait dengan beban kerja ini di log audit di Cloud Logging.

Untuk memblokir pemasangan volume hostPath di cluster, lihat panduan untuk menerapkan Standar Keamanan Pod.

Privilege Escalation: Workload with shareProcessNamespace enabled

Seseorang men-deploy workload dengan opsi shareProcessNamespace ditetapkan ke true, sehingga memungkinkan semua container berbagi namespace proses Linux yang sama. Hal ini dapat memungkinkan penampung yang tidak tepercaya atau disusupi untuk meningkatkan hak istimewa dengan mengakses dan mengontrol variabel lingkungan, memori, dan data sensitif lainnya dari proses yang berjalan di penampung lain. Beberapa beban kerja mungkin memerlukan fungsi ini untuk beroperasi karena alasan yang sah, seperti menangani log penampung sidecar atau men-debug penampung. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Pastikan bahwa beban kerja benar-benar memerlukan akses ke namespace proses bersama untuk semua penampung dalam beban kerja.
  2. Periksa apakah ada tanda-tanda aktivitas berbahaya lainnya oleh akun utama dalam log audit di Cloud Logging.
  3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah mereka melakukan tindakan tersebut.
  4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi legitimasi yang menyebabkan akun layanan melakukan tindakan ini.

Service account self-investigation

Kredensial akun layanan sedang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama. Temuan ini menunjukkan bahwa kredensial akun layanan mungkin telah disusupi dan tindakan segera harus diambil.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Discovery: Service Account Self-Investigation, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Keparahan: tingkat risiko yang ditetapkan untuk temuan. Tingkat keparahannya adalah HIGH jika panggilan API yang memicu temuan ini tidak sah—akun layanan tidak memiliki izin untuk mengkueri izin IAM-nya sendiri dengan projects.getIamPolicy API.
      • Email utama: akun layanan yang berpotensi disusupi.
      • IP Pemanggil: alamat IP internal atau eksternal
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource:
      • Nama lengkap project: project yang berisi kredensial akun yang berpotensi bocor.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    1. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau izin project dan akun layanan

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Jika perlu, pilih project yang tercantum di kolom projectID dari JSON temuan.

  3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Principal email dan periksa izin yang ditetapkan.

  4. Di konsol Google Cloud, buka halaman Akun Layanan.

    Buka Akun Layanan

  5. Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi dan periksa kunci akun layanan serta tanggal pembuatan kunci.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
  2. Jika perlu, pilih project Anda.
  3. Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penemuan Grup Izin: Grup Cloud.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang akunnya disusupi.
  • Hapus akun layanan yang disusupi, lalu putar dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
  • Hapus resource project yang dibuat oleh akun yang disusupi, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.

Inhibit System Recovery: Deleted Google Cloud Backup and DR host

Event Threat Detection memeriksa log audit untuk mendeteksi penghapusan host yang menjalankan aplikasi yang dilindungi oleh Layanan Pencadangan dan DR. Setelah host dihapus, aplikasi yang terkait dengan host tidak dapat dicadangkan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Deleted Google Cloud Backup and DR host, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
      • Nama host: nama host yang terhubung ke Cadangan dan DR
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat host dihapus
    • Link terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi untuk menentukan cara terbaik menyelesaikan temuan.

  1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
  2. Pastikan host yang dihapus tidak lagi ada dalam daftar host Cadangan dan DR.
  3. Pilih opsi Tambahkan Host untuk menambahkan kembali host yang dihapus.

Inhibit System Recovery: Google Cloud Backup and DR remove plan

Security Command Center memeriksa log audit untuk mendeteksi penghapusan anomali pada rencana pencadangan Layanan Pencadangan dan DR yang digunakan untuk menerapkan kebijakan pencadangan ke aplikasi.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR remove plan, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
      • Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
      • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat rencana dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.

  1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
  2. Di tab App Manager, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.

Inhibit System Recovery: Google Cloud Backup and DR delete template

Security Command Center memeriksa log audit untuk mendeteksi penghapusan template yang tidak wajar. Template adalah konfigurasi dasar untuk pencadangan yang dapat diterapkan ke beberapa aplikasi.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete template, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat template dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.

  1. Di project tempat tindakan diambil, buka konsol pengelolaan.
  2. Di tab App Manager, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.
  3. Untuk menambahkan kembali template, buka tab Backup Plans, pilih Templates, lalu pilih opsi Create Template.

Inhibit System Recovery: Google Cloud Backup and DR delete policy

Log audit diperiksa untuk mendeteksi penghapusan kebijakan. Kebijakan menentukan cara pencadangan diambil dan tempat penyimpanannya.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete policy, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi cadangan
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat kebijakan dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI logging: link untuk membuka Logs Explorer.

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab App Manager, pilih aplikasi yang terpengaruh dan tinjau setelan Policy yang diterapkan ke aplikasi tersebut.

Inhibit System Recovery: Google Cloud Backup and DR delete profile

Log audit diperiksa untuk mendeteksi penghapusan profil. Profil menentukan kumpulan penyimpanan yang digunakan untuk menyimpan cadangan.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete profile, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat profil dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Backup Plans, pilih Profiles untuk melihat daftar semua profil. 3. Tinjau profil untuk memverifikasi bahwa semua profil yang diperlukan sudah ada. 4. Jika profil yang dihapus tidak sengaja dihapus, pilih Buat Profil untuk menentukan target penyimpanan untuk perangkat Pencadangan dan DR Anda.

Inhibit System Recovery: Google Cloud Backup and DR delete storage pool

Log audit diperiksa untuk mendeteksi penghapusan kumpulan penyimpanan. Tampungan penyimpanan mengaitkan bucket Cloud Storage dengan Pencadangan dan DR.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete storage pool, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama penyimpanan gabungan: nama untuk bucket penyimpanan tempat cadangan disimpan
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat kumpulan penyimpanan dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Kelola, pilih Storage Pools untuk melihat daftar semua storage pool. 3. Tinjau pengaitan kumpulan penyimpanan dengan Appliance Pencadangan. 4. Jika appliance aktif tidak memiliki kumpulan penyimpanan yang terkait, pilih Tambahkan Kumpulan OnVault untuk menambahkannya kembali.

Data Destruction: Google Cloud Backup and DR expire image

Pelaku yang berpotensi berbahaya telah meminta untuk menghapus image cadangan.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR expire image, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
      • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
      • Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat gambar cadangan dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Monitor dan pilih Tugas untuk meninjau status tugas penghapusan cadangan. 3. Jika tugas penghapusan tidak diotorisasi, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.

Data Destruction: Google Cloud Backup and DR expire all images

Pelaku yang berpotensi berbahaya telah meminta untuk menghapus semua image cadangan yang terkait dengan aplikasi.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR expire all images, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
      • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
      • Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat gambar cadangan dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI logging: link untuk membuka Logs Explorer.

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Monitor dan pilih Tugas untuk meninjau status tugas penghapusan cadangan. 3. Jika tugas penghapusan tidak diotorisasi, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.

Data Destruction: Google Cloud Backup and DR remove appliance

Log audit diperiksa untuk mendeteksi penghapusan perangkat pencadangan dan pemulihan. Appliance pencadangan dan pemulihan adalah komponen penting untuk operasi pencadangan.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR remove appliance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Nama perangkat: nama database atau VM yang terhubung ke Pencadangan dan DR
      • Subjek utama: pengguna yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat appliance dihapus
    • Link Terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
      • URI Logging: link untuk membuka Logs Explorer

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi. 3. Untuk membuat appliance baru dan menerapkan kembali perlindungan ke aplikasi yang tidak dilindungi, buka Backup and DR di konsol Google Cloud, lalu pilih opsi Deploy another backup or recovery appliance. 4. Di menu Storage, konfigurasikan setiap appliance baru dengan target penyimpanan. Setelah Anda mengonfigurasi appliance, appliance akan muncul sebagai opsi saat Anda membuat profil untuk aplikasi.

Impact: Google Cloud Backup and DR reduced backup expiration

Event Threat Detection memeriksa log audit untuk mendeteksi apakah tanggal habis masa berlaku untuk pencadangan di Appliance Layanan Pencadangan dan DR telah dikurangi.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Impact: Google Cloud Backup and DR reduced backup expiration, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Deskripsi: informasi tentang deteksi
      • Subjek utama: pengguna atau akun layanan yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat masa berlaku cadangan dikurangi.
    • Link terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK.
      • URI logging: link untuk membuka Logs Explorer.

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.

  1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
  2. Di tab App Manager, temukan aplikasi yang terpengaruh yang masa berlaku cadangannya diperpendek dan pastikan masa berlakunya dimaksudkan oleh prinsipal.
  3. Untuk memulai pencadangan baru aplikasi, pilih Kelola Konfigurasi Pencadangan untuk membuat pencadangan on-demand atau untuk menjadwalkan pencadangan baru.

Impact: Google Cloud Backup and DR reduced backup frequency

Event Threat Detection memeriksa log audit untuk mendeteksi apakah rencana pencadangan telah diubah untuk mengurangi frekuensi pencadangan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Impact: Google Cloud Backup and DR reduced backup frequency, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:
    • Yang terdeteksi, terutama kolom berikut:
      • Deskripsi: informasi tentang deteksi
      • Subjek utama: pengguna atau akun layanan yang telah berhasil menjalankan tindakan
    • Resource yang terpengaruh
      • Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
    • Link terkait, terutama kolom berikut:
      • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK.
      • URI logging: link untuk membuka Logs Explorer.

Langkah 2: Pelajari metode serangan dan respons

Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.

  1. Di project tempat tindakan dilakukan, buka konsol pengelolaan.
  2. Di tab App Manager, temukan aplikasi yang terpengaruh yang frekuensi pencadangannya dikurangi dan pastikan perubahan tersebut dimaksudkan oleh prinsipal.
  3. Untuk memulai pencadangan baru aplikasi, pilih Kelola Konfigurasi Pencadangan untuk membuat pencadangan on-demand atau untuk menjadwalkan pencadangan baru.

Impact: Suspicious Kubernetes Container Names - Coin Mining

Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan penambang coin mata uang kripto umum. Hal ini mungkin merupakan upaya penyerang yang telah mendapatkan akses awal ke cluster untuk menggunakan resource cluster untuk penambangan mata uang kripto. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.

  1. Pastikan Pod tersebut sah.
  2. Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
  3. Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
  4. Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
  5. Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.

Lateral Movement: Modified Boot Disk Attached to Instance

Log audit diperiksa untuk mendeteksi pergerakan disk yang mencurigakan di antara resource instance Compute Engine. Disk booting yang berpotensi dimodifikasi telah dilampirkan ke Compute Engine Anda.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Lateral Movement: Modify Boot Disk Attaching to Instance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
  2. Pada tab Ringkasan, catat nilai kolom berikut.

    Di bagian Yang terdeteksi:

    • Email utama: akun layanan yang melakukan tindakan
    • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
    • Nama metode: metode yang dipanggil

Langkah 2: Pelajari metode serangan dan respons

  1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan terkait.
  2. Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project tempat tindakan diambil.
  • Pertimbangkan untuk menggunakan Secure Boot untuk instance VM Compute Engine Anda.
  • Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
  • Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
  • Membalas notifikasi dari Dukungan Google Cloud.

Privilege Escalation: AlloyDB Over-Privileged Grant

Mendeteksi saat semua hak istimewa atas database AlloyDB untuk PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: AlloyDB Over-Privileged Grant, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
      • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
      • Kueri database: kueri PostgreSQL yang dieksekusi yang memberikan hak istimewa.
      • Penerima akses database: penerima hak istimewa yang terlalu luas.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
      • Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
      • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
  3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

  1. Hubungkan ke instance AlloyDB untuk PostgreSQL.
  2. Mencantumkan dan menampilkan hak istimewa akses untuk hal berikut:
    • Database. Gunakan meta-perintah \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1).
    • Fungsi atau prosedur. Gunakan metaperintah \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur di database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
  2. Di Logs Explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dieksekusi ke database, dengan menggunakan filter berikut:
    • protoPayload.request.database="var class="edit">database"

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik instance yang memiliki pemberian hak istimewa yang berlebihan.
  • Pertimbangkan untuk membatalkan semua izin untuk penerima yang tercantum di Penerima database hingga penyelidikan selesai.
  • Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, cabut izin yang tidak diperlukan dari penerima (dari Penerima database di Langkah 1.

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Mendeteksi saat akun superuser database AlloyDB untuk PostgreSQL (postgres) menulis ke tabel pengguna. Superuser (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Jika superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah meningkatkan hak istimewa atau telah menyusupi pengguna database default dan mengubah data. Hal ini juga dapat menunjukkan praktik yang normal, tetapi tidak aman.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Privilege Escalation: AlloyDB Database Superuser Writes to User Tables, seperti yang diarahkan dalam Meninjau temuan.
  2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
      • Nama pengguna database: superuser.
      • Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
      • Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
      • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
  3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance AlloyDB untuk PostgreSQL yang relevan.
  2. Periksa log untuk log pgaudit PostgreSQL, yang berisi kueri yang dieksekusi oleh superuser, dengan menggunakan filter berikut:
    • protoPayload.request.user="postgres"

Langkah 3: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
  2. Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Deteksi Metadata Admin Compute Engine

Persistence: GCE Admin Added SSH Key

Deskripsi Tindakan
Kunci metadata instance Compute Engine ssh-keys diubah pada instance yang telah dibuat. Kunci metadata instance Compute Engine ssh-keys diubah pada instance yang dibuat lebih dari tujuh hari yang lalu. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota, atau apakah diterapkan oleh penyerang untuk memasukkan akses baru ke organisasi Anda.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.instance_id=INSTANCE_ID

protoPayload.serviceName="compute.googleapis.com"

(protoPayload.metadata.instanceMetaData.addedMetadataKey : "ssh-keys" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "ssh-keys" )

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Ganti kode berikut:

  • INSTANCE_ID: gceInstanceId yang tercantum dalam temuan
  • ORGANIZATION_ID: ID organisasi Anda

Riset peristiwa yang memicu temuan ini:

Persistence: GCE Admin Added Startup Script

Deskripsi Tindakan
Kunci metadata instance Compute Engine startup-script atau startup-script-url diubah pada instance yang telah dibuat. Kunci metadata instance Compute Engine startup-script atau startup-script-url diubah pada instance yang dibuat lebih dari tujuh hari yang lalu. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota, atau apakah perubahan tersebut diterapkan oleh penyerang untuk memberikan akses baru ke organisasi Anda.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.instance_id=INSTANCE_ID

protoPayload.serviceName="compute.googleapis.com"

((protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script" )

OR (protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script-url" OR protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script-url" ))

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Ganti kode berikut:

  • INSTANCE_ID: gceInstanceId yang tercantum dalam temuan
  • ORGANIZATION_ID: ID organisasi Anda

Riset peristiwa yang memicu temuan ini:

Deteksi log Google Workspace

Jika Anda membagikan log Google Workspace ke Cloud Logging, Event Threat Detection akan menghasilkan temuan untuk beberapa ancaman Google Workspace. Karena log Google Workspace berada di tingkat organisasi, Event Threat Detection hanya dapat memindainya jika Anda mengaktifkan Security Command Center di tingkat organisasi.

Event Threat Detection memperkaya peristiwa log dan menulis temuan ke Security Command Center. Tabel berikut berisi ancaman Google Workspace, entri framework MITRE ATT&CK yang relevan, dan detail tentang peristiwa yang memicu temuan. Anda juga dapat memeriksa log menggunakan filter tertentu, dan menggabungkan semua informasi untuk merespons ancaman Google Workspace.

Initial Access: Disabled Password Leak

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Akun pelanggan dinonaktifkan karena kebocoran sandi terdeteksi. Reset sandi untuk akun yang terpengaruh, dan sarankan anggota untuk menggunakan sandi unik yang kuat untuk akun perusahaan.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Riset peristiwa yang memicu temuan ini:

Initial Access: Suspicious Login Blocked

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Login mencurigakan ke akun pelanggan terdeteksi dan diblokir. Akun ini mungkin ditargetkan oleh penyerang. Pastikan akun pengguna mengikuti panduan keamanan organisasi Anda untuk sandi yang kuat dan autentikasi multifaktor.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Riset peristiwa yang memicu temuan ini:

Initial Access: Account Disabled Hijacked

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Akun pelanggan ditangguhkan karena aktivitas yang mencurigakan. Akun ini dibajak. Reset sandi akun dan dorong pengguna untuk membuat sandi yang kuat dan unik untuk akun perusahaan.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Riset peristiwa yang memicu temuan ini:

Impair Defenses: Two Step Verification Disabled

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Seorang pelanggan menonaktifkan verifikasi 2 langkah. Verifikasi apakah pengguna bermaksud menonaktifkan verifikasi 2 langkah. Jika organisasi Anda mewajibkan verifikasi 2 langkah, pastikan pengguna segera mengaktifkannya.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Riset peristiwa yang memicu temuan ini:

Initial Access: Government Based Attack

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Penyerang yang didukung pemerintah mungkin telah mencoba menyusupi akun atau komputer anggota. Akun ini mungkin ditargetkan oleh penyerang. Pastikan akun pengguna mengikuti panduan keamanan organisasi Anda untuk sandi yang kuat dan autentikasi multifaktor.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="login.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Riset peristiwa yang memicu temuan ini:

Persistence: SSO Enablement Toggle

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Setelan Aktifkan SSO (single sign-on) di akun admin dinonaktifkan. Setelan SSO untuk organisasi Anda telah diubah. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota atau apakah diterapkan oleh penyerang untuk memberikan akses baru ke organisasi Anda.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="admin.googleapis.com"

protopayload.metadata.event.parameter.value=DOMAIN_NAME

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Ganti kode berikut:

  • DOMAIN_NAME: domainName yang tercantum dalam temuan
  • ORGANIZATION_ID: ID organisasi Anda

Riset peristiwa yang memicu temuan ini:

Persistence: SSO Settings Changed

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Setelan SSO untuk akun admin telah diubah. Setelan SSO untuk organisasi Anda telah diubah. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota atau apakah diterapkan oleh penyerang untuk memberikan akses baru ke organisasi Anda.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="admin.googleapis.com"

protopayload.metadata.event.parameter.value=DOMAIN_NAME

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Ganti kode berikut:

  • DOMAIN_NAME: domainName yang tercantum dalam temuan
  • ORGANIZATION_ID: ID organisasi Anda

Riset peristiwa yang memicu temuan ini:

Impair Defenses: Strong Authentication Disabled

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Deskripsi Tindakan
Verifikasi 2 langkah dinonaktifkan untuk organisasi. Verifikasi 2 langkah tidak lagi diperlukan untuk organisasi Anda. Cari tahu apakah ini adalah perubahan kebijakan yang disengaja oleh administrator, atau apakah ini adalah upaya oleh penyerang untuk mempermudah pembajakan akun.

Periksa log menggunakan filter berikut:

protopayload.resource.labels.service="admin.googleapis.com"

logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Ganti ORGANIZATION_ID dengan ID organisasi Anda.

Riset peristiwa yang memicu temuan ini:

Merespons ancaman Google Workspace

Temuan untuk Google Workspace hanya tersedia untuk pengaktifan Security Command Center di tingkat organisasi. Log Google Workspace tidak dapat dipindai untuk aktivasi level project.

Jika Anda adalah Admin Google Workspace, Anda dapat menggunakan alat keamanan layanan untuk mengatasi ancaman ini:

Alat ini mencakup pemberitahuan, dasbor keamanan, rekomendasi keamanan, dan dapat membantu Anda menyelidiki dan mengatasi ancaman.

Jika Anda bukan Admin Google Workspace, lakukan hal berikut:

Deteksi ancaman Cloud IDS

Cloud IDS: THREAT_ID

Temuan Cloud IDS dibuat oleh Cloud IDS, yang merupakan layanan keamanan yang memantau traffic ke dan dari resource Google Cloud Anda untuk mendeteksi ancaman. Saat mendeteksi ancaman, Cloud IDS akan mengirimkan informasi tentang ancaman tersebut, seperti alamat IP sumber, alamat tujuan, dan nomor port, ke Event Threat Detection, yang kemudian mengeluarkan temuan ancaman.

Langkah 1: Tinjau detail temuan
  1. Buka temuan Cloud IDS: THREAT_ID, seperti yang diarahkan dalam Meninjau temuan.

  2. Di detail temuan, pada tab Ringkasan, tinjau nilai yang tercantum di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Protokol: protokol jaringan yang digunakan
      • Waktu peristiwa: Kapan peristiwa terjadi
      • Deskripsi: Informasi selengkapnya tentang temuan
      • Keparahan: Tingkat keparahan notifikasi
      • IP tujuan: IP target traffic jaringan
      • Port Tujuan: Port target traffic jaringan
      • IP sumber: IP sumber traffic jaringan
      • Port Sumber: Port sumber traffic jaringan
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: Project yang berisi jaringan dengan ancaman
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Cloud IDS Logging - entri ini memiliki informasi yang diperlukan untuk menelusuri Threat Vault Palo Alto Networks
    • Layanan Deteksi
      • Menemukan Kategori Nama ancaman Cloud IDS
  3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Cari metode serangan dan respons

Setelah meninjau detail temuan, lihat dokumentasi Cloud IDS tentang menyelidiki pemberitahuan ancaman untuk menentukan respons yang sesuai.

Anda dapat menemukan informasi selengkapnya tentang peristiwa yang terdeteksi di entri log asli dengan mengklik link di kolom Cloud Logging URI di detail temuan.

Respons Container Threat Detection

Untuk mempelajari Container Threat Detection lebih lanjut, lihat cara kerja Container Threat Detection.

Added Binary Executed

Biner yang bukan bagian dari image penampung asli telah dijalankan. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Ini adalah temuan dengan tingkat keparahan rendah, karena organisasi Anda mungkin tidak mengikuti praktik terbaik ini. Ada temuan Execution: Added Malicious Binary Executed yang sesuai jika hash biner adalah indikator gangguan (IoC) yang diketahui. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Added Binary Executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang ditambahkan.
      • Arguments: argumen yang diberikan saat memanggil biner yang ditambahkan.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik JSON dan perhatikan kolom berikut:

    • resource:
      • project_display_name: nama project yang berisi cluster.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang di-deploy.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  4. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan karena kegagalan untuk mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project project_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project project_name
    

    Ganti kode berikut:

    • cluster_name: cluster yang tercantum di resource.labels.cluster_name
    • location: lokasi yang tercantum di resource.labels.location
    • project_name: nama project yang tercantum di resource.project_display_name
  5. Ambil biner yang ditambahkan dengan menjalankan:

      kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

  6. Hubungkan ke lingkungan penampung dengan menjalankan:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Jika biner dimaksudkan untuk disertakan dalam penampung, build ulang image penampung dengan menyertakan biner. Dengan cara ini, penampung dapat tidak dapat diubah.
  • Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Added Library Loaded

Library yang bukan bagian dari image penampung asli dimuat. Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Ini adalah temuan dengan tingkat keparahan rendah, karena organisasi Anda mungkin tidak mengikuti praktik terbaik ini. Ada temuan Execution: Added Malicious Library Loaded yang sesuai jika hash biner adalah indikator kompromi (IoC) yang diketahui. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Added Library Loaded seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur lengkap biner proses yang memuat library.
      • Library: detail tentang library yang ditambahkan.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik tab JSON dan catat kolom berikut:

    • resource:
      • project_display_name: nama project yang berisi aset.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang dieksekusi.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  4. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan karena kegagalan untuk mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell.

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
    
  5. Ambil library yang ditambahkan dengan menjalankan:

      kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur file lokal untuk menyimpan library yang ditambahkan.

  6. Hubungkan ke lingkungan penampung dengan menjalankan:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Modul Bersama.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Jika library dimaksudkan untuk disertakan dalam penampung, build ulang image penampung dengan menyertakan library. Dengan cara ini, penampung dapat tidak dapat diubah.
  • Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Added Malicious Binary Executed

Biner berbahaya yang bukan bagian dari image penampung asli telah dijalankan. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Added Malicious Binary Executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang ditambahkan.
      • Arguments: argumen yang diberikan saat memanggil biner yang ditambahkan.
      • Containers: nama penampung yang terpengaruh.
      • URI Penampung: nama image container yang di-deploy.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik tab JSON dan catat kolom berikut:

    • sourceProperties:
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project project_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project project_name
    

    Ganti kode berikut:

    • cluster_name: cluster yang tercantum di resource.labels.cluster_name
    • location: lokasi yang tercantum di resource.labels.location
    • project_name: nama project yang tercantum di resource.project_display_name
  5. Ambil biner berbahaya yang ditambahkan:

      kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur lokal untuk menyimpan biner berbahaya yang ditambahkan.

  6. Hubungkan ke lingkungan penampung:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Added Malicious Library Loaded

Library berbahaya yang bukan bagian dari image penampung asli dimuat. Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Added Malicious Library Loaded seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur lengkap biner proses yang memuat library.
      • Library: detail tentang library yang ditambahkan.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
      • Containers: nama penampung yang terpengaruh.
      • URI Penampung: nama image container yang di-deploy.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik tab JSON dan catat kolom berikut:

    • sourceProperties:
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell.

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
    
  5. Ambil library berbahaya yang ditambahkan:

      kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur lokal untuk menyimpan library berbahaya yang ditambahkan.

  6. Hubungkan ke lingkungan penampung:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Modul Bersama.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Built in Malicious Binary Executed

Biner yang dieksekusi, dengan biner:

  • Disertakan dalam image penampung asli.
  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.

Penyerang memiliki kontrol atas repositori image container atau pipeline pembuatan, tempat biner berbahaya dimasukkan ke dalam image container. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Built in Malicious Binary Executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner bawaan.
      • Argumen: argumen yang diberikan saat memanggil biner bawaan.
      • Containers: nama penampung yang terpengaruh.
      • URI Penampung: nama image container yang di-deploy.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik JSON dan perhatikan kolom berikut:

    • sourceProperties:
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project project_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project project_name
    

    Ganti kode berikut:

    • cluster_name: cluster yang tercantum di resource.labels.cluster_name
    • location: lokasi yang tercantum di resource.labels.location
    • project_name: nama project yang tercantum di resource.project_display_name
  5. Ambil biner berbahaya bawaan:

      kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur lokal untuk menyimpan biner berbahaya tin yang di-build.

  6. Hubungkan ke lingkungan penampung:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Container Escape

Biner alat mencurigakan yang diketahui untuk aktivitas container escape telah dieksekusi. Hal ini dapat menunjukkan upaya escape container, saat proses di dalam container mencoba keluar dari isolasinya dan berinteraksi dengan sistem host atau container lain. Ini adalah temuan dengan tingkat keparahan tinggi, karena menunjukkan bahwa penyerang mungkin mencoba mendapatkan akses di luar batas penampung, yang berpotensi membahayakan host atau infrastruktur lainnya. Container escape dapat terjadi karena kesalahan konfigurasi, kerentanan dalam runtime container, atau eksploitasi container dengan hak istimewa.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Container Escape seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang dieksekusi.
      • Argumen: argumen yang diteruskan selama eksekusi biner.
    • Resource yang terpengaruh, terutama kolom berikut:
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • resource:
      • project_display_name: nama project yang berisi cluster.
    • finding:
      • processes:
      • binary:
        • path: jalur lengkap biner yang dieksekusi.
      • args: argumen yang diberikan saat menjalankan biner.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang di-deploy.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  5. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

    gcloud container clusters get-credentials CLUSTER_NAME \
          --zone LOCATION \
          --project PROJECT_NAME
    

    Untuk cluster regional:

    gcloud container clusters get-credentials CLUSTER_NAME \
          --region LOCATION \
          --project PROJECT_NAME
    

Ganti kode berikut:

  • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
  • LOCATION: lokasi yang tercantum di resource.labels.location
  • PROJECT_NAME: nama project yang tercantum di resource.project_display_name
  1. Ambil biner yang dieksekusi:

    kubectl cp \
          POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
          -c CONTAINER_NAME \
          LOCAL_FILE
    

    Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

  2. Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:

    kubectl exec \
          --namespace=POD_NAMESPACE \
          -ti POD_NAME \
          -c CONTAINER_NAME \
          -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Escape to Host.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Kubernetes Attack Tool Execution

Alat serangan Kubernetes dijalankan dalam penampung, yang menunjukkan upaya potensial untuk mengeksploitasi kerentanan di lingkungan Kubernetes. Alat ini sering digunakan oleh penyerang untuk mengeskalasikan hak istimewa, melakukan gerakan lateral, atau membahayakan resource lain dalam cluster. Ini adalah temuan dengan tingkat keparahan kritis, karena eksekusi alat tersebut menunjukkan upaya yang disengaja untuk mendapatkan kontrol atas komponen Kubernetes, seperti server API, node, atau workload. Penyerang mungkin menggunakan alat ini untuk mengabaikan kontrol keamanan, memanipulasi konfigurasi, atau mengeksfiltrasi data sensitif.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Kubernetes Attack Tool Execution seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang dieksekusi.
      • Argumen: argumen yang diteruskan selama eksekusi biner.
    • Resource yang terpengaruh, terutama kolom berikut:
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • resource:
      • project_display_name: nama project yang berisi cluster.
    • finding:
      • processes:
        • binary:
        • path: jalur lengkap biner yang dieksekusi.
      • args: argumen yang diberikan saat menjalankan biner.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang di-deploy.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  5. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

    gcloud container clusters get-credentials CLUSTER_NAME --zone LOCATION --project PROJECT_NAME
    

    Untuk cluster regional:

    gcloud container clusters get-credentials CLUSTER_NAME --region LOCATION --project PROJECT_NAME
    

Ganti kode berikut:

  • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
  • LOCATION: lokasi yang tercantum di resource.labels.location
  • PROJECT_NAME: nama project yang tercantum di resource.project_display_name
  1. Ambil biner yang dieksekusi:

    kubectl cp \
          POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
          -c CONTAINER_NAME \
          LOCAL_FILE
    

    Ganti LOCAL_FILE dengan jalur file lokal untuk menyimpan biner yang dieksekusi.

  2. Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:

    kubectl exec \
          --namespace=POD_NAMESPACE \
          -ti POD_NAME \
          -c CONTAINER_NAME \
          -- /bin/sh
    

    Perintah ini mengharuskan penampung memiliki shell yang diinstal di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Obtain Capabilities: Tool.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Local Reconnaissance Tool Execution

Alat pengintaian lokal dijalankan dalam penampung, yang menunjukkan bahwa penyerang mengumpulkan informasi tentang lingkungan penampung, seperti konfigurasi jaringan, proses aktif, atau sistem file yang terpasang. Jenis alat ini sering digunakan pada tahap awal serangan untuk memetakan target potensial dan mengidentifikasi kelemahan. Ini adalah temuan dengan tingkat keparahan sedang, karena menunjukkan bahwa penyerang secara aktif menyelidiki penampung untuk peluang eksploitasi lebih lanjut.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Local Reconnaissance Tool Execution seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang dieksekusi.
      • Argumen: argumen yang diteruskan selama eksekusi biner.
    • Resource yang terpengaruh, terutama kolom berikut:
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • resource:
      • project_display_name: nama project yang berisi cluster.
    • finding:
      • processes:
        • binary:
        • path: jalur lengkap biner yang dieksekusi.
      • args: argumen yang diberikan saat menjalankan biner.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang di-deploy.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  5. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

    gcloud container clusters get-credentials CLUSTER_NAME \
          --zone LOCATION \
          --project PROJECT_NAME
    

    Untuk cluster regional:

    gcloud container clusters get-credentials CLUSTER_NAME \
          --region LOCATION \
          --project PROJECT_NAME
    

Ganti kode berikut:

  • CLUSTER_NAME: cluster yang tercantum di resource.labels.cluster_name
  • LOCATION: lokasi yang tercantum di resource.labels.location
  • PROJECT_NAME: nama project yang tercantum di resource.project_display_name
  1. Ambil biner yang ditambahkan:

    kubectl cp \
          POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
          -c CONTAINER_NAME \
          LOCAL_FILE
    

    Ganti LOCAL_FILE dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

  2. Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:

    kubectl exec \
          --namespace=POD_NAMESPACE \
          -ti POD_NAME \
          -c CONTAINER_NAME \
          -- /bin/sh
    

    Perintah ini mengharuskan penampung memiliki shell yang diinstal di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Active Scanning.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Malicious Python executed

Model machine learning mengidentifikasi kode Python yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Python untuk mentransfer alat dan menjalankan perintah tanpa biner. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Menggunakan skrip untuk mentransfer alat dapat meniru teknik transfer alat masuk penyerang dan menyebabkan deteksi yang tidak diinginkan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Malicious Python executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: detail tentang penafsir yang memanggil skrip.
      • Script: jalur absolut nama skrip di disk; atribut ini hanya muncul untuk skrip yang ditulis ke disk, bukan untuk eksekusi skrip literal—misalnya, python3 -c.
      • Argumen: argumen yang diberikan saat memanggil skrip.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource lengkap cluster, termasuk nomor project, lokasi, dan nama cluster.
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • finding:
      • processes:
      • script:
        • contents: konten skrip yang dieksekusi, yang mungkin terpotong karena alasan performa; ini dapat membantu investigasi Anda
        • sha256: hash SHA-256 dari script.contents
    • resource:
      • project_display_name: nama project yang berisi aset.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang dieksekusi.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  5. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Misalnya, jika skrip menghapus biner, periksa temuan yang terkait dengan biner.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di resource.name dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

  3. Di halaman Cluster, klik Connect, lalu klik Run in Cloud Shell.

    Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.

  4. Tekan Enter dan, jika dialog Authorize Cloud Shell muncul, klik Authorize.

  5. Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penafsir Perintah dan Skrip, Transfer Alat Masuk.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Jika Python membuat perubahan yang diinginkan pada penampung, build ulang image penampung sehingga tidak ada perubahan yang diperlukan. Dengan cara ini, penampung dapat tidak dapat diubah.
  • Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Modified Malicious Binary Executed

Biner yang dieksekusi, dengan biner:

  • Disertakan dalam image penampung asli.
  • Diubah selama runtime penampung.
  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.

Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Modified Malicious Binary Executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang diubah.
      • Argumen: argumen yang diberikan saat memanggil biner yang dimodifikasi.
      • Containers: nama penampung yang terpengaruh.
      • URI Penampung: nama image container yang di-deploy.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik JSON dan perhatikan kolom berikut:

    • sourceProperties:
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project project_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project project_name
    

    Ganti kode berikut:

    • cluster_name: cluster yang tercantum di resource.labels.cluster_name
    • location: lokasi yang tercantum di resource.labels.location
    • project_name: nama project yang tercantum di resource.project_display_name
  5. Ambil biner berbahaya yang dimodifikasi:

      kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur lokal untuk menyimpan biner berbahaya yang dimodifikasi.

  6. Hubungkan ke lingkungan penampung:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Modified Malicious Library Loaded

Library yang dimuat, dengan library:

  • Disertakan dalam image penampung asli.
  • Diubah selama runtime penampung.
  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.

Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Modified Malicious Library Loaded seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur lengkap biner proses yang memuat library.
      • Library: detail tentang library yang diubah.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
      • Containers: nama penampung yang terpengaruh.
      • URI Penampung: nama image container yang di-deploy.
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik tab JSON dan catat kolom berikut:

    • sourceProperties:
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika diperlukan.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell.

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
    
  5. Ambil library berbahaya yang dimodifikasi:

      kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
    

    Ganti local_file dengan jalur lokal untuk menyimpan library berbahaya yang dimodifikasi.

  6. Hubungkan ke lingkungan penampung:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Modul Bersama.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Malicious Script Executed

Model machine learning mengidentifikasi kode Bash yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat dan menjalankan perintah tanpa biner. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Menggunakan skrip untuk mentransfer alat dapat meniru teknik transfer alat masuk penyerang dan menyebabkan deteksi yang tidak diinginkan.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Malicious Script Executed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: detail tentang penafsir yang memanggil skrip.
      • Script: jalur absolut nama skrip di disk; atribut ini hanya muncul untuk skrip yang ditulis ke disk, bukan untuk eksekusi skrip literal, misalnya, bash -c.
      • Argumen: argumen yang diberikan saat memanggil skrip.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama resource lengkap cluster, termasuk nomor project, lokasi, dan nama cluster.
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • finding:
      • processes:
      • script:
        • contents: konten skrip yang dieksekusi, yang mungkin terpotong karena alasan performa; ini dapat membantu investigasi Anda
        • sha256: hash SHA-256 dari script.contents
    • resource:
      • project_display_name: nama project yang berisi aset.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • Container_Image_Uri: nama image container yang dieksekusi.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
  5. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Misalnya, jika skrip menghapus biner, periksa temuan yang terkait dengan biner.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di resource.name dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

  3. Di halaman Cluster, klik Connect, lalu klik Run in Cloud Shell.

    Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.

  4. Tekan enter dan, jika dialog Izinkan Cloud Shell muncul, klik Izinkan.

  5. Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Jika skrip membuat perubahan yang diinginkan pada penampung, build ulang image penampung sehingga tidak ada perubahan yang diperlukan. Dengan cara ini, penampung dapat tidak dapat diubah.
  • Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Malicious URL Observed

Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang dapat dieksekusi. Penyerang dapat memuat malware atau library berbahaya melalui URL berbahaya.

Untuk menanggapi temuan ini, lakukan langkah-langkah berikut.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Malicious URL Observed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • URI: URI berbahaya yang diamati.
      • Menambahkan biner: jalur lengkap biner proses yang menerima argumen yang berisi URL berbahaya.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
      • Variabel lingkungan: variabel lingkungan yang berlaku saat biner proses dipanggil.
      • Containers: nama penampung.
      • Pod Kubernetes: nama dan namespace pod.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: nama resource yang terpengaruh.
      • Nama lengkap resource: nama lengkap resource cluster. Nama resource lengkap mencakup informasi berikut:
        • Project yang berisi cluster: projects/PROJECT_ID
        • Lokasi cluster: zone/ZONE atau locations/LOCATION
        • Nama cluster: projects/CLUSTER_NAME
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Di tab JSON, di atribut sourceProperties, perhatikan nilai properti VM_Instance_Name.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang muncul di Nama lengkap resource (resource.name), jika perlu. Nama project muncul setelah /projects/ dalam nama resource lengkap.

  3. Klik nama cluster yang Anda catat di Nama tampilan resource (resource.display_name) dari ringkasan temuan. Halaman Cluster akan terbuka.

  4. Di bagian Metadata pada halaman **Detail cluster, catat informasi yang ditentukan pengguna yang mungkin berguna dalam menyelesaikan ancaman, seperti informasi yang mengidentifikasi pemilik cluster.

  5. Klik tab Node.

  6. Dari node yang tercantum, pilih node yang cocok dengan nilai VM_Instance_Name yang Anda catat dalam JSON penemuan sebelumnya.

  7. Di tab Details pada halaman Node details, di bagian Annotations, catat nilai anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang Anda catat di Nama lengkap resource (resource.name) cluster dalam ringkasan temuan, jika perlu.

  3. Klik Tampilkan beban kerja sistem.

  4. Filter daftar workload berdasarkan nama cluster yang Anda catat di Nama lengkap resource (resource.name) dari ringkasan temuan dan, jika diperlukan, Namespace (kubernetes.pods.ns) pod yang Anda catat.

  5. Klik nama workload yang cocok dengan nilai properti VM_Instance_Name yang Anda catat dalam JSON temuan sebelumnya. Halaman Pod details akan terbuka.

  6. Di halaman Detail Pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang muncul di Nama lengkap resource (resource.name), jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan Log pod untuk pod Anda (kubernetes.pods.name) menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

  3. Di halaman Cluster, klik Connect, lalu klik Run in Cloud Shell.

    Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.

  4. Tekan enter dan, jika dialog Izinkan Cloud Shell muncul, klik Izinkan.

  5. Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:

      kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh
    

    Ganti CONTAINER_NAME dengan nama penampung yang Anda catat dalam ringkasan temuan sebelumnya.

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

Langkah 6: Pelajari metode serangan dan respons

  1. Periksa status situs Safe Browsing untuk mendapatkan detail tentang alasan URL diklasifikasikan sebagai berbahaya.
  2. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk.
  3. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Reverse Shell

Proses dimulai dengan pengalihan streaming ke soket yang terhubung secara jarak jauh. Membuat shell yang terhubung ke jaringan dapat memungkinkan penyerang melakukan tindakan arbitrer setelah penyusupan awal yang terbatas. Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Reverse Shell seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut proses yang dimulai dengan pengalihan streaming ke soket jarak jauh.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama lengkap resource cluster.
      • Nama lengkap project: project Google Cloud yang terpengaruh.
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut.

    • resource:
      • project_display_name: nama project yang berisi aset.
    • sourceProperties:
      • Pod_Namespace: nama namespace Kubernetes Pod.
      • Pod_Name: nama Pod GKE.
      • Container_Name: nama penampung yang terpengaruh.
      • VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
      • Reverse_Shell_Stdin_Redirection_Dst_Ip: alamat IP jarak jauh koneksi
      • Reverse_Shell_Stdin_Redirection_Dst_Port: port jarak jauh
      • Reverse_Shell_Stdin_Redirection_Src_Ip: alamat IP lokal koneksi
      • Reverse_Shell_Stdin_Redirection_Src_Port: port lokal
      • Container_Image_Uri: nama image container yang dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Filter cluster yang tercantum di resource.name dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

  4. Pilih Pod yang tercantum di Pod_Name. Perhatikan metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Klik Aktifkan Cloud Shell.

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona:

      gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
    

    Untuk cluster regional:

      gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
    
  5. Luncurkan shell dalam lingkungan container dengan menjalankan:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

    Untuk melihat semua proses yang berjalan di penampung, jalankan perintah berikut di shell penampung:

      ps axjf
    

    Perintah ini mengharuskan penampung menginstal /bin/ps.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Unexpected Child Shell

Container Threat Detection mengamati proses yang tiba-tiba menghasilkan proses shell turunan. Peristiwa ini mungkin menunjukkan bahwa penyerang mencoba menyalahgunakan perintah dan skrip shell.

Untuk menanggapi temuan ini, lakukan langkah-langkah berikut.

Langkah 1: Tinjau detail temuan

  1. Buka temuan Unexpected Child Shell seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Proses induk: proses yang secara tidak terduga membuat proses shell turunan.
      • Proses turunan: proses shell turunan.
      • Argumen: argumen yang diberikan ke biner proses shell turunan.
      • Variabel lingkungan: variabel lingkungan biner proses shell turunan.
      • Containers: nama penampung.
      • URI Container: URI image container.
      • Pod Kubernetes: nama dan namespace Pod.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: nama resource yang terpengaruh.
      • Nama lengkap resource: nama lengkap resource cluster. Nama resource lengkap mencakup informasi berikut:
        • Project yang berisi cluster: projects/PROJECT_ID
        • Lokasi cluster: zone/ZONE atau locations/LOCATION
        • Nama cluster: projects/CLUSTER_NAME
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
  3. Klik tab JSON dan catat kolom berikut:

+processes: array yang berisi semua proses yang terkait dengan temuan. Array ini mencakup proses shell turunan dan proses induk. +resource: +project_display_name: Nama project yang berisi aset. +sourceProperties: +VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

  1. Di konsol Google Cloud, buka halaman Kubernetes clusters.

    Buka cluster Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

  3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

  4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

  5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

  1. Di konsol Google Cloud, buka halaman Kubernetes Workloads.

    Buka Workload Kubernetes

  2. Di toolbar konsol Google Cloud, pilih project yang Anda catat di Nama lengkap resource (resource.name) cluster dalam ringkasan temuan, jika perlu.

  3. Klik Tampilkan beban kerja sistem.

  4. Filter daftar workload berdasarkan nama cluster yang Anda catat di Nama lengkap resource (resource.name) dari ringkasan temuan dan, jika diperlukan, Namespace (kubernetes.pods.ns) pod yang Anda catat.

  5. Klik nama workload yang cocok dengan nilai properti VM_Instance_Name yang Anda catat dalam JSON temuan sebelumnya. Halaman Pod details akan terbuka.

  6. Di halaman Detail Pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.

Langkah 4: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name.

  3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

  4. Di halaman yang terbuka, lakukan hal berikut:

    1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki penampung yang sedang berjalan

Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.

  1. Buka konsol Google Cloud.

    Buka konsol Google Cloud

  2. Di toolbar konsol Google Cloud, pilih project yang tercantum di resource.project_display_name.

  3. Klik Aktifkan Cloud Shell.

  4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

    Untuk cluster zona, jalankan perintah berikut:

      gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
    

    Untuk cluster regional, jalankan perintah berikut:

      gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
    
  5. Untuk meluncurkan shell dalam lingkungan container, jalankan perintah berikut:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
    

    Perintah ini mengharuskan penampung menginstal shell di /bin/sh.

    Untuk melihat semua proses yang berjalan di penampung, jalankan perintah berikut di shell penampung:

      ps axjf
    

    Perintah ini mengharuskan penampung menginstal /bin/ps.

Langkah 6: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter: Unix Shell.
  2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  • Hubungi pemilik project yang memiliki penampung yang disusupi.
  • Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Respons Virtual Machine Threat Detection

Untuk mempelajari VM Threat Detection lebih lanjut, lihat ringkasan VM Threat Detection.

Defense Evasion: Rootkit

Deteksi Ancaman VM mendeteksi kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui di instance VM Compute Engine.

Kategori temuan Defense Evasion: Rootkit adalah superset dari kategori temuan berikut. Oleh karena itu, bagian ini juga berlaku untuk kategori penemuan ini.

  • Defense Evasion: Unexpected ftrace handler (Pratinjau)
  • Defense Evasion: Unexpected interrupt handler (Pratinjau)
  • Defense Evasion: Unexpected kernel code modification (Pratinjau)
  • Defense Evasion: Unexpected kernel modules (Pratinjau)
  • Defense Evasion: Unexpected kernel read-only data modification (Pratinjau)
  • Defense Evasion: Unexpected kprobe handler (Pratinjau)
  • Defense Evasion: Unexpected processes in runqueue (Pratinjau)
  • Defense Evasion: Unexpected system call handler (Pratinjau)

Untuk menanggapi temuan ini, lakukan hal berikut.

Langkah 1: Tinjau detail temuan

  1. Buka temuan, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:

      • Nama rootkit kernel: nama keluarga rootkit yang terdeteksi—misalnya, Diamorphine.
      • Halaman kode kernel yang tidak terduga: apakah halaman kode kernel ada di wilayah kode kernel atau modul yang tidak diharapkan.
      • Pengendali panggilan sistem yang tidak terduga: apakah pengendali panggilan sistem ada di wilayah kode kernel atau modul yang tidak diharapkan.
    • Resource yang terpengaruh, terutama kolom berikut:

      • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
  3. Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Nama lengkap resource di tab Ringkasan dari detail temuan.

  3. Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Langkah 3: Tinjau izin dan setelan

  1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
  2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Periksa VM yang terpengaruh

Ikuti petunjuk di Memeriksa VM untuk menemukan tanda-tanda gangguan memori kernel.

Langkah 5: Pelajari metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk Defense Evasion.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  1. Hubungi pemilik VM.

  2. Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.

  3. Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.

  4. Hapus instance VM.

  5. Untuk investigasi lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Execution: Cryptocurrency Mining Hash Match

Deteksi Ancaman VM mendeteksi aktivitas penambangan mata uang kripto dengan mencocokkan hash memori program yang berjalan dengan hash memori software penambangan mata uang kripto yang diketahui.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Cryptocurrency Mining Hash Match, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:

      • Keluarga biner: aplikasi mata uang kripto yang terdeteksi.
      • Biner program: jalur absolut proses.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
      • Nama proses: nama proses yang berjalan di instance VM yang dikaitkan dengan kecocokan tanda tangan yang terdeteksi.

      Deteksi Ancaman VM dapat mengenali build kernel dari distribusi Linux utama. Jika dapat mengenali build kernel VM yang terpengaruh, VM tersebut dapat mengidentifikasi detail proses aplikasi dan mengisi kolom processes temuan. Jika Deteksi Ancaman VM tidak dapat mengenali kernel—misalnya, jika kernel dibuat kustom—kolom processes temuan tidak akan diisi.

    • Resource yang terpengaruh, terutama kolom berikut:

      • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
  3. Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.

    • indicator
      • signatures:
        • memory_hash_signature: tanda tangan yang sesuai dengan hash halaman memori.
        • detections
          • binary: nama biner aplikasi mata uang kripto—misalnya, linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0.
          • percent_pages_matched: persentase halaman dalam memori yang cocok dengan halaman dalam aplikasi mata uang kripto yang diketahui dalam database hash halaman.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Resource full name di tab Summary dari detail temuan.

  3. Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Langkah 3: Tinjau izin dan setelan

  1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
  2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk Eksekusi.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.

  1. Hubungi pemilik VM.
  2. Pastikan apakah aplikasi tersebut adalah aplikasi penambangan:

    • Jika nama proses dan jalur biner aplikasi yang terdeteksi tersedia, pertimbangkan nilai pada baris Program binary, Arguments, dan Process names di tab Summary dari detail temuan dalam investigasi Anda.

    • Jika detail proses tidak tersedia, periksa apakah nama biner dari tanda tangan hash memori dapat memberikan petunjuk. Pertimbangkan biner yang disebut linux-x86-64_xmrig_2.14.1. Anda dapat menggunakan perintah grep untuk menelusuri file penting di penyimpanan. Gunakan bagian yang bermakna dari nama biner dalam pola penelusuran Anda, dalam hal ini, xmrig. Periksa hasil penelusuran.

    • Periksa proses yang sedang berjalan, terutama proses dengan penggunaan CPU yang tinggi, untuk melihat apakah ada proses yang tidak Anda kenal. Tentukan apakah aplikasi terkait adalah aplikasi miner.

    • Telusuri file dalam penyimpanan untuk menemukan string umum yang digunakan aplikasi penambangan, seperti btc.com, ethminer, xmrig, cpuminer, dan randomx. Untuk contoh string lainnya yang dapat Anda telusuri, lihat Nama software dan aturan YARA serta dokumentasi terkait untuk setiap software yang tercantum.

  3. Jika Anda menentukan bahwa aplikasi tersebut adalah aplikasi miner, dan prosesnya masih berjalan, akhiri prosesnya. Temukan biner aplikasi yang dapat dijalankan di penyimpanan VM, lalu hapus.

  4. Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.

Execution: Cryptocurrency Mining YARA Rule

Deteksi Ancaman VM mendeteksi aktivitas penambangan mata uang kripto dengan mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Execution: Cryptocurrency Mining YARA Rule, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:

      • Nama aturan YARA: aturan yang dipicu untuk pendeteksi YARA.
      • Biner program: jalur absolut proses.
      • Argumen: argumen yang diberikan saat memanggil biner proses.
      • Nama proses: nama proses yang berjalan di instance VM yang dikaitkan dengan kecocokan tanda tangan yang terdeteksi.

      Deteksi Ancaman VM dapat mengenali build kernel dari distribusi Linux utama. Jika dapat mengenali build kernel VM yang terpengaruh, VM tersebut dapat mengidentifikasi detail proses aplikasi dan mengisi kolom processes temuan. Jika Deteksi Ancaman VM tidak dapat mengenali kernel—misalnya, jika kernel dibuat kustom—kolom processes temuan tidak akan diisi.

    • Resource yang terpengaruh, terutama kolom berikut:

      • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
    • Link terkait, terutama kolom berikut:

      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
      • Investigasi di Google Security Operations: link ke Google SecOps.
  3. Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Resource full name di tab Summary dari detail temuan.

  3. Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Langkah 3: Tinjau izin dan setelan

  1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
  2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Riset metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk Eksekusi.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.

  1. Hubungi pemilik VM.
  2. Pastikan apakah aplikasi tersebut adalah aplikasi penambangan:

    • Jika nama proses dan jalur biner aplikasi yang terdeteksi tersedia, pertimbangkan nilai pada baris Program binary, Arguments, dan Process names di tab Summary dari detail temuan dalam investigasi Anda.

    • Periksa proses yang sedang berjalan, terutama proses dengan penggunaan CPU yang tinggi, untuk melihat apakah ada proses yang tidak Anda kenal. Tentukan apakah aplikasi terkait adalah aplikasi miner.

    • Telusuri file dalam penyimpanan untuk menemukan string umum yang digunakan aplikasi penambangan, seperti btc.com, ethminer, xmrig, cpuminer, dan randomx. Untuk contoh string lainnya yang dapat Anda telusuri, lihat Nama software dan aturan YARA serta dokumentasi terkait untuk setiap software yang tercantum.

  3. Jika Anda menentukan bahwa aplikasi tersebut adalah aplikasi miner, dan prosesnya masih berjalan, akhiri prosesnya. Temukan biner aplikasi yang dapat dijalankan di penyimpanan VM, lalu hapus.

  4. Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.

Execution: cryptocurrency mining combined detection

Deteksi Ancaman VM mendeteksi beberapa kategori temuan dalam satu hari dari satu sumber. Satu aplikasi dapat memicu Execution: Cryptocurrency Mining YARA Rule dan Execution: Cryptocurrency Mining Hash Match findings secara bersamaan.

Untuk merespons temuan gabungan, ikuti petunjuk respons untuk Execution: Cryptocurrency Mining YARA Rule dan Execution: Cryptocurrency Mining Hash Match findings.

Malware: Malicious file on disk (YARA)

Deteksi Ancaman VM mendeteksi file yang berpotensi berbahaya dengan memindai disk persisten VM untuk menemukan tanda tangan malware yang diketahui.

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Malware: Malicious file on disk (YARA), seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

  2. Pada tab Ringkasan, tinjau informasi di bagian berikut:

    • Yang terdeteksi, terutama kolom berikut:
      • Nama aturan YARA: aturan YARA yang cocok.
      • File: UUID partisi dan jalur relatif file yang berpotensi berbahaya yang terdeteksi.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
  3. Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.

  4. Dalam JSON, perhatikan kolom berikut:

    • indicator
      • signatures:
        • yaraRuleSignature: tanda tangan yang sesuai dengan aturan YARA yang cocok.

Langkah 2: Periksa log

  1. Di konsol Google Cloud, buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Resource full name di tab Summary dari detail temuan.

  3. Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Langkah 3: Tinjau izin dan setelan

  1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
  2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Riset metode serangan dan respons

Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.

  1. Hubungi pemilik VM.

  2. Jika perlu, temukan dan hapus file yang berpotensi berbahaya. Untuk mendapatkan UUID partisi dan jalur relatif file, lihat kolom Files di tab Summary dari detail temuan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.

  3. Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.

  4. Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.

  5. Untuk investigasi lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Untuk membantu mencegah terulangnya ancaman, tinjau dan perbaiki temuan kerentanan dan kesalahan konfigurasi terkait.

Untuk menemukan temuan terkait, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Temuan Security Command Center.

    Buka Temuan

  2. Tinjau temuan ancaman dan salin nilai atribut yang kemungkinan akan muncul dalam temuan kerentanan atau kesalahan konfigurasi terkait, seperti alamat email utama atau nama resource yang terpengaruh.

  3. Di halaman Temuan, buka Query editor dengan mengklik Edit query.

  4. Klik Add filter. Menu Pilih filter akan terbuka.

  5. Dari daftar kategori filter di sisi kiri menu, pilih kategori yang berisi atribut yang Anda catat dalam temuan ancaman.

    Misalnya, jika Anda mencatat nama lengkap resource yang terpengaruh, pilih Resource. Jenis atribut kategori Resource ditampilkan di kolom di sebelah kanan, termasuk atribut Nama lengkap.

  6. Dari atribut yang ditampilkan, pilih jenis atribut yang Anda catat dalam temuan ancaman. Panel penelusuran untuk nilai atribut akan terbuka di sebelah kanan dan menampilkan semua nilai yang ditemukan dari jenis atribut yang dipilih.

  7. Di kolom Filter, tempelkan nilai atribut yang Anda salin dari temuan ancaman. Daftar nilai yang ditampilkan diperbarui untuk hanya menampilkan nilai yang cocok dengan nilai yang ditempel.

  8. Dari daftar nilai yang ditampilkan, pilih satu atau beberapa nilai, lalu klik Terapkan. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan temuan yang cocok.

  9. Jika ada banyak temuan dalam hasil, filter temuan dengan memilih filter tambahan dari panel Filter cepat.

    Misalnya, untuk hanya menampilkan temuan class Vulnerability dan Misconfiguration yang berisi nilai atribut yang dipilih, scroll ke bawah ke bagian Finding class di panel Quick filters, lalu pilih Vulnerability dan Misconfiguration.

Selain indikator penyusupan yang disediakan Google, pengguna yang merupakan pelanggan Palo Alto Networks dapat mengintegrasikan AutoFocus Threat Intelligence Palo Alto Networks dengan Event Threat Detection. AutoFocus adalah layanan intelijen ancaman yang memberikan informasi tentang ancaman jaringan. Untuk mempelajari lebih lanjut, buka halaman AutoFocus di konsol Google Cloud.

Memperbaiki ancaman

Memperbaiki temuan Event Threat Detection dan Container Threat Detection tidak semudah memperbaiki kesalahan konfigurasi dan kerentanan yang diidentifikasi oleh Security Command Center.

Kesalahan konfigurasi dan pelanggaran kepatuhan mengidentifikasi kelemahan dalam resource yang dapat dieksploitasi. Biasanya, kesalahan konfigurasi memiliki perbaikan yang diketahui dan mudah diimplementasikan, seperti mengaktifkan firewall atau memutar kunci enkripsi.

Ancaman berbeda dengan kerentanan karena bersifat dinamis dan menunjukkan kemungkinan eksploitasi aktif terhadap satu atau beberapa resource. Rekomendasi perbaikan mungkin tidak efektif dalam mengamankan resource Anda karena metode yang tepat yang digunakan untuk melakukan eksploitasi mungkin tidak diketahui.

Misalnya, temuan Added Binary Executed menunjukkan bahwa biner yang tidak sah diluncurkan dalam penampung. Rekomendasi perbaikan dasar mungkin menyarankan Anda untuk mengarantina penampung dan menghapus biner, tetapi hal itu mungkin tidak menyelesaikan akar penyebab yang mendasarinya yang memungkinkan penyerang mengakses untuk mengeksekusi biner. Anda perlu mencari tahu bagaimana image container rusak untuk memperbaiki eksploit. Menentukan apakah file ditambahkan melalui port yang salah dikonfigurasi atau dengan cara lain memerlukan penyelidikan menyeluruh. Analis dengan pengetahuan tingkat pakar tentang sistem Anda mungkin perlu meninjaunya untuk menemukan kelemahan.

Pelaku kejahatan menyerang resource menggunakan teknik yang berbeda, sehingga menerapkan perbaikan untuk eksploit tertentu mungkin tidak efektif terhadap variasi serangan tersebut. Misalnya, sebagai respons terhadap temuan Brute Force: SSH, Anda dapat menurunkan tingkat izin untuk beberapa akun pengguna guna membatasi akses ke resource. Namun, sandi yang lemah mungkin masih memberikan jalur serangan.

Cakupan vektor serangan mempersulit penyediaan langkah-langkah perbaikan yang berfungsi di semua situasi. Peran Security Command Center dalam rencana keamanan cloud Anda adalah mengidentifikasi resource yang terpengaruh secara mendekati real-time, memberi tahu Anda ancaman yang Anda hadapi, dan memberikan bukti serta konteks untuk membantu penyelidikan Anda. Namun, personel keamanan Anda harus menggunakan informasi yang luas dalam temuan Security Command Center untuk menentukan cara terbaik guna memperbaiki masalah dan mengamankan resource dari serangan di masa mendatang.

Langkah selanjutnya