Dokumen ini menawarkan panduan informal untuk membantu Anda menyelidiki temuan aktivitas yang mencurigakan di lingkungan Google Cloud dari pelaku yang berpotensi berbahaya. Dokumen ini juga menyediakan referensi tambahan untuk menambahkan konteks ke temuan Security Command Center. Dengan mengikuti langkah-langkah ini, Anda dapat memahami apa yang terjadi selama potensi serangan dan mengembangkan kemungkinan respons untuk resource yang terpengaruh.
Teknik di halaman ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau yang akan Anda hadapi. Lihat Memperbaiki ancaman untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman.
Sebelum memulai
Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan dan log, serta mengubah resource Google Cloud. Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator dan lihat Kontrol akses untuk mempelajari peran. Untuk menyelesaikan error resource, baca dokumentasi untuk produk yang terpengaruh.
Memahami temuan ancaman
Event Threat Detection menghasilkan temuan keamanan dengan mencocokkan peristiwa dalam aliran log Cloud Logging Anda dengan indikator kompromi (IoC) yang diketahui. IoC, yang dikembangkan oleh sumber keamanan Google internal, mengidentifikasi potensi kerentanan dan serangan. Deteksi Ancaman Peristiwa juga mendeteksi ancaman dengan mengidentifikasi taktik, teknik, dan prosedur lawan yang diketahui di aliran logging Anda, dan dengan mendeteksi penyimpangan dari perilaku sebelumnya dari organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di tingkat organisasi, Event Threat Detection juga dapat memindai log Google Workspace Anda.
Container Threat Detection menghasilkan temuan dengan mengumpulkan dan menganalisis perilaku yang diamati tingkat rendah di kernel tamu container.
Temuan ditulis ke Security Command Center. Jika mengaktifkan paket Premium Security Command Center di level organisasi, Anda juga dapat mengonfigurasi temuan untuk ditulis ke Cloud Logging.
Meninjau temuan
Untuk meninjau temuan ancaman di konsol Google Cloud, ikuti langkah-langkah berikut:
Di konsol Google Cloud, buka halaman Temuan Security Command Center.
Jika perlu, pilih project, folder, atau organisasi Google Cloud Anda.
Di bagian Filter cepat, klik filter yang sesuai untuk menampilkan temuan yang Anda perlukan di tabel Hasil kueri temuan. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Source display name, hanya temuan dari layanan yang dipilih yang akan muncul dalam hasil.
Tabel diisi dengan temuan untuk sumber yang Anda pilih.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian
Category
. Panel detail temuan akan diluaskan untuk menampilkan ringkasan detail temuan.Untuk melihat definisi JSON temuan, klik tab JSON.
Temuan memberikan nama dan ID numerik resource yang terlibat dalam insiden, beserta variabel lingkungan dan properti aset. Anda dapat menggunakan informasi tersebut untuk mengisolasi resource yang terpengaruh dengan cepat dan menentukan potensi cakupan peristiwa.
Untuk membantu penyelidikan Anda, temuan ancaman juga berisi link ke referensi eksternal berikut:
- Entri framework MITRE ATT&CK. Framework ini menjelaskan teknik untuk serangan terhadap resource cloud dan memberikan panduan perbaikan.
VirusTotal, layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya. Jika tersedia, kolom Indikator VirusTotal akan memberikan link ke VirusTotal untuk membantu Anda menyelidiki lebih lanjut potensi masalah keamanan.
VirusTotal adalah penawaran dengan harga terpisah dengan batas dan fitur penggunaan yang berbeda. Anda bertanggung jawab untuk memahami dan mematuhi kebijakan penggunaan API VirusTotal dan biaya terkait. Untuk mengetahui informasi selengkapnya, lihat dokumentasi VirusTotal.
Bagian berikut menguraikan potensi respons terhadap temuan ancaman.
Penonaktifan temuan ancaman
Setelah Anda menyelesaikan masalah yang memicu temuan ancaman, Security Command Center tidak otomatis menetapkan status temuan ke INACTIVE
. Status temuan ancaman tetap ACTIVE
kecuali jika Anda menetapkan properti state
ke INACTIVE
secara manual.
Untuk positif palsu, pertimbangkan untuk membiarkan status temuan sebagai
ACTIVE
dan bisukan temuan tersebut.
Untuk positif palsu yang persisten atau berulang, buat aturan penonaktifan. Menetapkan aturan bisukan dapat mengurangi jumlah temuan yang perlu Anda kelola, sehingga mempermudah identifikasi ancaman yang sebenarnya saat terjadi.
Untuk ancaman yang sebenarnya, sebelum Anda menetapkan status temuan ke INACTIVE
,
hilangkan ancaman dan selesaikan penyelidikan menyeluruh terhadap
ancaman yang terdeteksi, tingkat intrusi, dan temuan serta masalah terkait
lainnya.
Untuk membisukan temuan atau mengubah statusnya, lihat topik berikut:
Respons Event Threat Detection
Untuk mempelajari Event Threat Detection lebih lanjut, lihat cara kerja Event Threat Detection.
Bagian ini tidak berisi respons untuk temuan yang dihasilkan oleh modul kustom untuk Event Threat Detection, karena organisasi Anda menentukan tindakan yang direkomendasikan untuk detektor tersebut.
Evasion: Access from Anonymizing Proxy
Akses yang tidak wajar dari proxy anonim terdeteksi dengan memeriksa Cloud Audit Logs untuk mengetahui modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Evasion: Access from Anonymizing Proxy
, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, yang menampilkan tab Ringkasan. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan (akun yang berpotensi dibobol).
- IP: Alamat IP proxy tempat perubahan dilakukan.
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Anda juga dapat mengklik tab JSON untuk melihat kolom temuan tambahan.
Langkah 2: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Proxy: Multi-hop Proxy.
- Hubungi pemilik akun di kolom
principalEmail
. Konfirmasikan apakah tindakan tersebut dilakukan oleh pemilik yang sah. - Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Defense Evasion: Breakglass Workload Deployment Created
Breakglass Workload Deployment Created
terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada deployment ke workload yang menggunakan flag breakglass untuk mengganti kontrol Binary Authorization.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Defense Evasion: Breakglass Workload Deployment Created
, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail penemuan akan terbuka, yang menampilkan tab Ringkasan. Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan.
- Nama metode: metode yang dipanggil.
- Pod Kubernetes: nama dan namespace pod.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: namespace GKE tempat deployment terjadi.
- Link terkait:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Periksa log
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
- Periksa nilai di kolom
protoPayload.resourceName
untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Defense Evasion: Breakglass Workload Deployment Updated
Breakglass Workload Deployment Updated
terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada update pada workload yang menggunakan flag breakglass untuk mengganti kontrol Otorisasi Biner.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Defense Evasion: Breakglass Workload Deployment Updated
, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail penemuan akan terbuka, yang menampilkan tab Ringkasan. Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan.
- Nama metode: metode yang dipanggil.
- Pod Kubernetes: nama dan namespace pod.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: namespace GKE tempat update terjadi.
- Link terkait:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Periksa log
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
- Periksa nilai di kolom
protoPayload.resourceName
untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Breakglass Workload Deployment.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Defense Evasion: Manually Deleted Certificate Signing Request (CSR)
Seseorang menghapus permintaan penandatanganan sertifikat (CSR) secara manual. CSR otomatis dihapus oleh pengontrol pengumpulan sampah, tetapi pelaku berbahaya mungkin menghapusnya secara manual untuk menghindari deteksi. Jika CSR yang dihapus ditujukan untuk sertifikat yang disetujui dan diterbitkan, pelaku yang berpotensi berbahaya kini memiliki metode autentikasi tambahan untuk mengakses cluster. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Kubernetes tidak mendukung pencabutan sertifikat. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa lain yang terkait dengan CSR ini untuk menentukan apakah CSR adalah
approved
dan apakah pembuatan CSR adalah aktivitas yang diharapkan oleh akun utama. - Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh
prinsipal dalam log audit di Cloud Logging. Contoh:
- Apakah akun utama yang menghapus CSR berbeda dengan akun utama yang membuatnya atau menyetujuinya?
- Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lainnya?
- Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster.
Defense Evasion: Modify VPC Service Control
Temuan ini tidak tersedia untuk aktivasi tingkat project.
Log audit diperiksa untuk mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang akan menyebabkan pengurangan perlindungan yang ditawarkan oleh perimeter tersebut. Berikut adalah beberapa contohnya:
- Project dihapus dari perimeter
- Kebijakan tingkat akses ditambahkan ke perimeter yang ada
- Satu atau beberapa layanan ditambahkan ke daftar layanan yang dapat diakses
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Defense Evasion: Modify VPC Service Control
, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail penemuan akan terbuka, yang menampilkan tab Ringkasan. Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Apa yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama perimeter Kontrol Layanan VPC yang diubah.
- Link terkait:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Apa yang terdeteksi, terutama kolom berikut:
Klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
sourceProperties
properties
name
: nama perimeter Kontrol Layanan VPC yang diubahpolicyLink
: link ke kebijakan akses yang mengontrol perimeterdelta
: perubahan, baikREMOVE
maupunADD
, pada perimeter yang mengurangi perlindungannyarestricted_resources
: project yang mengikuti batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus projectrestricted_services
: layanan yang dilarang berjalan oleh batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus layanan yang dibatasiallowed_services
: layanan yang diizinkan untuk berjalan berdasarkan batasan perimeter ini. Perlindungan akan berkurang jika Anda menambahkan layanan yang diizinkanaccess_levels
: tingkat akses yang dikonfigurasi untuk mengizinkan akses ke resource dalam perimeter. Perlindungan akan berkurang jika Anda menambahkan lebih banyak tingkat akses
Langkah 2: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Temukan log aktivitas admin yang terkait dengan perubahan Kontrol Layanan VPC menggunakan
filter berikut:
protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Modify Authentication Process.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik kebijakan dan perimeter Kontrol Layanan VPC.
- Pertimbangkan untuk mengembalikan perubahan untuk perimeter hingga investigasi selesai.
- Pertimbangkan untuk mencabut peran Access Context Manager pada akun utama yang mengubah perimeter hingga penyelidikan selesai.
- Selidiki cara perlindungan yang dikurangi telah digunakan. Misalnya, jika "BigQuery Data Transfer Service API" diaktifkan, atau ditambahkan sebagai layanan yang diizinkan, periksa siapa yang mulai menggunakan layanan tersebut dan apa yang mereka transfer.
Defense Evasion: Potential Kubernetes Pod Masquerading
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan beban kerja default yang dibuat GKE untuk operasi cluster reguler. Teknik ini disebut penyamaran. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Pastikan Pod tersebut sah.
- Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
- Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
- Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
- Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.
Discovery: Can get sensitive Kubernetes object check
Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka kueri, menggunakan perintah kubectl
auth can-i get
. Secara khusus, pelaku menjalankan salah satu perintah berikut:
kubectl auth can-i get '*'
kubectl auth can-i get secrets
kubectl auth can-i get clusterroles/cluster-admin
Langkah 1: Tinjau detail temuan
- Buka temuan
Discovery: Can get sensitive Kubernetes object check
seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut:
- Di bagian Yang terdeteksi:
- Tinjauan akses Kubernetes: informasi tinjauan akses yang diminta,
berdasarkan resource k8s
SelfSubjectAccessReview
. - Email utama: akun yang melakukan panggilan.
- Tinjauan akses Kubernetes: informasi tinjauan akses yang diminta,
berdasarkan resource k8s
- Di bagian Resource yang terpengaruh:
- Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
- Di bagian Link terkait:
- Cloud Logging URI: link ke entri Logging.
- Di bagian Yang terdeteksi:
Langkah 2: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
Di halaman yang dimuat, periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Discovery
- Konfirmasi sensitivitas objek yang dikueri dan tentukan apakah ada tanda lain dari aktivitas berbahaya oleh akun utama dalam log.
Jika akun yang Anda catat di baris Email utama di detail temuan bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber peninjauan akses untuk menentukan legitimasinya.
Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Execution: Kubernetes Pod Created with Potential Reverse Shell Arguments
Seseorang membuat Pod yang berisi perintah atau argumen yang biasanya dikaitkan dengan reverse shell. Penyerang menggunakan reverse shell untuk memperluas atau mempertahankan akses awal mereka ke cluster dan untuk mengeksekusi perintah arbitrer. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Pastikan Pod memiliki alasan yang sah untuk menentukan perintah dan argumen ini.
- Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
- Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
- Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi legitimasi yang menyebabkan akun layanan melakukan tindakan ini
- Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.
Execution: Suspicious Exec or Attach to a System Pod
Seseorang menggunakan perintah exec
atau attach
untuk mendapatkan shell atau menjalankan perintah
di penampung yang berjalan di namespace kube-system
. Metode ini
terkadang digunakan untuk tujuan proses debug yang sah. Namun, kube-system
namespace
ditujukan untuk objek sistem yang dibuat oleh Kubernetes, dan eksekusi perintah atau pembuatan shell yang tidak terduga harus ditinjau. Untuk mengetahui detail selengkapnya, lihat
pesan log untuk pemberitahuan ini.
- Tinjau log audit di Cloud Logging untuk menentukan apakah aktivitas ini merupakan aktivitas yang diharapkan oleh akun utama.
- Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
Tinjau panduan untuk menggunakan prinsip hak istimewa terendah untuk peran RBAC dan peran cluster yang mengizinkan akses ini.
Exfiltration: BigQuery Data Exfiltration
Temuan yang ditampilkan oleh Exfiltration: BigQuery
Data Exfiltration
berisi salah satu dari dua kemungkinan subaturan. Setiap subaturan memiliki
tingkat keparahan yang berbeda:
- Subaturan
exfil_to_external_table
dengan tingkat keparahan =HIGH
:- Resource disimpan di luar organisasi atau project Anda.
- Subaturan
vpc_perimeter_violation
dengan tingkat keparahan =LOW
:- Kontrol Layanan VPC memblokir operasi salin atau upaya untuk mengakses resource BigQuery.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: BigQuery Data Exfiltration
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:
- Yang terdeteksi:
- Keparahan: keparahannya adalah
HIGH
untuk subaturanexfil_to_external_table
atauLOW
untuk subaturanvpc_perimeter_violation
. - Email utama: akun yang digunakan untuk mengeksfiltrasi data.
- Sumber pemindahan data: detail tentang tabel tempat data dipindahkan.
- Target pemindahan yang tidak sah: detail tentang tabel tempat data yang di-ekspor disimpan.
- Keparahan: keparahannya adalah
- Resource yang terpengaruh:
- Nama lengkap resource: nama lengkap resource project, folder, atau organisasi tempat data diekspor.
- Link terkait:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Google Security Operations: link ke Google SecOps.
- Yang terdeteksi:
Klik tab Properti Sumber dan tinjau kolom yang ditampilkan, terutama:
detectionCategory
:subRuleName
:exfil_to_external_table
atauvpc_perimeter_violation
.
evidence
:sourceLogId
:projectId
: project Google Cloud yang berisi set data BigQuery sumber.
properties
dataExfiltrationAttempt
jobLink
: link ke tugas BigQuery yang mengeksfiltrasi data.query
: kueri SQL yang dijalankan di set data BigQuery.
Atau, klik tab JSON untuk melihat listingan lengkap properti JSON temuan.
Langkah 2: Selidiki di Google Security Operations
Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa terpadu. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.
Anda hanya dapat menggunakan Google SecOps jika mengaktifkan Security Command Center di tingkat organisasi.
Buka halaman Temuan Security Command Center di konsol Google Cloud.
Di panel Filter cepat, scroll ke bawah ke Nama tampilan sumber.
Di bagian Source display name, pilih Event Threat Detection.
Tabel akan diisi dengan temuan dari Event Threat Detection.
Dalam tabel, di bagian category, klik temuan
Exfiltration: BigQuery Data Exfiltration
. Panel detail untuk temuan akan terbuka.Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.
Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.
Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:
Langkah 3: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di kolom
projectId
dalam JSON temuan.Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Principal email dan periksa izin yang ditetapkan ke akun.
Langkah 4: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
protoPayload.methodName="Jobservice.insert"
protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"
Langkah 5: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 6: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang datanya diekspor.
- Pertimbangkan untuk membatalkan izin untuk
userEmail
hingga investigasi selesai. - Untuk menghentikan ekstraksi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke set data BigQuery yang terpengaruh (
exfiltration.sources
danexfiltration.targets
). - Untuk memindai set data yang terpengaruh guna menemukan informasi sensitif, gunakan Perlindungan Data Sensitif. Anda juga dapat mengirim data Perlindungan Data Sensitif ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif dapat menjadi signifikan. Ikuti praktik terbaik untuk mengontrol biaya Perlindungan Data Sensitif.
- Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Exfiltration: BigQuery Data Extraction
Eksfiltrasi data dari BigQuery terdeteksi dengan memeriksa log audit untuk dua skenario:
- Resource disimpan ke bucket Cloud Storage di luar organisasi Anda.
- Resource disimpan ke bucket Cloud Storage yang dapat diakses secara publik dan dimiliki oleh organisasi Anda.
Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: BigQuery Data Extraction
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan membuka tab Ringkasan. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:
- Yang terdeteksi:
- Email utama: akun yang digunakan untuk mengeksfiltrasi data.
- Sumber pemindahan data: detail tentang tabel tempat data dipindahkan.
- Target pemindahan yang tidak sah: detail tentang tabel tempat data yang di-ekspor disimpan.
- Resource yang terpengaruh:
- Nama lengkap resource: nama resource BigQuery yang datanya diekspor.
- Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
- Link terkait:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi:
Di panel detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
sourceProperties
:evidence
:sourceLogId
:projectId
: project Google Cloud yang berisi set data BigQuery sumber.
properties
:extractionAttempt
:jobLink
: link ke tugas BigQuery yang mengeksfiltrasi data
Langkah 2: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di kolom
projectId
dalam JSON temuan (dari Langkah 1).Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Principal email (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
protoPayload.methodName="Jobservice.insert"
protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
- Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang datanya diekspor.
- Pertimbangkan untuk membatalkan izin untuk akun utama yang tercantum di baris Email utama di tab Ringkasan detail temuan hingga investigasi selesai.
- Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke set data BigQuery yang terpengaruh dan diidentifikasi di kolom Sumber eksfiltrasi pada tab Ringkasan dari detail temuan.
- Untuk memindai set data yang terpengaruh guna menemukan informasi sensitif, gunakan Perlindungan Data Sensitif. Anda juga dapat mengirim data Perlindungan Data Sensitif ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif dapat menjadi signifikan. Ikuti praktik terbaik untuk mengontrol biaya Perlindungan Data Sensitif.
- Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
- Jika Anda adalah pemilik bucket, sebaiknya cabut izin akses publik.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Exfiltration: BigQuery Data to Google Drive
Eksfiltrasi data dari BigQuery terdeteksi dengan memeriksa log audit untuk skenario berikut:
- Referensi disimpan ke folder Google Drive.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: BigQuery Data to Google Drive
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
- Yang terdeteksi, termasuk:
- Email utama: akun yang digunakan untuk mengeksfiltrasi data.
- Sumber pemindahan data: detail tentang tabel BigQuery yang datanya dipindahkan.
- Target pemindahan yang tidak sah: detail tentang tujuan di Google Drive.
- Resource yang terpengaruh, termasuk:
- Nama lengkap resource: nama resource BigQuery yang datanya diekstrak.
- Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
- Link terkait, termasuk:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, termasuk:
Untuk informasi tambahan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
sourceProperties
:evidence
:sourceLogId
:projectId
: project Google Cloud yang berisi set data BigQuery sumber.
properties
:extractionAttempt
:jobLink
: link ke tugas BigQuery yang mengeksfiltrasi data
Langkah 2: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di kolom
projectId
dalam JSON temuan (dari Langkah 1).Di halaman yang muncul, pada kotak Filter, masukkan alamat email yang tercantum di
access.principalEmail
(dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:
protoPayload.methodName="Jobservice.insert"
protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang datanya diekspor.
- Pertimbangkan untuk membatalkan izin bagi
prinsipal di kolom
access.principalEmail
hingga investigasi selesai. - Untuk menghentikan ekstraksi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke set data BigQuery yang terpengaruh (
exfiltration.sources
). - Untuk memindai set data yang terpengaruh guna menemukan informasi sensitif, gunakan Perlindungan Data Sensitif. Anda juga dapat mengirim data Perlindungan Data Sensitif ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif dapat menjadi signifikan. Ikuti praktik terbaik untuk mengontrol biaya Perlindungan Data Sensitif.
- Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Exfiltration: Cloud SQL Data Exfiltration
Eksfiltrasi data dari Cloud SQL terdeteksi dengan memeriksa log audit untuk dua skenario:
- Data instance aktif yang diekspor ke bucket Cloud Storage di luar organisasi.
- Data instance aktif yang diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.
Semua jenis instance Cloud SQL didukung.
Untuk aktivasi level project pada paket Premium Security Command Center, temuan ini hanya tersedia jika paket Standar diaktifkan di organisasi induk.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: Cloud SQL Data Exfiltration
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama : akun yang digunakan untuk mengeksfiltrasi data.
- Sumber pemindahan tidak sah: detail tentang instance Cloud SQL yang datanya dipindahkan secara tidak sah.
- Target pemindahan data: detail tentang bucket Cloud Storage tempat data diekspor.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource Cloud SQL yang datanya diekspor.
- Nama lengkap project: project Google Cloud yang berisi data Cloud SQL sumber.
- Link terkait, termasuk:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON.
Dalam JSON untuk temuan, perhatikan kolom berikut:
sourceProperties
:evidence
:sourceLogId
:projectId
: project Google Cloud yang berisi instance Cloud SQL sumber.
properties
bucketAccess
: apakah bucket Cloud Storage dapat diakses secara publik atau bersifat eksternal bagi organisasiexportScope
: jumlah data yang diekspor, seperti, seluruh instance, satu atau beberapa database, satu atau beberapa tabel, atau subset yang ditentukan oleh kueri)
Langkah 2: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project instance yang tercantum di kolom
projectId
dalam JSON temuan (dari Langkah 1).Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di baris Email utama di tab Ringkasan dari detail penemuan (dari Langkah 1). Periksa izin yang ditetapkan ke akun.
Langkah 3: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
- Tinjau temuan terkait dengan mengklik link di baris Temuan terkait yang dijelaskan di Langkah 1). Temuan terkait memiliki jenis temuan yang sama pada instance Cloud SQL yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang datanya diekspor.
- Pertimbangkan untuk membatalkan izin untuk
access.principalEmail
hingga investigasi selesai. - Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke instance Cloud SQL yang terpengaruh.
- Untuk membatasi akses ke dan ekspor dari Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Exfiltration: Cloud SQL Restore Backup to External Organization
Eksfiltrasi data dari cadangan Cloud SQL terdeteksi dengan memeriksa log audit untuk menentukan apakah data dari cadangan telah dipulihkan ke instance Cloud SQL di luar organisasi atau project. Semua jenis instance dan pencadangan Cloud SQL didukung.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: Cloud SQL Restore Backup to External Organization
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang digunakan untuk mengeksfiltrasi data.
- Sumber eksfiltrasi: detail tentang instance Cloud SQL tempat pencadangan dibuat.
- Target eksfiltrasi: detail tentang instance Cloud SQL tempat data cadangan dipulihkan.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource cadangan yang dipulihkan.
- Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL tempat pencadangan dibuat.
- Yang terdeteksi, terutama kolom berikut:
Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
Klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource
:parent_name
: nama resource instance Cloud SQL tempat cadangan dibuat
evidence
:sourceLogId
:projectId
: project Google Cloud yang berisi set data BigQuery sumber.
properties
:restoreToExternalInstance
:backupId
: ID pencadangan yang dijalankan dan dipulihkan
Langkah 2: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project instance yang tercantum di kolom
projectId
dalam JSON temuan (dari Langkah 1).Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email akun utama (dari Langkah 1) dan periksa izin yang ditetapkan ke akun tersebut.
Langkah 3: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Pemindahan yang Tidak Sah ke Cloud Storage.
- Tinjau temuan terkait dengan mengklik link di baris Temuan terkait. (dari Langkah 1). Temuan terkait memiliki jenis temuan yang sama di instance Cloud SQL yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang datanya diekspor.
- Pertimbangkan untuk membatalkan izin akun utama yang tercantum di baris Email utama di tab Ringkasan detail temuan hingga investigasi selesai.
- Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang membatasi ke instance Cloud SQL yang terpengaruh.
- Untuk membatasi akses ke Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Exfiltration: Cloud SQL Over-Privileged Grant
Mendeteksi kapan semua hak istimewa atas database PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Exfiltration: Cloud SQL Over-Privileged Grant
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama tampilan database: nama database di instance PostgreSQL Cloud SQL yang terpengaruh.
- Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
- Kueri database: kueri PostgreSQL yang dieksekusi yang memberikan hak istimewa.
- Penerima akses database: penerima hak istimewa yang terlalu luas.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource instance PostgreSQL Cloud SQL yang terpengaruh.
- Nama lengkap induk: nama resource instance PostgreSQL Cloud SQL.
- Nama lengkap project: project Google Cloud yang berisi instance PostgreSQL Cloud SQL.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Tinjau hak istimewa database
- Hubungkan ke database PostgreSQL.
- Mencantumkan dan menampilkan hak istimewa akses
untuk hal berikut:
- Database. Gunakan meta-perintah
\l
atau\list
dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1). - Fungsi atau prosedur. Gunakan metaperintah
\df
dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur di database yang tercantum di Nama tampilan database (dari Langkah 1).
- Database. Gunakan meta-perintah
Langkah 3: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
- Di Logs Explorer, periksa log
pgaudit
PostgreSQL, yang mencatat kueri yang dieksekusi ke database, dengan menggunakan filter berikut:protoPayload.request.database="var class="edit">database"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik instance yang memiliki pemberian hak istimewa yang berlebihan.
- Pertimbangkan untuk membatalkan semua izin untuk penerima yang tercantum di Penerima database hingga penyelidikan selesai.
- Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, cabut izin yang tidak diperlukan dari penerima (dari Penerima database di Langkah 1.
Initial Access: Database Superuser Writes to User Tables
Mendeteksi saat akun superuser database Cloud SQL (postgres
untuk PostgreSQL dan root
untuk MySQL) menulis ke tabel pengguna. Superuser (peran dengan akses yang sangat luas) umumnya tidak boleh
digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan
untuk aktivitas harian normal. Saat superuser menulis ke tabel pengguna, hal ini dapat
menunjukkan bahwa penyerang telah mengeskalasi hak istimewa atau telah disusupi
pengguna database default dan mengubah data. Hal ini juga dapat menunjukkan praktik normal, tetapi
tidak aman.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Initial Access: Database Superuser Writes to User Tables
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama tampilan database: nama database di instance Cloud SQL PostgreSQL atau MySQL yang terpengaruh.
- Nama pengguna database: superuser.
- Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource instance Cloud SQL yang terpengaruh.
- Nama lengkap induk: nama resource instance Cloud SQL.
- Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik
link di
cloudLoggingQueryURI
(dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan. - Periksa log untuk log pgaudit PostgreSQL atau log audit Cloud SQL untuk MySQL, yang berisi kueri yang dijalankan oleh superuser, dengan menggunakan filter berikut:
protoPayload.request.user="SUPERUSER"
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
Tinjau pengguna yang diizinkan untuk terhubung ke database.
- Untuk PostgreSQL, lihat Membuat dan mengelola pengguna
- Untuk MySQL, lihat Mengelola pengguna dengan autentikasi bawaan
Pertimbangkan untuk mengubah sandi superuser.
- Untuk PostgreSQL, lihat Menyetel sandi untuk pengguna default
- Untuk MySQL, lihat Menetapkan sandi untuk pengguna default
Pertimbangkan untuk membuat pengguna baru dengan akses terbatas untuk berbagai jenis kueri yang digunakan di instance.
Berikan izin yang diperlukan kepada pengguna baru untuk menjalankan kuerinya.
- Untuk PostgreSQL, lihat Grant (perintah)
- Untuk MySQL, lihat Kontrol Akses dan Pengelolaan Akun
Memperbarui kredensial untuk klien yang terhubung ke instance Cloud SQL
Initial Access: Anonymous GKE resource created from the internet
Mendeteksi saat pelaku yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk membuat resource Kubernetes baru di cluster:
system:anonymous
system:authenticated
system:unauthenticated
Pengguna dan grup ini secara efektif bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk membuat resource tersebut di cluster.
Tinjau resource yang dibuat dan binding RBAC terkait untuk memastikan bahwa binding diperlukan. Jika binding tidak diperlukan, hapus. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.
Untuk mengurangi masalah ini, lihat Menghindari peran dan grup default.
Initial Access: GKE resource modified anonymously from the internet
Mendeteksi saat pelaku yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk mengubah resource Kubernetes di cluster:
system:anonymous
system:authenticated
system:unauthenticated
Pengguna dan grup ini secara efektif bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk mengubah resource tersebut di cluster.
Tinjau resource yang diubah dan binding RBAC terkait untuk memastikan bahwa binding diperlukan. Jika binding tidak diperlukan, hapus. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.
Untuk mengurangi masalah ini, lihat Menghindari peran dan grup default.
Initial Access: Dormant Service Account Action
Mendeteksi peristiwa saat akun layanan yang dikelola pengguna yang tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Initial Access: Dormant Service Account Action
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: akun layanan tidak aktif yang melakukan tindakan
- Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
- Nama metode: metode yang dipanggil
Langkah 2: Pelajari metode serangan dan respons
- Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Initial Access: Dormant Service Account Key Created
Mendeteksi peristiwa saat kunci akun layanan yang dikelola pengguna yang tidak aktif dibuat. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Initial Access: Dormant Service Account Key Created
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: pengguna yang membuat kunci akun layanan
Di bagian Resource yang terpengaruh:
- Nama tampilan resource: kunci akun layanan tidak aktif yang baru dibuat
- Nama lengkap project: project tempat akun layanan yang tidak aktif tersebut berada
Langkah 2: Pelajari metode serangan dan respons
- Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
- Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
- Batalkan validasi kunci akun layanan yang baru dibuat di Halaman Akun Layanan.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Merespons notifikasi dari Cloud Customer Care.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pembuat rekomendasi IAM.
Initial Access: Leaked Service Account Key Used
Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. Misalnya, kunci akun layanan sering kali tidak sengaja diposting di repositori GitHub publik.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Initial Access: Leaked Service Account Key Used
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: akun layanan yang digunakan dalam tindakan ini
- Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
- Nama metode: nama metode tindakan
- Nama kunci akun layanan: kunci akun layanan yang bocor yang digunakan untuk mengautentikasi tindakan ini
- Deskripsi: deskripsi tentang apa yang terdeteksi, termasuk lokasi di internet publik tempat kunci akun layanan dapat ditemukan
Di bagian Resource yang terpengaruh:
- Nama tampilan resource: resource yang terlibat dalam tindakan
Langkah 2: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
- Di toolbar konsol Google Cloud, pilih project atau organisasi Anda.
Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"
Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail penemuan. Ganti SERVICE_ACCOUNT_KEY_NAME dengan nilai yang Anda catat di kolom Nama kunci akun layanan dalam detail temuan.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Cabut kunci akun layanan segera di halaman Akun Layanan.
- Hapus halaman web atau repositori GitHub tempat kunci akun layanan diposting.
- Pertimbangkan untuk menghapus akun layanan yang disusupi.
- Putar dan hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum menghapus, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Merespons notifikasi dari Cloud Customer Care.
Initial Access: Excessive Permission Denied Actions
Mendeteksi peristiwa saat akun utama berulang kali memicu error izin ditolak di beberapa metode dan layanan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Initial Access: Excessive Permission Denied Actions
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email akun utama: akun utama yang memicu beberapa error izin ditolak
- Nama layanan: nama API layanan Google Cloud tempat error izin ditolak terakhir kali terjadi
- Nama metode: metode yang dipanggil saat error izin terakhir ditolak terjadi
Dalam detail temuan, di tab Source Properties, catat nilai kolom berikut dalam JSON:
- properties.failedActions: error izin ditolak yang terjadi. Untuk setiap entri, detailnya mencakup nama layanan, nama metode, jumlah upaya yang gagal, dan waktu terakhir kali error terjadi. Maksimal 10 entri yang ditampilkan.
Langkah 2: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
- Di toolbar konsol Google Cloud, pilih project Anda.
Di halaman yang terbuka, temukan log terkait menggunakan filter berikut:
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
protoPayload.status.code=7
Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama dalam detail penemuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Cloud.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik akun di kolom Email akun utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Hapus resource project yang dibuat oleh akun tersebut, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal, dll.
- Hubungi pemilik project dengan akun tersebut, dan berpotensi menghapus atau menonaktifkan akun.
Brute Force: SSH
Deteksi brute force SSH yang berhasil pada host. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Brute Force: SSH
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
Yang terdeteksi, terutama kolom berikut:
- IP Pemanggil: alamat IP yang meluncurkan serangan.
- Nama pengguna: akun yang login.
Resource yang terpengaruh
Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Investigasi di Google Security Operations: link ke Google SecOps.
Klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
sourceProperties
:evidence
:sourceLogId
: project ID dan stempel waktu untuk mengidentifikasi entri logprojectId
: project yang berisi temuan
properties
:attempts
:Attempts
: jumlah upaya loginusername
: akun yang loginvmName
: nama virtual machineauthResult
: hasil autentikasi SSH
Langkah 2: Selidiki di Google Security Operations
Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa yang mudah digunakan. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.
Anda hanya dapat menggunakan Google SecOps jika mengaktifkan Security Command Center di tingkat organisasi.
Buka halaman Temuan Security Command Center di konsol Google Cloud.
Di panel Filter cepat, scroll ke bawah ke Nama tampilan sumber.
Di bagian Source display name, pilih Event Threat Detection.
Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.
Dalam tabel, di bagian category, klik temuan
Brute Force: SSH
. Panel detail untuk temuan akan terbuka.Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.
Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.
Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:
Langkah 3: Tinjau izin dan setelan
Di konsol Google Cloud, buka Dasbor.
Pilih project yang ditentukan di
projectId
.Buka kartu Resources, lalu klik Compute Engine.
Klik instance VM yang cocok dengan nama dan zona di
vmName
. Tinjau detail instance, termasuk setelan jaringan dan akses.Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif di port 22.
Langkah 4: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
- Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP yang tercantum di baris Email utama di tab Ringkasan dari detail temuan menggunakan filter berikut:
logName="projects/projectId/logs/syslog"
labels."compute.googleapis.com/resource_name"="vmName"
Langkah 5: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Valid Accounts: Local Accounts.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 6: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang berhasil melakukan upaya brute force.
- Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
- Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk mengetahui informasi tentang cara menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Langkah ini dapat mengganggu akses yang diotorisasi ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
- Hanya gunakan autentikasi SSH dengan kunci yang diotorisasi.
- Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada jumlah informasi, biaya Google Cloud Armor dapat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
Credential Access: External Member Added To Privileged Group
Temuan ini tidak tersedia untuk aktivasi tingkat project.
Mendeteksi saat anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (grup yang diberikan perizinan atau peran sensitif). Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Credential Access: External Member Added To Privileged Group
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan.
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Di panel detail, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
groupName
: Google Grup tempat perubahan dilakukanexternalMember
: anggota eksternal yang baru ditambahkansensitiveRoles
: peran sensitif yang terkait dengan grup ini
Langkah 2: Tinjau anggota grup
Buka Google Grup.
Klik nama grup yang ingin ditinjau.
Di menu navigasi, klik Anggota.
Jika anggota eksternal yang baru ditambahkan tidak boleh berada dalam grup ini, klik kotak centang di samping nama anggota, lalu pilih
Hapus anggota atau Blokir anggota.Untuk menghapus atau menambahkan anggota, Anda harus menjadi Admin Google Workspace, atau diberi peran Pemilik atau Pengelola di Google Grup. Untuk informasi selengkapnya, lihat Menetapkan peran ke anggota grup.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
Jika perlu, pilih project Anda.
Di halaman yang ditampilkan, periksa log untuk perubahan keanggotaan Google Grup menggunakan filter berikut:
protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
protoPayload.authenticationInfo.principalEmail="principalEmail"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.
Credential Access: Failed Attempt to Approve Kubernetes Certificate Signing Request (CSR)
Seseorang mencoba menyetujui permintaan penandatanganan sertifikat (CSR) secara manual, tetapi tindakan tersebut gagal. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR
lainnya guna menentukan apakah CSR
approved
dan dikeluarkan, serta apakah tindakan terkait CSR adalah aktivitas yang diharapkan oleh akun utama. - Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh
prinsipal dalam log audit di Cloud Logging. Contoh:
- Apakah akun utama yang mencoba menyetujui CSR berbeda dengan akun yang membuatnya?
- Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lainnya?
- Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster.
Credential Access: Manually Approved Kubernetes Certificate Signing Request (CSR)
Seseorang menyetujui permintaan penandatanganan sertifikat (CSR) secara manual. Membuat sertifikat untuk autentikasi cluster adalah metode umum bagi penyerang untuk membuat akses persisten ke cluster yang disusupi. Izin yang terkait dengan sertifikat bervariasi bergantung pada subjek yang disertakan, tetapi dapat memiliki hak istimewa yang sangat tinggi. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Tinjau log audit di Cloud Logging dan pemberitahuan tambahan untuk peristiwa terkait CSR lainnya untuk menentukan apakah tindakan terkait CSR adalah aktivitas yang diharapkan oleh akun utama.
- Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh
prinsipal dalam log audit di Cloud Logging. Contoh:
- Apakah kepala sekolah yang menyetujui CSR berbeda dengan yang membuatnya?
- Apakah CSR menentukan penanda tangan bawaan, tetapi pada akhirnya perlu disetujui secara manual karena tidak memenuhi kriteria penanda tangan?
- Apakah akun utama telah mencoba meminta, membuat, menyetujui, atau menghapus CSR lainnya?
- Jika persetujuan CSR tidak diharapkan, atau ditentukan sebagai berbahaya, cluster akan memerlukan rotasi kredensial untuk membatalkan validitas sertifikat. Tinjau panduan untuk melakukan rotasi kredensial cluster.
Credential Access: Privileged Group Opened To Public
Temuan ini tidak tersedia untuk aktivasi tingkat project.
Mendeteksi saat Google Grup dengan hak istimewa (grup yang diberi perizinan atau peran sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk menanggapi temuan ini, lakukan langkah berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Credential Access: Privileged Group Opened To Public
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan, yang mungkin telah disusupi.
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Klik tab JSON.
- Dalam JSON, perhatikan kolom berikut.
groupName
: Google Grup tempat perubahan dilakukansensitiveRoles
: peran sensitif yang terkait dengan grup iniwhoCanJoin
: setelan kemampuan bergabung grup
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Tinjau setelan akses grup
Buka Konsol Admin untuk Google Grup. Anda harus menjadi Admin Google Workspace untuk login ke konsol.
Di panel navigasi, klik Direktori, lalu pilih Grup.
Klik nama grup yang ingin ditinjau.
Klik Setelan Akses, lalu, di bagian Siapa yang dapat bergabung ke grup, tinjau setelan kemampuan bergabung grup.
Di menu drop-down, jika perlu, ubah setelan kemampuan bergabung.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
Jika perlu, pilih project Anda.
Di halaman yang dimuat, periksa log untuk perubahan setelan Google Grup menggunakan filter berikut:
protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
protoPayload.authenticationInfo.principalEmail="principalEmail"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.
Credential Access: Secrets Accessed in Kubernetes Namespace
Mendeteksi saat
default
akun layanan Kubernetes
Pod digunakan untuk mengakses objek Secret di cluster. Akun layanan Kubernetes default
tidak boleh memiliki akses ke objek Secret kecuali jika Anda secara eksplisit
memberikan akses tersebut dengan objek Role atau objek ClusterRole.
Credential Access: Sensitive Role Granted To Hybrid Group
Mendeteksi saat peran atau izin sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Credential Access: Sensitive Role Granted To Hybrid Group
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan, yang mungkin telah disusupi.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: resource tempat peran baru diberikan.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Klik tab JSON.
- Dalam JSON, perhatikan kolom berikut.
groupName
: Google Grup tempat perubahan dilakukanbindingDeltas
: peran sensitif yang baru diberikan ke grup ini.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Tinjau izin grup
Buka halaman IAM di Konsol Google Cloud.
Di kolom Filter, masukkan nama akun yang tercantum di
groupName
.Tinjau peran sensitif yang diberikan ke grup.
Jika peran sensitif yang baru ditambahkan tidak diperlukan, cabut peran tersebut.
Anda memerlukan izin tertentu untuk mengelola peran di organisasi atau project. Untuk mengetahui informasi selengkapnya, lihat Izin yang diperlukan.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
Jika perlu, pilih project Anda.
Di halaman yang dimuat, periksa log untuk perubahan setelan Google Grup menggunakan filter berikut:
protoPayload.methodName="SetIamPolicy"
protoPayload.authenticationInfo.principalEmail="principalEmail"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.
Malware: Cryptomining Bad IP
Malware terdeteksi dengan memeriksa log VPC Flow Logs dan Cloud DNS untuk menemukan koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui. Untuk merespons temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Malware: Cryptomining Bad IP
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- IP Sumber: alamat IP yang dicurigai melakukan penambangan kripto.
- Source port: port sumber koneksi, jika tersedia.
- IP tujuan: alamat IP target.
- Port tujuan: port tujuan koneksi, jika tersedia.
- Protokol: protokol IANA yang dikaitkan dengan koneksi.
- Resource yang terpengaruh
- Link terkait, termasuk kolom berikut:
- Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Flow Analyzer (Pratinjau): link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika Log Aliran VPC diaktifkan.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab Properti sumber.
Luaskan properties dan catat nilai project dan instance di kolom berikut:
instanceDetails
: catat project ID dan nama instance Compute Engine. Project ID dan nama instance akan muncul seperti yang ditunjukkan dalam contoh berikut:/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman Dasbor.
Pilih project yang ditentukan di
properties_project_id
.Buka kartu Resources, lalu klik Compute Engine.
Klik instance VM yang cocok dengan
properties_sourceInstance
. Selidiki instance yang berpotensi disusupi malware.Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.
Langkah 3: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project Anda.
Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan
Properties_ip_0
menggunakan filter berikut:logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
(jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pembajakan Resource.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang berisi malware.
- Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
- Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
- Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor dapat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
Initial Access: Log4j Compromise Attempt
Temuan ini dihasilkan saat lookup Java Naming and Directory Interface (JNDI) dalam header atau parameter URL terdeteksi. Penelusuran ini dapat menunjukkan upaya eksploitasi Log4Shell. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Initial Access: Log4j Compromise Attempt
, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
properties
loadBalancerName
: nama load balancer yang menerima lookup JNDIrequestUrl
: URL permintaan dari permintaan HTTP. Jika ada, kolom ini berisi pencarian JNDI.requestUserAgent
: agen pengguna yang mengirim permintaan HTTP. Jika ada, ini berisi pencarian JNDI.refererUrl
: URL halaman yang mengirim permintaan HTTP. Jika ada, properti ini berisi pencarian JNDI.
Langkah 2: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.
Di halaman yang dimuat, periksa kolom
httpRequest
untuk token string seperti${jndi:ldap://
yang mungkin menunjukkan kemungkinan upaya eksploitasi.Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exploit Public-Facing Application.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Upgrade ke versi terbaru Log4j2.
- Ikuti rekomendasi Google Cloud untuk menyelidiki dan merespons kerentanan "Apache Log4j 2".
- Terapkan teknik mitigasi yang direkomendasikan di Kerentanan Keamanan Apache Log4j.
- Jika Anda menggunakan Google Cloud Armor, deploy
cve-canary rule
ke kebijakan keamanan Google Cloud Armor yang baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu mengurangi kerentanan Apache Log4j.
Active Scan: Log4j Vulnerable to RCE
Pemindai kerentanan Log4j yang didukung memasukkan pencarian JNDI yang di-obfuscate dalam parameter, URL, dan kolom teks HTTP dengan callback ke domain yang dikontrol oleh pemindai. Temuan ini dihasilkan saat kueri DNS untuk domain yang tidak di-obfuscate ditemukan. Kueri tersebut hanya terjadi jika pencarian JNDI berhasil, yang menunjukkan kerentanan Log4j yang aktif. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Active Scan: Log4j Vulnerable to RCE
, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap dari instance Compute Engine yang rentan terhadap RCE Log4j.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
properties
scannerDomain
: domain yang digunakan oleh pemindai sebagai bagian dari pencarian JNDI. Hal ini memberi tahu Anda pemindai mana yang mengidentifikasi kerentanan.sourceIp
: alamat IP yang digunakan untuk membuat kueri DNSvpcName
: nama jaringan pada instance tempat kueri DNS dibuat.
Langkah 2: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.
Di halaman yang dimuat, periksa kolom
httpRequest
untuk token string seperti${jndi:ldap://
yang mungkin menunjukkan kemungkinan upaya eksploitasi.Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk mengetahui contoh string yang akan ditelusuri dan contoh kueri.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksploitasi Layanan Jarak Jauh.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Upgrade ke versi terbaru Log4j2.
- Ikuti rekomendasi Google Cloud untuk menyelidiki dan merespons kerentanan "Apache Log4j 2".
- Terapkan teknik mitigasi yang direkomendasikan di Kerentanan Keamanan Apache Log4j.
- Jika Anda menggunakan Google Cloud Armor, deploy
cve-canary rule
ke kebijakan keamanan Google Cloud Armor yang baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu mengurangi kerentanan Apache Log4j.
Leaked credentials
Temuan ini tidak tersedia untuk aktivasi tingkat project.
Temuan ini dihasilkan saat kredensial akun layanan Google Cloud tidak sengaja bocor secara online atau disusupi. Untuk menanggapi temuan ini, lakukan langkah berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
account_has_leaked_credentials
, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi
- Resource yang terpengaruh
Klik tab Properti Sumber dan perhatikan kolom berikut:
Compromised_account
: akun layanan yang berpotensi disusupiProject_identifier
: project yang berisi kredensial akun yang berpotensi bocorURL
: link ke repositori GitHub
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Tinjau izin project dan akun layanan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di
Project_identifier
.Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di
Compromised_account
dan periksa izin yang ditetapkan.Di konsol Google Cloud, buka halaman Akun Layanan.
Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi dan periksa kunci akun layanan serta tanggal pembuatan kunci.
Langkah 3: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project Anda.
Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
protoPayload.methodName="SetIamPolicy"
resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="InsertProjectOwnershipInvite"
protoPayload.authenticationInfo.principalEmail="Compromised_account"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Cloud.
- Tinjau temuan terkait dengan mengklik link di
relatedFindingURI
. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama. - Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang kredensialnya bocor.
- Pertimbangkan untuk menghapus akun layanan yang disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Menanggapi notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
- Buka link
URL
dan hapus kredensial yang bocor. Kumpulkan informasi selengkapnya tentang akun yang disusupi dan hubungi pemiliknya.
Malware
Malware terdeteksi dengan memeriksa Log Alur VPC dan
log Cloud DNS untuk menemukan koneksi ke domain perintah dan kontrol serta
alamat IP yang diketahui. Saat ini, Event Threat Detection menyediakan deteksi malware umum
(Malware: Bad IP
dan Malware: Bad Domain
) serta detector
khusus untuk malware terkait Log4j (Log4j Malware: Bad IP
dan
Log4j Malware: Bad Domain
).
Langkah-langkah berikut menjelaskan cara menyelidiki dan merespons temuan berbasis IP. Langkah-langkah perbaikannya serupa untuk temuan berbasis domain.
Langkah 1: Tinjau detail temuan
Buka temuan malware yang relevan. Langkah-langkah berikut menggunakan temuan
Malware: Bad IP
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Domain indikator: untuk temuan
Bad domain
, domain yang memicu temuan. - IP Indikator: untuk temuan
Bad IP
, alamat IP yang memicu temuan. - IP sumber: untuk temuan
Bad IP
, alamat IP kontrol dan perintah malware yang diketahui. - Source port: untuk temuan
Bad IP
, port sumber koneksi. - IP tujuan: untuk temuan
Bad IP
, alamat IP target malware. - Port tujuan: untuk temuan
Bad IP
, port tujuan koneksi. - Protokol: untuk temuan
Bad IP
, nomor protokol IANA yang terkait dengan koneksi.
- Domain indikator: untuk temuan
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource instance Compute Engine yang terpengaruh.
- Project full name: nama resource lengkap project yang berisi temuan.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Investigasi di Google Security Operations: link ke Google SecOps.
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Flow Analyzer (Pratinjau): link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika Log Aliran VPC diaktifkan.
Klik tab JSON dan perhatikan kolom berikut:
evidence
:sourceLogId
:projectID
: ID project tempat masalah terdeteksi.
properties
:InstanceDetails
: alamat resource untuk instance Compute Engine.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Selidiki di Google Security Operations
Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa yang mudah digunakan. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.
Anda hanya dapat menggunakan Google SecOps jika mengaktifkan Security Command Center di tingkat organisasi.
Buka halaman Temuan Security Command Center di konsol Google Cloud.
Di panel Filter cepat, scroll ke Nama tampilan sumber.
Di bagian Source display name, pilih Event Threat Detection.
Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.
Dalam tabel, di bagian category, klik temuan
Malware: Bad IP
. Panel detail untuk menemukan akan terbuka.Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.
Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.
Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:
Langkah 3: Tinjau izin dan setelan
Di konsol Google Cloud, buka halaman Dasbor.
Pilih project yang ditentukan di baris Project full name di tab Summary.
Buka kartu Resources, lalu klik Compute Engine.
Klik instance VM yang cocok dengan nama dan zona di Nama lengkap resource. Tinjau detail instance, termasuk setelan jaringan dan akses.
Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.
Langkah 4: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP di Source IP menggunakan filter berikut:
logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")
Ganti kode berikut:
PROJECT_ID
dengan memilih project yang tercantum diprojectId
.SOURCE_IP
dengan alamat IP yang tercantum di baris Source IP di tab Summary dari detail temuan.
Langkah 5: Periksa Flow Analyzer
Anda harus mengaktifkan Log Aliran VPC untuk melakukan proses berikut.
- Pastikan Anda telah mengupgrade bucket log untuk menggunakan Log Analytics. Untuk mengetahui petunjuknya, lihat Mengupgrade bucket untuk menggunakan Log Analytics. Tidak ada biaya tambahan untuk melakukan upgrade.
Di konsol Google Cloud, buka halaman Flow Analyzer:
Anda juga dapat mengakses Flow Analyzer melalui link URL Flow Analyzer di bagian Link Terkait pada tab Ringkasan di panel Menemukan detail.
Untuk menyelidiki lebih lanjut informasi yang berkaitan dengan temuan Event Threat Detection, gunakan pemilih rentang waktu di panel tindakan untuk mengubah jangka waktu. Jangka waktu harus mencerminkan waktu temuan pertama kali dilaporkan. Misalnya, jika temuan dilaporkan dalam 2 jam terakhir, Anda dapat menetapkan jangka waktu ke 6 jam terakhir. Hal ini memastikan jangka waktu di Flow Analyzer mencakup waktu saat temuan dilaporkan.
Filter Flow Analyzer untuk menampilkan hasil yang sesuai untuk alamat IP yang terkait dengan temuan IP berbahaya:
- Dari menu Filter di baris Source pada bagian Query, pilih IP.
Di kolom Nilai, masukkan alamat IP yang terkait dengan temuan tersebut, lalu klik Jalankan Kueri Baru.
Jika Flow Analyzer tidak menampilkan hasil apa pun untuk alamat IP, hapus filter dari baris Sumber, lalu jalankan kueri lagi dengan filter yang sama di baris Tujuan.
Analisis hasilnya. Untuk informasi tambahan tentang alur tertentu, klik Detail di tabel Semua alur data untuk membuka panel Detail alur.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Dynamic Resolution dan Command and Control.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan dari detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
- Periksa URL dan domain yang ditandai di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 6: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang berisi malware.
- Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
- Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang disusupi.
- Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
- Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor dapat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
- Untuk mengontrol akses dan penggunaan image VM, gunakan kebijakan IAM Shielded VM dan Trusted Images.
Persistence: IAM Anomalous Grant
Log audit diperiksa untuk mendeteksi penambahan pemberian peran IAM (IAM) yang mungkin dianggap mencurigakan.
Berikut adalah contoh pemberian yang tidak wajar:
- Mengundang pengguna eksternal, seperti pengguna gmail.com, sebagai pemilik project dari konsol Google Cloud
- Akun layanan yang memberikan izin sensitif
- Peran khusus yang memberikan izin sensitif
- Akun layanan yang ditambahkan dari luar organisasi atau project Anda
Penemuan IAM Anomalous Grant
bersifat unik karena menyertakan
sub-aturan yang memberikan informasi lebih spesifik tentang setiap instance
penemuan ini. Klasifikasi tingkat keparahan temuan ini bergantung
pada sub-aturan. Setiap sub-aturan mungkin memerlukan respons yang berbeda.
Daftar berikut menunjukkan semua kemungkinan sub-aturan dan tingkat keparahannya:
external_service_account_added_to_policy
:HIGH
, jika peran yang sangat sensitif diberikan atau jika peran sensitivitas sedang diberikan di tingkat organisasi. Untuk informasi selengkapnya, lihat Peran yang sangat sensitif.MEDIUM
, jika peran sensitivitas sedang diberikan. Untuk informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
external_member_invited_to_policy
:HIGH
external_member_added_to_policy
:HIGH
, jika peran yang sangat sensitif diberikan atau jika peran sensitivitas sedang diberikan di tingkat organisasi. Untuk informasi selengkapnya, lihat Peran yang sangat sensitif.MEDIUM
, jika peran sensitivitas sedang diberikan. Untuk informasi selengkapnya, lihat Peran dengan sensitivitas sedang.
custom_role_given_sensitive_permissions
:MEDIUM
service_account_granted_sensitive_role_to_member
:HIGH
policy_modified_by_default_compute_service_account
:HIGH
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Persistence: IAM Anomalous Grant
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email akun utama: alamat email untuk pengguna atau akun layanan yang menetapkan peran.
Resource yang terpengaruh
Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Investigasi di Google Security Operations: link ke Google SecOps.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON. JSON lengkap dari temuan akan ditampilkan.
Dalam JSON untuk temuan, perhatikan kolom berikut:
detectionCategory
:subRuleName
: informasi yang lebih spesifik tentang jenis pemberian yang tidak wajar yang terjadi. Sub-aturan menentukan klasifikasi tingkat keparahan temuan ini.
evidence
:sourceLogId
:projectId
: ID project yang berisi temuan.
properties
:sensitiveRoleGrant
:bindingDeltas
:Action
: tindakan yang dilakukan oleh pengguna.Role
: peran yang ditetapkan kepada pengguna.member
: alamat email pengguna yang menerima peran.
Langkah 2: Selidiki di Google Security Operations
Anda dapat menggunakan Google Security Operations untuk menyelidiki temuan ini. Google SecOps adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan beralih melalui entitas terkait dalam linimasa yang mudah digunakan. Google SecOps memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.
Anda tidak dapat menyelidiki temuan Security Command Center di Google SecOps jika mengaktifkan Security Command Center di level project.
Buka halaman Temuan Security Command Center di konsol Google Cloud.
Di panel Filter cepat, scroll ke bawah ke Nama tampilan sumber.
Di bagian Source display name, pilih Event Threat Detection.
Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.
Dalam tabel, di bagian category, klik temuan
Persistence: IAM Anomalous Grant
. Panel detail untuk menemukan akan terbuka.Di bagian Link terkait pada panel detail temuan, klik Investigasi di Google Security Operations.
Ikuti petunjuk di antarmuka pengguna terpandu Google SecOps.
Gunakan panduan berikut untuk melakukan investigasi di Google SecOps:
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Di halaman yang dimuat, cari resource IAM baru atau yang diperbarui menggunakan filter berikut:
protoPayload.methodName="SetIamPolicy"
protoPayload.methodName="google.iam.admin.v1.UpdateRole"
protoPayload.methodName="google.iam.admin.v1.CreateRole"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Valid Accounts: Cloud Accounts.
- Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang akunnya disusupi.
- Hapus akun layanan yang disusupi, lalu putar dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
- Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
- Untuk membatasi penambahan pengguna gmail.com, gunakan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Persistence: Impersonation Role Granted for Dormant Service Account
Mendeteksi peristiwa saat peran peniruan identitas diberikan kepada akun utama yang memungkinkan akun utama tersebut meniru identitas akun layanan yang dikelola pengguna yang tidak aktif. Dalam temuan ini, akun layanan yang tidak aktif adalah resource yang terpengaruh, dan akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Persistence: Impersonation Role Granted for Dormant Service Account
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: pengguna yang melakukan tindakan pemberian
- Pemberian akses yang melanggar.Nama akun utama: akun utama yang diberi peran peniruan identitas
Di bagian Resource yang terpengaruh:
- Nama tampilan resource: akun layanan yang tidak aktif sebagai resource
- Nama lengkap project: project tempat akun layanan yang tidak aktif tersebut berada
Langkah 2: Pelajari metode serangan dan respons
- Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
- Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link Cloud Logging URI untuk membuka Logs Explorer.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
- Hapus peran peniruan identitas yang baru diberikan dari anggota target.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Merespons notifikasi dari Cloud Customer Care.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pembuat rekomendasi IAM.
Persistence: Unmanaged Account Granted Sensitive Role
Mendeteksi peristiwa saat peran sensitif diberikan ke akun yang tidak dikelola Akun yang tidak dikelola tidak dapat dikontrol oleh administrator sistem. Misalnya, saat karyawan yang bersangkutan keluar dari perusahaan, administrator tidak dapat menghapus akun tersebut. Oleh karena itu, memberikan peran sensitif ke akun yang tidak dikelola dapat menimbulkan potensi risiko keamanan bagi organisasi.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Persistence: Unmanaged Account Granted Sensitive Role
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: pengguna yang melakukan tindakan pemberian
- Offending access grants.Principal name: akun tidak terkelola yang menerima pemberian
- Pemberian akses yang melanggar.Peran diberikan: peran sensitif yang diberikan
Langkah 2: Pelajari metode serangan dan respons
- Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Hubungi pemilik kolom Offending access grants.Principal name, pahami asal akun yang tidak dikelola.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link Cloud Logging URI untuk membuka Logs Explorer.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
- Hapus peran sensitif yang baru diberikan dari akun yang tidak dikelola.
- Pertimbangkan untuk mengonversi akun yang tidak dikelola menjadi akun terkelola menggunakan alat transfer, dan pindahkan akun ini ke dalam kontrol administrator sistem.
Persistence: New API Method
Aktivitas admin yang tidak wajar oleh aktor yang berpotensi berbahaya terdeteksi di organisasi, folder, atau project. Aktivitas yang tidak wajar dapat berupa salah satu dari hal berikut:
- Aktivitas baru oleh akun utama di organisasi, folder, atau project
- Aktivitas yang sudah lama tidak dilihat oleh akun utama di organisasi, folder, atau project
Langkah 1: Tinjau detail temuan
- Buka temuan
Persistence: New API Method
seperti yang diarahkan dalam Meninjau temuan. Di detail temuan, pada tab Ringkasan, catat nilai kolom berikut:
- Di bagian Yang terdeteksi:
- Email utama: akun yang melakukan panggilan
- Nama layanan: nama API layanan Google Cloud yang digunakan dalam tindakan
- Nama metode: metode yang dipanggil
- Di bagian Resource yang terpengaruh:
- Nama tampilan resource: nama resource yang terpengaruh, yang dapat sama dengan nama organisasi, folder, atau project
- Jalur resource: lokasi dalam hierarki resource tempat aktivitas berlangsung
- Di bagian Yang terdeteksi:
Langkah 2: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Persistensi.
- Selidiki apakah tindakan tersebut dibenarkan di organisasi, folder, atau project dan apakah tindakan tersebut diambil oleh pemilik akun yang sah. Organisasi, folder, atau project ditampilkan di baris Resource path dan akun ditampilkan di baris Principal email.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Persistence: New Geography
Temuan ini tidak tersedia untuk aktivasi tingkat project.
Akun pengguna atau layanan IAM mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta.
Langkah 1: Tinjau detail temuan
Buka temuan
Persistence: New Geography
, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun pengguna yang berpotensi disusupi.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap project: project yang berisi akun pengguna yang berpotensi dibobol.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom
sourceProperties
berikut:affectedResources
:gcpResourceName
: resource yang terpengaruh
evidence
:sourceLogId
:projectId
: ID project yang berisi temuan.
properties
:anomalousLocation
:anomalousLocation
: perkiraan lokasi pengguna saat ini.callerIp
: alamat IP eksternal.notSeenInLast
: jangka waktu yang digunakan untuk menetapkan dasar pengukuran untuk perilaku normal.typicalGeolocations
: lokasi tempat pengguna biasanya mengakses resource Google Cloud.
Langkah 2: Tinjau izin project dan akun
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di kolom
projectID
dalam JSON temuan.Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Email akun utama dan periksa peran yang diberikan.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Jika perlu, pilih project Anda.
- Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
protoPayload.methodName="SetIamPolicy"
protoPayload.methodName="google.iam.admin.v1.UpdateRole"
protoPayload.methodName="google.iam.admin.v1.CreateRole"
protoPayload.authenticationInfo.principalEmail="principalEmail"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Valid Accounts: Cloud Accounts.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang akunnya disusupi.
- Tinjau kolom
anomalousLocation
,typicalGeolocations
, dannotSeenInLast
untuk memverifikasi apakah akses tersebut tidak normal dan apakah akun telah disusupi. - Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
- Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi Lokasi Resource.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Persistence: New User Agent
Temuan ini tidak tersedia untuk aktivasi tingkat project.
Akun layanan IAM mengakses Google Cloud menggunakan software yang mencurigakan, seperti yang ditunjukkan oleh agen pengguna yang tidak wajar.
Langkah 1: Tinjau detail temuan
Buka temuan
Persistence: New User Agent
, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun layanan yang berpotensi disusupi.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap project: project yang berisi akun layanan yang berpotensi dibobol.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Di tampilan detail temuan, klik tab JSON.
- Dalam JSON, perhatikan kolom berikut.
projectId
: project yang berisi akun layanan yang berpotensi dikompromikan.callerUserAgent
: agen pengguna yang tidak wajar.anomalousSoftwareClassification
: jenis software.notSeenInLast
: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Tinjau izin project dan akun
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di
projectId
.Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email akun utama di tab Ringkasan detail temuan dan periksa peran yang diberikan.
Di konsol Google Cloud, buka halaman Akun Layanan.
Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email utama di tab Ringkasan detail temuan.
Periksa kunci akun layanan dan tanggal pembuatan kunci.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Jika perlu, pilih project Anda.
- Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
protoPayload.methodName="SetIamPolicy"
protoPayload.methodName="google.iam.admin.v1.UpdateRole"
protoPayload.methodName="google.iam.admin.v1.CreateRole"
protoPayload.authenticationInfo.principalEmail="principalEmail"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Cloud.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang akunnya disusupi.
- Tinjau kolom
anomalousSoftwareClassification
,callerUserAgent
, danbehaviorPeriod
untuk memverifikasi apakah akses tersebut tidak normal dan apakah akun telah disusupi. - Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
- Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi Lokasi Resource.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects
Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah
objek kontrol akses berbasis peran (RBAC) ClusterRole
, RoleBinding
, atau ClusterRoleBinding
dari peran cluster-admin
sensitif menggunakan permintaan PUT
atau PATCH
.
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Changes to sensitive Kubernetes RBAC objects
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan panggilan.
- Nama metode: metode yang dipanggil.
- Binding Kubernetes: binding Kubernetes sensitif atau
ClusterRoleBinding
yang diubah.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Di bagian Yang terdeteksi, klik nama binding di baris Kubernetes bindings. Detail binding akan ditampilkan.
Dalam binding yang ditampilkan, catat detail binding.
Langkah 2: Periksa log
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
Jika nilai di Nama metode adalah metode
PATCH
, periksa isi permintaan untuk melihat properti yang diubah.Dalam panggilan
update
(PUT
), seluruh objek dikirim dalam permintaan, sehingga perubahannya tidak begitu jelas.Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses
- Konfirmasi sensitivitas objek dan apakah modifikasi tersebut dibenarkan.
- Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang diikat.
- Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber perubahan untuk menentukan legitimasinya.
Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Privilege Escalation: Create Kubernetes CSR for master cert
Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat
(CSR) master Kubernetes, yang memberi mereka akses
cluster-admin
.
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Create Kubernetes CSR for master cert
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan panggilan.
- Nama metode: metode yang dipanggil.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Periksa log
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
- Periksa nilai di kolom
protoPayload.resourceName
untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu. Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
- Selidiki apakah pemberian akses
cluster-admin
dibenarkan. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Privilege Escalation: Creation of sensitive Kubernetes bindings
Untuk mengeskalasi hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek
RoleBinding
atau ClusterRoleBinding
baru untuk peran
cluster-admin
.
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Creation of sensitive Kubernetes bindings
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan panggilan.
- Binding Kubernetes: binding Kubernetes sensitif atau
ClusterRoleBinding
yang dibuat.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Periksa log
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
- Konfirmasi sensitivitas binding yang dibuat dan apakah peran diperlukan untuk subjek.
- Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang diikat.
- Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Privilege Escalation: Effectively Anonymous Users Granted GKE Cluster Access
Seseorang membuat binding RBAC yang mereferensikan salah satu pengguna atau grup berikut:
system:anonymous
system:authenticated
system:unauthenticated
Pengguna dan grup ini secara efektif bersifat anonim dan harus dihindari saat membuat binding peran atau binding peran cluster ke peran RBAC apa pun. Tinjau binding untuk memastikan bahwa binding tersebut diperlukan. Jika binding tidak diperlukan, hapus binding tersebut. Untuk detail selengkapnya, lihat pesan log untuk temuan ini.
- Tinjau semua binding yang dibuat yang memberikan izin ke
pengguna
system:anonymous
,system:unauthenticated group
, atau grupsystem:authenticated
. - Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging.
Jika ada tanda-tanda aktivitas berbahaya, tinjau panduan untuk menyelidiki dan menghapus binding yang mengizinkan akses ini.
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials
Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya membuat kueri untuk permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl
, menggunakan kredensial bootstrap yang disusupi.
Berikut adalah contoh perintah yang terdeteksi oleh aturan ini:
kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan panggilan.
- Nama metode: metode yang dipanggil.
- Di bagian Resource yang terpengaruh:
- Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Periksa log
Jika nama metode, yang Anda catat di kolom Nama metode dalam detail
temuan, adalah metode GET
, lakukan tindakan berikut:
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
- Periksa nilai di kolom
protoPayload.resourceName
untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
- Jika CSR tertentu tersedia dalam entri log, selidiki sensitivitas sertifikat dan apakah tindakan tersebut dibenarkan.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Privilege Escalation: Launch of privileged Kubernetes container
Pelaku yang berpotensi berbahaya membuat Pod yang berisi penampung hak istimewa atau penampung dengan kemampuan eskalasi hak istimewa.
Penampung dengan hak istimewa memiliki kolom privileged
yang ditetapkan ke
true
. Penampung dengan kemampuan eskalasi hak istimewa memiliki
kolom allowPrivilegeEscalation
yang ditetapkan ke true
. Untuk mengetahui informasi
selengkapnya, lihat referensi API inti SecurityContext
v1 dalam dokumentasi Kubernetes.
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Launch of privileged Kubernetes container
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan panggilan.
- Pod Kubernetes: Pod yang baru dibuat dengan penampung dengan hak istimewa.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Di tab JSON, perhatikan nilai kolom temuan:
- findings.kubernetes.pods[].containers: container dengan hak istimewa muncul dalam Pod.
Langkah 2: Periksa log
- Di tab Ringkasan dari detail temuan di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
Periksa tindakan lain yang dilakukan oleh akun utama menggunakan filter berikut:
resource.labels.cluster_name="CLUSTER_NAME"
protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
Ganti kode berikut:
CLUSTER_NAME
: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.PRINCIPAL_EMAIL
: nilai yang Anda catat di kolom Email utama dalam detail temuan.
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Akses.
- Pastikan penampung yang dibuat memerlukan akses ke resource host dan kemampuan kernel.
- Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log.
Jika email akun utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
Jika email akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Privilege Escalation: Dormant Service Account Granted Sensitive Role
Mendeteksi peristiwa saat peran IAM sensitif diberikan ke akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Privilege Escalation: Dormant Service Account Granted Sensitive Role
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: pengguna yang melakukan tindakan pemberian
- Offending access grants.Principal name: Akun layanan tidak aktif yang menerima peran sensitif
- Pemberian akses yang melanggar.Peran yang diberikan: Peran IAM sensitif yang ditetapkan
Di bagian Resource yang terpengaruh:
- Nama tampilan resource: organisasi, folder, atau project tempat peran IAM sensitif diberikan ke akun layanan yang tidak aktif.
Langkah 2: Pelajari metode serangan dan respons
- Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
- Hubungi pemilik kolom Email utama. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, di bagian Link terkait, klik link Cloud Logging URI untuk membuka Logs Explorer.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Hapus akses pemilik Email akun utama jika akun tersebut disusupi.
- Hapus peran IAM sensitif yang baru ditetapkan dari akun layanan yang tidak aktif.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Merespons notifikasi dari Cloud Customer Care.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pembuat rekomendasi IAM.
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity
Peniruan Identitas Akun Layanan yang Anomal terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
- Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
- Nama metode: metode yang dipanggil.
- Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: Nama cluster.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
- Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity
Anomalous Multistep Service Account Delegation
terdeteksi dengan memeriksa
Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan akun
layanan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
- Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
- Nama metode: metode yang dipanggil.
- Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
- Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
Anomalous Multistep Service Account Delegation
terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
- Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
- Nama metode: metode yang dipanggil
- Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
- Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity
Anomalous Service Account Impersonator
terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
Apa yang terdeteksi, terutama kolom berikut:
- Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
- Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
- Nama metode: metode yang dipanggil
- Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
Resource yang terpengaruh
Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
Langkah 2: Pelajari metode serangan dan respons
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
- Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
Peniru Akun Layanan Anomal terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka
temuan
Privilege Escalation: Anomalous Service Account Impersonator for Data Access
, seperti yang diarahkan dalam Meninjau temuan. Dalam detail temuan, di tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email akun utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
- Nama layanan: nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
- Nama metode: metode yang dipanggil
- Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
Langkah 2: Pelajari metode serangan dan respons
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
- Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tersebut tidak normal dan apakah ada akun yang telah disusupi.
- Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
- Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.
Privilege Escalation: ClusterRole with Privileged Verbs
Seseorang membuat objek ClusterRole
RBAC yang berisi kata kerja bind
, escalate
, atau
impersonate
. Subjek yang terikat dengan peran dengan kata kerja ini dapat
meniru identitas pengguna lain dengan hak istimewa yang lebih tinggi, terikat dengan objek Role
atau ClusterRole
tambahan yang berisi izin tambahan, atau mengubah izin
ClusterRole
mereka sendiri. Hal ini dapat menyebabkan subjek tersebut mendapatkan
hak istimewa cluster-admin
. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan
ini.
- Tinjau
ClusterRole
danClusterRoleBindings
terkait untuk memeriksa apakah subjek benar-benar memerlukan izin ini. - Jika memungkinkan, hindari membuat peran yang melibatkan kata kerja
bind
,escalate
, atauimpersonate
. - Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh prinsipal dalam log audit di Cloud Logging.
- Saat menetapkan izin dalam peran RBAC, gunakan prinsip hak istimewa terendah dan berikan izin minimum yang diperlukan untuk melakukan tugas. Menggunakan prinsip hak istimewa terendah akan mengurangi potensi eskalasi akses jika cluster Anda disusupi, dan mengurangi kemungkinan akses yang berlebihan menyebabkan insiden keamanan.
Privilege Escalation: ClusterRoleBinding to Privileged Role
Seseorang membuat ClusterRoleBinding
RBAC yang mereferensikan system:controller:clusterrole-aggregation-controller
ClusterRole
default. ClusterRole
default ini memiliki kata kerja escalate
, yang memungkinkan subjek mengubah
hak istimewa peran mereka sendiri, sehingga memungkinkan eskalasi hak istimewa. Untuk detail
selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Tinjau
ClusterRoleBinding
yang mereferensikansystem:controller:clusterrole-aggregation-controller
ClusterRole
. - Tinjau setiap modifikasi pada
system:controller:clusterrole-aggregation-controller
ClusterRole
. - Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya oleh
prinsipal yang membuat
ClusterRoleBinding
dalam log audit di Cloud Logging.
Privilege Escalation: Suspicious Kubernetes Container Names - Exploitation and Escape
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan alat umum yang digunakan untuk melarikan diri dari penampung atau untuk menjalankan serangan lain di cluster. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Pastikan Pod tersebut sah.
- Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
- Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
- Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
- Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.
Privilege Escalation: Workload Created with a Sensitive Host Path Mount
Seseorang membuat workload yang berisi pemasangan volume hostPath
ke
jalur sensitif di sistem file node host. Akses ke jalur ini di sistem file
host dapat digunakan untuk mengakses informasi sensitif atau dengan hak istimewa di
node dan untuk container escape. Jika memungkinkan, jangan izinkan volume hostPath
apa pun
di cluster Anda. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Tinjau beban kerja untuk menentukan apakah volume
hostPath
ini diperlukan untuk fungsi yang diinginkan. Jika ya, pastikan jalurnya mengarah ke direktori yang paling spesifik. Misalnya,/etc/myapp/myfiles
, bukan/
atau/etc
. - Tentukan apakah ada tanda-tanda aktivitas berbahaya lainnya yang terkait dengan beban kerja ini di log audit di Cloud Logging.
Untuk memblokir pemasangan volume hostPath
di cluster, lihat panduan untuk menerapkan Standar Keamanan Pod.
Privilege Escalation: Workload with shareProcessNamespace enabled
Seseorang men-deploy workload dengan opsi shareProcessNamespace
ditetapkan ke
true
, sehingga memungkinkan semua container berbagi namespace proses Linux yang sama. Hal ini
dapat memungkinkan penampung yang tidak tepercaya atau disusupi untuk meningkatkan hak istimewa dengan
mengakses dan mengontrol variabel lingkungan, memori, dan data sensitif
lainnya dari proses yang berjalan di penampung lain. Beberapa beban kerja mungkin memerlukan
fungsi ini untuk beroperasi karena alasan yang sah, seperti menangani log
penampung sidecar atau men-debug penampung. Untuk detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Pastikan bahwa beban kerja benar-benar memerlukan akses ke namespace proses bersama untuk semua penampung dalam beban kerja.
- Periksa apakah ada tanda-tanda aktivitas berbahaya lainnya oleh akun utama dalam log audit di Cloud Logging.
- Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah mereka melakukan tindakan tersebut.
- Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi legitimasi yang menyebabkan akun layanan melakukan tindakan ini.
Service account self-investigation
Kredensial akun layanan sedang digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama. Temuan ini menunjukkan bahwa kredensial akun layanan mungkin telah disusupi dan tindakan segera harus diambil.
Langkah 1: Tinjau detail temuan
Buka temuan
Discovery: Service Account Self-Investigation
, seperti yang diarahkan dalam Meninjau detail temuan sebelumnya di halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Keparahan: tingkat risiko yang ditetapkan untuk temuan. Tingkat keparahannya adalah
HIGH
jika panggilan API yang memicu temuan ini tidak sah—akun layanan tidak memiliki izin untuk mengkueri izin IAM-nya sendiri denganprojects.getIamPolicy
API. - Email utama: akun layanan yang berpotensi disusupi.
- IP Pemanggil: alamat IP internal atau eksternal
- Keparahan: tingkat risiko yang ditetapkan untuk temuan. Tingkat keparahannya adalah
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource:
- Nama lengkap project: project yang berisi kredensial akun yang berpotensi bocor.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Tinjau izin project dan akun layanan
Di konsol Google Cloud, buka halaman IAM.
Jika perlu, pilih project yang tercantum di kolom
projectID
dari JSON temuan.Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Principal email dan periksa izin yang ditetapkan.
Di konsol Google Cloud, buka halaman Akun Layanan.
Di halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi dan periksa kunci akun layanan serta tanggal pembuatan kunci.
Langkah 3: Periksa log
- Di tab Ringkasan pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
- Jika perlu, pilih project Anda.
- Di halaman yang dimuat, periksa log untuk aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
protoPayload.methodName="SetIamPolicy"
protoPayload.authenticationInfo.principalEmail="principalEmail"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penemuan Grup Izin: Grup Cloud.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang akunnya disusupi.
- Hapus akun layanan yang disusupi, lalu putar dan hapus semua kunci akses akun layanan untuk project yang disusupi. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
- Hapus resource project yang dibuat oleh akun yang disusupi, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
Inhibit System Recovery: Deleted Google Cloud Backup and DR host
Event Threat Detection memeriksa log audit untuk mendeteksi penghapusan host yang menjalankan aplikasi yang dilindungi oleh Layanan Pencadangan dan DR. Setelah host dihapus, aplikasi yang terkait dengan host tidak dapat dicadangkan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Deleted Google Cloud Backup and DR host
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
- Nama host: nama host yang terhubung ke Cadangan dan DR
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat host dihapus
- Link terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi untuk menentukan cara terbaik menyelesaikan temuan.
- Di project tempat tindakan dilakukan, buka konsol pengelolaan.
- Pastikan host yang dihapus tidak lagi ada dalam daftar host Cadangan dan DR.
- Pilih opsi Tambahkan Host untuk menambahkan kembali host yang dihapus.
Inhibit System Recovery: Google Cloud Backup and DR remove plan
Security Command Center memeriksa log audit untuk mendeteksi penghapusan anomali pada rencana pencadangan Layanan Pencadangan dan DR yang digunakan untuk menerapkan kebijakan pencadangan ke aplikasi.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR remove plan
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
- Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
- Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat rencana dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.
- Di project tempat tindakan dilakukan, buka konsol pengelolaan.
- Di tab App Manager, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.
Inhibit System Recovery: Google Cloud Backup and DR delete template
Security Command Center memeriksa log audit untuk mendeteksi penghapusan template yang tidak wajar. Template adalah konfigurasi dasar untuk pencadangan yang dapat diterapkan ke beberapa aplikasi.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR delete template
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat template dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.
- Di project tempat tindakan diambil, buka konsol pengelolaan.
- Di tab App Manager, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.
- Untuk menambahkan kembali template, buka tab Backup Plans, pilih Templates, lalu pilih opsi Create Template.
Inhibit System Recovery: Google Cloud Backup and DR delete policy
Log audit diperiksa untuk mendeteksi penghapusan kebijakan. Kebijakan menentukan cara pencadangan diambil dan tempat penyimpanannya.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR delete policy
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi cadangan
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat kebijakan dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI logging: link untuk membuka Logs Explorer.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab App Manager, pilih aplikasi yang terpengaruh dan tinjau setelan Policy yang diterapkan ke aplikasi tersebut.
Inhibit System Recovery: Google Cloud Backup and DR delete profile
Log audit diperiksa untuk mendeteksi penghapusan profil. Profil menentukan kumpulan penyimpanan yang digunakan untuk menyimpan cadangan.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR delete profile
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat profil dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Backup Plans, pilih Profiles untuk melihat daftar semua profil. 3. Tinjau profil untuk memverifikasi bahwa semua profil yang diperlukan sudah ada. 4. Jika profil yang dihapus tidak sengaja dihapus, pilih Buat Profil untuk menentukan target penyimpanan untuk perangkat Pencadangan dan DR Anda.
Inhibit System Recovery: Google Cloud Backup and DR delete storage pool
Log audit diperiksa untuk mendeteksi penghapusan kumpulan penyimpanan. Tampungan penyimpanan mengaitkan bucket Cloud Storage dengan Pencadangan dan DR.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR delete storage pool
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama penyimpanan gabungan: nama untuk bucket penyimpanan tempat cadangan disimpan
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat kumpulan penyimpanan dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Kelola, pilih Storage Pools untuk melihat daftar semua storage pool. 3. Tinjau pengaitan kumpulan penyimpanan dengan Appliance Pencadangan. 4. Jika appliance aktif tidak memiliki kumpulan penyimpanan yang terkait, pilih Tambahkan Kumpulan OnVault untuk menambahkannya kembali.
Data Destruction: Google Cloud Backup and DR expire image
Pelaku yang berpotensi berbahaya telah meminta untuk menghapus image cadangan.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR expire image
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
- Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
- Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat gambar cadangan dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Monitor dan pilih Tugas untuk meninjau status tugas penghapusan cadangan. 3. Jika tugas penghapusan tidak diotorisasi, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.
Data Destruction: Google Cloud Backup and DR expire all images
Pelaku yang berpotensi berbahaya telah meminta untuk menghapus semua image cadangan yang terkait dengan aplikasi.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR expire all images
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
- Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
- Nama profil: menentukan target penyimpanan untuk pencadangan data aplikasi dan VM
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat gambar cadangan dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI logging: link untuk membuka Logs Explorer.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Monitor dan pilih Tugas untuk meninjau status tugas penghapusan cadangan. 3. Jika tugas penghapusan tidak diotorisasi, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.
Data Destruction: Google Cloud Backup and DR remove appliance
Log audit diperiksa untuk mendeteksi penghapusan perangkat pencadangan dan pemulihan. Appliance pencadangan dan pemulihan adalah komponen penting untuk operasi pencadangan.
Langkah 1: Tinjau detail temuan
- Buka temuan
Inhibit System Recovery: Google Cloud Backup and DR remove appliance
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama perangkat: nama database atau VM yang terhubung ke Pencadangan dan DR
- Subjek utama: pengguna yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat appliance dihapus
- Link Terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
- URI Logging: link untuk membuka Logs Explorer
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik dalam menyelesaikan temuan. 1. Di project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Pengelola Aplikasi, temukan aplikasi yang terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi. 3. Untuk membuat appliance baru dan menerapkan kembali perlindungan ke aplikasi yang tidak dilindungi, buka Backup and DR di konsol Google Cloud, lalu pilih opsi Deploy another backup or recovery appliance. 4. Di menu Storage, konfigurasikan setiap appliance baru dengan target penyimpanan. Setelah Anda mengonfigurasi appliance, appliance akan muncul sebagai opsi saat Anda membuat profil untuk aplikasi.
Impact: Google Cloud Backup and DR reduced backup expiration
Event Threat Detection memeriksa log audit untuk mendeteksi apakah tanggal habis masa berlaku untuk pencadangan di Appliance Layanan Pencadangan dan DR telah dikurangi.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Impact: Google Cloud Backup and DR reduced backup expiration
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Deskripsi: informasi tentang deteksi
- Subjek utama: pengguna atau akun layanan yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat masa berlaku cadangan dikurangi.
- Link terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK.
- URI logging: link untuk membuka Logs Explorer.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.
- Di project tempat tindakan dilakukan, buka konsol pengelolaan.
- Di tab App Manager, temukan aplikasi yang terpengaruh yang masa berlaku cadangannya diperpendek dan pastikan masa berlakunya dimaksudkan oleh prinsipal.
- Untuk memulai pencadangan baru aplikasi, pilih Kelola Konfigurasi Pencadangan untuk membuat pencadangan on-demand atau untuk menjadwalkan pencadangan baru.
Impact: Google Cloud Backup and DR reduced backup frequency
Event Threat Detection memeriksa log audit untuk mendeteksi apakah rencana pencadangan telah diubah untuk mengurangi frekuensi pencadangan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Impact: Google Cloud Backup and DR reduced backup frequency
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. - Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Deskripsi: informasi tentang deteksi
- Subjek utama: pengguna atau akun layanan yang telah berhasil menjalankan tindakan
- Resource yang terpengaruh
- Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
- Link terkait, terutama kolom berikut:
- Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK.
- URI logging: link untuk membuka Logs Explorer.
- Yang terdeteksi, terutama kolom berikut:
Langkah 2: Pelajari metode serangan dan respons
Hubungi pemilik akun layanan di kolom Principal subject. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi secara cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik guna menyelesaikan temuan.
- Di project tempat tindakan dilakukan, buka konsol pengelolaan.
- Di tab App Manager, temukan aplikasi yang terpengaruh yang frekuensi pencadangannya dikurangi dan pastikan perubahan tersebut dimaksudkan oleh prinsipal.
- Untuk memulai pencadangan baru aplikasi, pilih Kelola Konfigurasi Pencadangan untuk membuat pencadangan on-demand atau untuk menjadwalkan pencadangan baru.
Impact: Suspicious Kubernetes Container Names - Coin Mining
Seseorang men-deploy Pod dengan konvensi penamaan yang mirip dengan penambang coin mata uang kripto umum. Hal ini mungkin merupakan upaya penyerang yang telah mendapatkan akses awal ke cluster untuk menggunakan resource cluster untuk penambangan mata uang kripto. Untuk mengetahui detail selengkapnya, lihat pesan log untuk pemberitahuan ini.
- Pastikan Pod tersebut sah.
- Tentukan apakah ada tanda-tanda lain aktivitas berbahaya dari Pod atau prinsipal dalam log audit di Cloud Logging.
- Jika akun utama bukan akun layanan (IAM atau Kubernetes), hubungi pemilik akun untuk mengonfirmasi apakah pemilik yang sah melakukan tindakan tersebut.
- Jika akun utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan legitimasinya.
- Jika Pod tidak sah, hapus Pod tersebut, beserta binding RBAC dan akun layanan terkait yang digunakan beban kerja dan yang mengizinkan pembuatannya.
Lateral Movement: Modified Boot Disk Attached to Instance
Log audit diperiksa untuk mendeteksi pergerakan disk yang mencurigakan di antara resource instance Compute Engine. Disk booting yang berpotensi dimodifikasi telah dilampirkan ke Compute Engine Anda.
Langkah 1: Tinjau detail temuan
- Buka temuan
Lateral Movement: Modify Boot Disk Attaching to Instance
, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan. Pada tab Ringkasan, catat nilai kolom berikut.
Di bagian Yang terdeteksi:
- Email utama: akun layanan yang melakukan tindakan
- Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan
- Nama metode: metode yang dipanggil
Langkah 2: Pelajari metode serangan dan respons
- Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan terkait.
- Hubungi pemilik akun layanan di kolom Principal email. Konfirmasi apakah pemilik sah melakukan tindakan tersebut.
Langkah 3: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project tempat tindakan diambil.
- Pertimbangkan untuk menggunakan Secure Boot untuk instance VM Compute Engine Anda.
- Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta memutar dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah dihapus, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diotorisasi.
- Membalas notifikasi dari Dukungan Google Cloud.
Privilege Escalation: AlloyDB Over-Privileged Grant
Mendeteksi saat semua hak istimewa atas database AlloyDB untuk PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Privilege Escalation: AlloyDB Over-Privileged Grant
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
- Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
- Kueri database: kueri PostgreSQL yang dieksekusi yang memberikan hak istimewa.
- Penerima akses database: penerima hak istimewa yang terlalu luas.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
- Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
- Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Yang terdeteksi, terutama kolom berikut:
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Tinjau hak istimewa database
- Hubungkan ke instance AlloyDB untuk PostgreSQL.
- Mencantumkan dan menampilkan hak istimewa akses
untuk hal berikut:
- Database. Gunakan meta-perintah
\l
atau\list
dan periksa hak istimewa yang ditetapkan untuk database yang tercantum di Nama tampilan database (dari Langkah 1). - Fungsi atau prosedur. Gunakan metaperintah
\df
dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur di database yang tercantum di Nama tampilan database (dari Langkah 1).
- Database. Gunakan meta-perintah
Langkah 3: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance Cloud SQL yang relevan.
- Di Logs Explorer, periksa log
pgaudit
PostgreSQL, yang mencatat kueri yang dieksekusi ke database, dengan menggunakan filter berikut:protoPayload.request.database="var class="edit">database"
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik instance yang memiliki pemberian hak istimewa yang berlebihan.
- Pertimbangkan untuk membatalkan semua izin untuk penerima yang tercantum di Penerima database hingga penyelidikan selesai.
- Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, cabut izin yang tidak diperlukan dari penerima (dari Penerima database di Langkah 1.
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables
Mendeteksi saat akun superuser database AlloyDB untuk PostgreSQL (postgres
)
menulis ke tabel pengguna. Superuser (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas
harus digunakan untuk aktivitas harian normal. Jika superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah meningkatkan hak istimewa atau telah menyusupi pengguna database default dan mengubah data. Hal ini juga dapat
menunjukkan praktik yang normal, tetapi tidak aman.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Privilege Escalation: AlloyDB Database Superuser Writes to User Tables
, seperti yang diarahkan dalam Meninjau temuan. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
- Nama pengguna database: superuser.
- Kueri database: kueri SQL yang dijalankan saat menulis ke tabel pengguna.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
- Nama lengkap induk: nama resource instance AlloyDB untuk PostgreSQL.
- Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Yang terdeteksi, terutama kolom berikut:
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Periksa log
- Di konsol Google Cloud, buka Logs Explorer dengan mengklik
link di
cloudLoggingQueryURI
(dari Langkah 1). Halaman Logs Explorer menyertakan semua log yang terkait dengan instance AlloyDB untuk PostgreSQL yang relevan. - Periksa log untuk log pgaudit PostgreSQL, yang berisi kueri
yang dieksekusi oleh superuser, dengan menggunakan filter berikut:
protoPayload.request.user="postgres"
Langkah 3: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksfiltrasi Melalui Layanan Web.
- Untuk menentukan apakah langkah perbaikan tambahan diperlukan, gabungkan hasil penyelidikan Anda dengan riset MITRE.
Langkah 4: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Tinjau pengguna yang diizinkan untuk terhubung ke database.
- Pertimbangkan untuk mengubah sandi superuser.
- Pertimbangkan untuk membuat pengguna baru dengan akses terbatas
untuk berbagai jenis kueri yang digunakan di instance.
- Berikan izin yang diperlukan kepada pengguna baru untuk menjalankan kueri mereka.
- Memperbarui kredensial untuk klien yang terhubung ke instance AlloyDB untuk PostgreSQL
Deteksi Metadata Admin Compute Engine
Persistence: GCE Admin Added SSH Key
Deskripsi | Tindakan | |
---|---|---|
Kunci metadata instance Compute Engine ssh-keys diubah pada instance yang telah dibuat.
|
Kunci metadata instance Compute Engine ssh-keys diubah pada instance yang dibuat lebih dari tujuh hari yang lalu. Verifikasi
apakah perubahan dilakukan secara sengaja oleh anggota, atau apakah
diterapkan oleh penyerang untuk memasukkan akses baru ke organisasi Anda.
|
Periksa log menggunakan filter berikut:
Ganti kode berikut:
|
Riset peristiwa yang memicu temuan ini: |
Persistence: GCE Admin Added Startup Script
Deskripsi | Tindakan | |
---|---|---|
Kunci metadata instance Compute Engine startup-script atau startup-script-url diubah pada instance yang telah dibuat.
|
Kunci metadata instance Compute Engine startup-script atau
startup-script-url diubah pada instance yang dibuat lebih dari tujuh hari yang lalu. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota, atau apakah
perubahan tersebut diterapkan oleh penyerang untuk memberikan akses baru ke organisasi Anda.
|
Periksa log menggunakan filter berikut:
Ganti kode berikut:
|
Riset peristiwa yang memicu temuan ini: |
Deteksi log Google Workspace
Jika Anda membagikan log Google Workspace ke Cloud Logging, Event Threat Detection akan menghasilkan temuan untuk beberapa ancaman Google Workspace. Karena log Google Workspace berada di tingkat organisasi, Event Threat Detection hanya dapat memindainya jika Anda mengaktifkan Security Command Center di tingkat organisasi.
Event Threat Detection memperkaya peristiwa log dan menulis temuan ke Security Command Center. Tabel berikut berisi ancaman Google Workspace, entri framework MITRE ATT&CK yang relevan, dan detail tentang peristiwa yang memicu temuan. Anda juga dapat memeriksa log menggunakan filter tertentu, dan menggabungkan semua informasi untuk merespons ancaman Google Workspace.
Initial Access: Disabled Password Leak
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Akun pelanggan dinonaktifkan karena kebocoran sandi terdeteksi. | Reset sandi untuk akun yang terpengaruh, dan sarankan anggota untuk menggunakan sandi unik yang kuat untuk akun perusahaan. |
Periksa log menggunakan filter berikut:
Ganti |
Riset peristiwa yang memicu temuan ini: |
Initial Access: Suspicious Login Blocked
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Login mencurigakan ke akun pelanggan terdeteksi dan diblokir. | Akun ini mungkin ditargetkan oleh penyerang. Pastikan akun pengguna mengikuti panduan keamanan organisasi Anda untuk sandi yang kuat dan autentikasi multifaktor. |
Periksa log menggunakan filter berikut:
Ganti |
Riset peristiwa yang memicu temuan ini:
|
Initial Access: Account Disabled Hijacked
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Akun pelanggan ditangguhkan karena aktivitas yang mencurigakan. | Akun ini dibajak. Reset sandi akun dan dorong pengguna untuk membuat sandi yang kuat dan unik untuk akun perusahaan. |
Periksa log menggunakan filter berikut:
Ganti |
Riset peristiwa yang memicu temuan ini:
|
Impair Defenses: Two Step Verification Disabled
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Seorang pelanggan menonaktifkan verifikasi 2 langkah. | Verifikasi apakah pengguna bermaksud menonaktifkan verifikasi 2 langkah. Jika organisasi Anda mewajibkan verifikasi 2 langkah, pastikan pengguna segera mengaktifkannya. |
Periksa log menggunakan filter berikut:
Ganti |
Riset peristiwa yang memicu temuan ini:
|
Initial Access: Government Based Attack
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Penyerang yang didukung pemerintah mungkin telah mencoba menyusupi akun atau komputer anggota. | Akun ini mungkin ditargetkan oleh penyerang. Pastikan akun pengguna mengikuti panduan keamanan organisasi Anda untuk sandi yang kuat dan autentikasi multifaktor. |
Periksa log menggunakan filter berikut:
Ganti |
Riset peristiwa yang memicu temuan ini:
|
Persistence: SSO Enablement Toggle
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Setelan Aktifkan SSO (single sign-on) di akun admin dinonaktifkan. | Setelan SSO untuk organisasi Anda telah diubah. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota atau apakah diterapkan oleh penyerang untuk memberikan akses baru ke organisasi Anda. |
Periksa log menggunakan filter berikut:
Ganti kode berikut:
|
Riset peristiwa yang memicu temuan ini: |
Persistence: SSO Settings Changed
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Setelan SSO untuk akun admin telah diubah. | Setelan SSO untuk organisasi Anda telah diubah. Verifikasi apakah perubahan dilakukan secara sengaja oleh anggota atau apakah diterapkan oleh penyerang untuk memberikan akses baru ke organisasi Anda. |
Periksa log menggunakan filter berikut:
Ganti kode berikut:
|
Riset peristiwa yang memicu temuan ini: |
Impair Defenses: Strong Authentication Disabled
Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.
Deskripsi | Tindakan | |
---|---|---|
Verifikasi 2 langkah dinonaktifkan untuk organisasi. | Verifikasi 2 langkah tidak lagi diperlukan untuk organisasi Anda. Cari tahu apakah ini adalah perubahan kebijakan yang disengaja oleh administrator, atau apakah ini adalah upaya oleh penyerang untuk mempermudah pembajakan akun. |
Periksa log menggunakan filter berikut:
Ganti |
Riset peristiwa yang memicu temuan ini: |
Merespons ancaman Google Workspace
Temuan untuk Google Workspace hanya tersedia untuk pengaktifan Security Command Center di tingkat organisasi. Log Google Workspace tidak dapat dipindai untuk aktivasi level project.
Jika Anda adalah Admin Google Workspace, Anda dapat menggunakan alat keamanan layanan untuk mengatasi ancaman ini:
Alat ini mencakup pemberitahuan, dasbor keamanan, rekomendasi keamanan, dan dapat membantu Anda menyelidiki dan mengatasi ancaman.
Jika Anda bukan Admin Google Workspace, lakukan hal berikut:
- Jika Anda masih memiliki akses ke akun Anda, ubah atau reset sandi Anda dan aktifkan Verifikasi 2 Langkah.
- Hubungi Admin Google Workspace atau tim di perusahaan Anda yang mengelola akun Google Workspace Anda. Gunakan temuan ini sebagai indikasi bahwa akun mungkin telah disusupi.
Deteksi ancaman Cloud IDS
Cloud IDS: THREAT_ID
Temuan Cloud IDS dibuat oleh Cloud IDS, yang merupakan layanan keamanan yang memantau traffic ke dan dari resource Google Cloud Anda untuk mendeteksi ancaman. Saat mendeteksi ancaman, Cloud IDS akan mengirimkan informasi tentang ancaman tersebut, seperti alamat IP sumber, alamat tujuan, dan nomor port, ke Event Threat Detection, yang kemudian mengeluarkan temuan ancaman.
Langkah 1: Tinjau detail temuan
Buka temuan
Cloud IDS: THREAT_ID
, seperti yang diarahkan dalam Meninjau temuan.Di detail temuan, pada tab Ringkasan, tinjau nilai yang tercantum di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Protokol: protokol jaringan yang digunakan
- Waktu peristiwa: Kapan peristiwa terjadi
- Deskripsi: Informasi selengkapnya tentang temuan
- Keparahan: Tingkat keparahan notifikasi
- IP tujuan: IP target traffic jaringan
- Port Tujuan: Port target traffic jaringan
- IP sumber: IP sumber traffic jaringan
- Port Sumber: Port sumber traffic jaringan
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: Project yang berisi jaringan dengan ancaman
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Cloud IDS Logging - entri ini memiliki informasi yang diperlukan untuk menelusuri Threat Vault Palo Alto Networks
- Layanan Deteksi
- Menemukan Kategori Nama ancaman Cloud IDS
- Yang terdeteksi, terutama kolom berikut:
Untuk melihat JSON lengkap untuk temuan, klik tab JSON.
Langkah 2: Cari metode serangan dan respons
Setelah meninjau detail temuan, lihat dokumentasi Cloud IDS tentang menyelidiki pemberitahuan ancaman untuk menentukan respons yang sesuai.
Anda dapat menemukan informasi selengkapnya tentang peristiwa yang terdeteksi di entri log asli dengan mengklik link di kolom Cloud Logging URI di detail temuan.
Respons Container Threat Detection
Untuk mempelajari Container Threat Detection lebih lanjut, lihat cara kerja Container Threat Detection.
Added Binary Executed
Biner yang bukan bagian dari image penampung asli telah
dijalankan. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Ini adalah
temuan dengan tingkat keparahan rendah, karena organisasi Anda mungkin tidak mengikuti
praktik terbaik ini. Ada temuan
Execution: Added Malicious Binary Executed
yang sesuai jika hash
biner adalah indikator gangguan (IoC) yang diketahui. Untuk menanggapi temuan ini,
lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Added Binary Executed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang ditambahkan.
- Arguments: argumen yang diberikan saat memanggil biner yang ditambahkan.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik JSON dan perhatikan kolom berikut:
resource
:project_display_name
: nama project yang berisi cluster.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang di-deploy.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan karena kegagalan untuk mengikuti praktik terbaik.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project project_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project project_name
Ganti kode berikut:
cluster_name
: cluster yang tercantum diresource.labels.cluster_name
location
: lokasi yang tercantum diresource.labels.location
project_name
: nama project yang tercantum diresource.project_display_name
Ambil biner yang ditambahkan dengan menjalankan:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_file
Ganti
local_file
dengan jalur file lokal untuk menyimpan biner yang ditambahkan.Hubungkan ke lingkungan penampung dengan menjalankan:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Jika biner dimaksudkan untuk disertakan dalam penampung, build ulang image penampung dengan menyertakan biner. Dengan cara ini, penampung dapat tidak dapat diubah.
- Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Added Library Loaded
Library yang bukan bagian dari image penampung asli dimuat.
Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk
mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Ini adalah temuan dengan tingkat keparahan rendah, karena organisasi Anda mungkin tidak mengikuti praktik terbaik ini. Ada
temuan Execution: Added Malicious Library Loaded
yang sesuai jika hash
biner adalah indikator kompromi (IoC) yang diketahui. Untuk menanggapi
temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Added Library Loaded
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur lengkap biner proses yang memuat library.
- Library: detail tentang library yang ditambahkan.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON dan catat kolom berikut:
resource
:project_display_name
: nama project yang berisi aset.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang dieksekusi.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan karena kegagalan untuk mengikuti praktik terbaik.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di
resource.name
. Catat metadata apa pun tentang cluster dan pemiliknya.Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell.
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
Ambil library yang ditambahkan dengan menjalankan:
kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name local_file
Ganti local_file dengan jalur file lokal untuk menyimpan library yang ditambahkan.
Hubungkan ke lingkungan penampung dengan menjalankan:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Modul Bersama.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Jika library dimaksudkan untuk disertakan dalam penampung, build ulang image penampung dengan menyertakan library. Dengan cara ini, penampung dapat tidak dapat diubah.
- Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Added Malicious Binary Executed
Biner berbahaya yang bukan bagian dari image penampung asli telah dijalankan. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Added Malicious Binary Executed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang ditambahkan.
- Arguments: argumen yang diberikan saat memanggil biner yang ditambahkan.
- Containers: nama penampung yang terpengaruh.
- URI Penampung: nama image container yang di-deploy.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON dan catat kolom berikut:
sourceProperties
:VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project project_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project project_name
Ganti kode berikut:
cluster_name
: cluster yang tercantum diresource.labels.cluster_name
location
: lokasi yang tercantum diresource.labels.location
project_name
: nama project yang tercantum diresource.project_display_name
Ambil biner berbahaya yang ditambahkan:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_file
Ganti
local_file
dengan jalur lokal untuk menyimpan biner berbahaya yang ditambahkan.Hubungkan ke lingkungan penampung:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Added Malicious Library Loaded
Library berbahaya yang bukan bagian dari image penampung asli dimuat. Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Added Malicious Library Loaded
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur lengkap biner proses yang memuat library.
- Library: detail tentang library yang ditambahkan.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Containers: nama penampung yang terpengaruh.
- URI Penampung: nama image container yang di-deploy.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON dan catat kolom berikut:
sourceProperties
:VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell.
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
Ambil library berbahaya yang ditambahkan:
kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name local_file
Ganti local_file dengan jalur lokal untuk menyimpan library berbahaya yang ditambahkan.
Hubungkan ke lingkungan penampung:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Modul Bersama.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Built in Malicious Binary Executed
Biner yang dieksekusi, dengan biner:
- Disertakan dalam image penampung asli.
- Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Penyerang memiliki kontrol atas repositori image container atau pipeline pembuatan, tempat biner berbahaya dimasukkan ke dalam image container. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Built in Malicious Binary Executed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner bawaan.
- Argumen: argumen yang diberikan saat memanggil biner bawaan.
- Containers: nama penampung yang terpengaruh.
- URI Penampung: nama image container yang di-deploy.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik JSON dan perhatikan kolom berikut:
sourceProperties
:VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project project_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project project_name
Ganti kode berikut:
cluster_name
: cluster yang tercantum diresource.labels.cluster_name
location
: lokasi yang tercantum diresource.labels.location
project_name
: nama project yang tercantum diresource.project_display_name
Ambil biner berbahaya bawaan:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_file
Ganti
local_file
dengan jalur lokal untuk menyimpan biner berbahaya tin yang di-build.Hubungkan ke lingkungan penampung:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Container Escape
Biner alat mencurigakan yang diketahui untuk aktivitas container escape telah dieksekusi. Hal ini dapat menunjukkan upaya escape container, saat proses di dalam container mencoba keluar dari isolasinya dan berinteraksi dengan sistem host atau container lain. Ini adalah temuan dengan tingkat keparahan tinggi, karena menunjukkan bahwa penyerang mungkin mencoba mendapatkan akses di luar batas penampung, yang berpotensi membahayakan host atau infrastruktur lainnya. Container escape dapat terjadi karena kesalahan konfigurasi, kerentanan dalam runtime container, atau eksploitasi container dengan hak istimewa.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Container Escape
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang dieksekusi.
- Argumen: argumen yang diteruskan selama eksekusi biner.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource
:project_display_name
: nama project yang berisi cluster.
finding
:processes
:binary
:path
: jalur lengkap biner yang dieksekusi.
args
: argumen yang diberikan saat menjalankan biner.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang di-deploy.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.namespace_name="POD_NAMESPACE"
resource.labels.pod_name="POD_NAME"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
POD_NAME
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="INSTANCE_ID"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials CLUSTER_NAME \ --zone LOCATION \ --project PROJECT_NAME
Untuk cluster regional:
gcloud container clusters get-credentials CLUSTER_NAME \ --region LOCATION \ --project PROJECT_NAME
Ganti kode berikut:
CLUSTER_NAME
: cluster yang tercantum diresource.labels.cluster_name
LOCATION
: lokasi yang tercantum diresource.labels.location
PROJECT_NAME
: nama project yang tercantum diresource.project_display_name
Ambil biner yang dieksekusi:
kubectl cp \ POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \ -c CONTAINER_NAME \ LOCAL_FILE
Ganti
local_file
dengan jalur file lokal untuk menyimpan biner yang ditambahkan.Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:
kubectl exec \ --namespace=POD_NAMESPACE \ -ti POD_NAME \ -c CONTAINER_NAME \ -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Escape to Host.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Kubernetes Attack Tool Execution
Alat serangan Kubernetes dijalankan dalam penampung, yang menunjukkan upaya potensial untuk mengeksploitasi kerentanan di lingkungan Kubernetes. Alat ini sering digunakan oleh penyerang untuk mengeskalasikan hak istimewa, melakukan gerakan lateral, atau membahayakan resource lain dalam cluster. Ini adalah temuan dengan tingkat keparahan kritis, karena eksekusi alat tersebut menunjukkan upaya yang disengaja untuk mendapatkan kontrol atas komponen Kubernetes, seperti server API, node, atau workload. Penyerang mungkin menggunakan alat ini untuk mengabaikan kontrol keamanan, memanipulasi konfigurasi, atau mengeksfiltrasi data sensitif.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Kubernetes Attack Tool Execution
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang dieksekusi.
- Argumen: argumen yang diteruskan selama eksekusi biner.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource
:project_display_name
: nama project yang berisi cluster.
finding
:processes
:binary
:path
: jalur lengkap biner yang dieksekusi.
args
: argumen yang diberikan saat menjalankan biner.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang di-deploy.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.namespace_name="POD_NAMESPACE"
resource.labels.pod_name="POD_NAME"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
POD_NAME
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="INSTANCE_ID"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials CLUSTER_NAME --zone LOCATION --project PROJECT_NAME
Untuk cluster regional:
gcloud container clusters get-credentials CLUSTER_NAME --region LOCATION --project PROJECT_NAME
Ganti kode berikut:
CLUSTER_NAME
: cluster yang tercantum diresource.labels.cluster_name
LOCATION
: lokasi yang tercantum diresource.labels.location
PROJECT_NAME
: nama project yang tercantum diresource.project_display_name
Ambil biner yang dieksekusi:
kubectl cp \ POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \ -c CONTAINER_NAME \ LOCAL_FILE
Ganti
LOCAL_FILE
dengan jalur file lokal untuk menyimpan biner yang dieksekusi.Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:
kubectl exec \ --namespace=POD_NAMESPACE \ -ti POD_NAME \ -c CONTAINER_NAME \ -- /bin/sh
Perintah ini mengharuskan penampung memiliki shell yang diinstal di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Obtain Capabilities: Tool.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Local Reconnaissance Tool Execution
Alat pengintaian lokal dijalankan dalam penampung, yang menunjukkan bahwa penyerang mengumpulkan informasi tentang lingkungan penampung, seperti konfigurasi jaringan, proses aktif, atau sistem file yang terpasang. Jenis alat ini sering digunakan pada tahap awal serangan untuk memetakan target potensial dan mengidentifikasi kelemahan. Ini adalah temuan dengan tingkat keparahan sedang, karena menunjukkan bahwa penyerang secara aktif menyelidiki penampung untuk peluang eksploitasi lebih lanjut.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Local Reconnaissance Tool Execution
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang dieksekusi.
- Argumen: argumen yang diteruskan selama eksekusi biner.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource
:project_display_name
: nama project yang berisi cluster.
finding
:processes
:binary
:path
: jalur lengkap biner yang dieksekusi.
args
: argumen yang diberikan saat menjalankan biner.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang di-deploy.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini bersifat berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.namespace_name="POD_NAMESPACE"
resource.labels.pod_name="POD_NAME"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
POD_NAME
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="INSTANCE_ID"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials CLUSTER_NAME \ --zone LOCATION \ --project PROJECT_NAME
Untuk cluster regional:
gcloud container clusters get-credentials CLUSTER_NAME \ --region LOCATION \ --project PROJECT_NAME
Ganti kode berikut:
CLUSTER_NAME
: cluster yang tercantum diresource.labels.cluster_name
LOCATION
: lokasi yang tercantum diresource.labels.location
PROJECT_NAME
: nama project yang tercantum diresource.project_display_name
Ambil biner yang ditambahkan:
kubectl cp \ POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \ -c CONTAINER_NAME \ LOCAL_FILE
Ganti
LOCAL_FILE
dengan jalur file lokal untuk menyimpan biner yang ditambahkan.Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:
kubectl exec \ --namespace=POD_NAMESPACE \ -ti POD_NAME \ -c CONTAINER_NAME \ -- /bin/sh
Perintah ini mengharuskan penampung memiliki shell yang diinstal di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Active Scanning.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Malicious Python executed
Model machine learning mengidentifikasi kode Python yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Python untuk mentransfer alat dan menjalankan perintah tanpa biner. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Menggunakan skrip untuk mentransfer alat dapat meniru teknik transfer alat masuk penyerang dan menyebabkan deteksi yang tidak diinginkan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Malicious Python executed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: detail tentang penafsir yang memanggil skrip.
- Script: jalur absolut nama skrip di disk; atribut ini hanya muncul untuk skrip yang ditulis ke disk, bukan untuk eksekusi skrip literal—misalnya,
python3 -c
. - Argumen: argumen yang diberikan saat memanggil skrip.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster, termasuk nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
finding
:processes
:script
:contents
: konten skrip yang dieksekusi, yang mungkin terpotong karena alasan performa; ini dapat membantu investigasi Andasha256
: hash SHA-256 dariscript.contents
resource
:project_display_name
: nama project yang berisi aset.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang dieksekusi.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Misalnya, jika skrip menghapus biner, periksa temuan yang terkait dengan biner.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di
resource.name
dan namespace Pod yang tercantum diPod_Namespace
, jika perlu.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Klik nama cluster yang ditampilkan di
resource.labels.cluster_name
.Di halaman Cluster, klik Connect, lalu klik Run in Cloud Shell.
Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.
Tekan Enter dan, jika dialog Authorize Cloud Shell muncul, klik Authorize.
Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penafsir Perintah dan Skrip, Transfer Alat Masuk.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Jika Python membuat perubahan yang diinginkan pada penampung, build ulang image penampung sehingga tidak ada perubahan yang diperlukan. Dengan cara ini, penampung dapat tidak dapat diubah.
- Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Modified Malicious Binary Executed
Biner yang dieksekusi, dengan biner:
- Disertakan dalam image penampung asli.
- Diubah selama runtime penampung.
- Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Modified Malicious Binary Executed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang diubah.
- Argumen: argumen yang diberikan saat memanggil biner yang dimodifikasi.
- Containers: nama penampung yang terpengaruh.
- URI Penampung: nama image container yang di-deploy.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster termasuk nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik JSON dan perhatikan kolom berikut:
sourceProperties
:VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project project_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project project_name
Ganti kode berikut:
cluster_name
: cluster yang tercantum diresource.labels.cluster_name
location
: lokasi yang tercantum diresource.labels.location
project_name
: nama project yang tercantum diresource.project_display_name
Ambil biner berbahaya yang dimodifikasi:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_file
Ganti
local_file
dengan jalur lokal untuk menyimpan biner berbahaya yang dimodifikasi.Hubungkan ke lingkungan penampung:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, API Native.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Execution: Modified Malicious Library Loaded
Library yang dimuat, dengan library:
- Disertakan dalam image penampung asli.
- Diubah selama runtime penampung.
- Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Penyerang dapat memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Modified Malicious Library Loaded
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur lengkap biner proses yang memuat library.
- Library: detail tentang library yang diubah.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Containers: nama penampung yang terpengaruh.
- URI Penampung: nama image container yang di-deploy.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON dan catat kolom berikut:
sourceProperties
:VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di
resource.name
. Catat metadata apa pun tentang cluster dan pemiliknya.Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan dan namespace Pod yang tercantum di
Pod_Namespace
, jika diperlukan.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell.
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
Ambil library berbahaya yang dimodifikasi:
kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name local_file
Ganti local_file dengan jalur lokal untuk menyimpan library berbahaya yang dimodifikasi.
Hubungkan ke lingkungan penampung:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk, Modul Bersama.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Malicious Script Executed
Model machine learning mengidentifikasi kode Bash yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat dan menjalankan perintah tanpa biner. Memastikan bahwa penampung Anda tidak dapat diubah adalah praktik terbaik yang penting. Menggunakan skrip untuk mentransfer alat dapat meniru teknik transfer alat masuk penyerang dan menyebabkan deteksi yang tidak diinginkan.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Malicious Script Executed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: detail tentang penafsir yang memanggil skrip.
- Script: jalur absolut nama skrip di disk; atribut ini hanya muncul untuk skrip yang ditulis ke disk, bukan untuk eksekusi skrip literal, misalnya,
bash -c
. - Argumen: argumen yang diberikan saat memanggil skrip.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama resource lengkap cluster, termasuk nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
finding
:processes
:script
:contents
: konten skrip yang dieksekusi, yang mungkin terpotong karena alasan performa; ini dapat membantu investigasi Andasha256
: hash SHA-256 dariscript.contents
resource
:project_display_name
: nama project yang berisi aset.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.Container_Image_Uri
: nama image container yang dieksekusi.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung ini. Misalnya, jika skrip menghapus biner, periksa temuan yang terkait dengan biner.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di baris Resource full name di tab Summary dari detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di
resource.name
dan namespace Pod yang tercantum diPod_Namespace
, jika perlu.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Klik nama cluster yang ditampilkan di
resource.labels.cluster_name
.Di halaman Cluster, klik Connect, lalu klik Run in Cloud Shell.
Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.
Tekan enter dan, jika dialog Izinkan Cloud Shell muncul, klik Izinkan.
Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Jika skrip membuat perubahan yang diinginkan pada penampung, build ulang image penampung sehingga tidak ada perubahan yang diperlukan. Dengan cara ini, penampung dapat tidak dapat diubah.
- Jika tidak, hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Malicious URL Observed
Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang dapat dieksekusi. Penyerang dapat memuat malware atau library berbahaya melalui URL berbahaya.
Untuk menanggapi temuan ini, lakukan langkah-langkah berikut.
Langkah 1: Tinjau detail temuan
Buka temuan
Malicious URL Observed
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- URI: URI berbahaya yang diamati.
- Menambahkan biner: jalur lengkap biner proses yang menerima argumen yang berisi URL berbahaya.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Variabel lingkungan: variabel lingkungan yang berlaku saat biner proses dipanggil.
- Containers: nama penampung.
- Pod Kubernetes: nama dan namespace pod.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: nama resource yang terpengaruh.
- Nama lengkap resource: nama lengkap resource
cluster. Nama resource lengkap mencakup informasi
berikut:
- Project yang berisi cluster:
projects/PROJECT_ID
- Lokasi cluster:
zone/ZONE
ataulocations/LOCATION
- Nama cluster:
projects/CLUSTER_NAME
- Project yang berisi cluster:
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Di tab JSON, di atribut
sourceProperties
, perhatikan nilai propertiVM_Instance_Name
.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang muncul di Nama lengkap resource (
resource.name
), jika perlu. Nama project muncul setelah/projects/
dalam nama resource lengkap.Klik nama cluster yang Anda catat di Nama tampilan resource (
resource.display_name
) dari ringkasan temuan. Halaman Cluster akan terbuka.Di bagian Metadata pada halaman **Detail cluster, catat informasi yang ditentukan pengguna yang mungkin berguna dalam menyelesaikan ancaman, seperti informasi yang mengidentifikasi pemilik cluster.
Klik tab Node.
Dari node yang tercantum, pilih node yang cocok dengan nilai
VM_Instance_Name
yang Anda catat dalam JSON penemuan sebelumnya.Di tab Details pada halaman Node details, di bagian Annotations, catat nilai anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang Anda catat di Nama lengkap resource (
resource.name
) cluster dalam ringkasan temuan, jika perlu.Klik Tampilkan beban kerja sistem.
Filter daftar workload berdasarkan nama cluster yang Anda catat di Nama lengkap resource (
resource.name
) dari ringkasan temuan dan, jika diperlukan, Namespace (kubernetes.pods.ns
) pod yang Anda catat.Klik nama workload yang cocok dengan nilai properti
VM_Instance_Name
yang Anda catat dalam JSON temuan sebelumnya. Halaman Pod details akan terbuka.Di halaman Detail Pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang muncul di Nama lengkap resource (
resource.name
), jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan Log pod untuk pod Anda (
kubernetes.pods.name
) menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="PROJECT_ID"
resource.labels.location="LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.namespace_name="NAMESPACE_NAME"
resource.labels.pod_name="POD_NAME"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="PROJECT_ID"
resource.labels.location="LOCATION_OR_ZONE"
resource.labels.cluster_name="CLUSTER_NAME/var>"
POD_NAME
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="INSTANCE_ID"
- Temukan Log pod untuk pod Anda (
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Klik nama cluster yang ditampilkan di
resource.labels.cluster_name
.Di halaman Cluster, klik Connect, lalu klik Run in Cloud Shell.
Cloud Shell meluncurkan dan menambahkan perintah untuk cluster di terminal.
Tekan enter dan, jika dialog Izinkan Cloud Shell muncul, klik Izinkan.
Hubungkan ke lingkungan penampung dengan menjalankan perintah berikut:
kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh
Ganti
CONTAINER_NAME
dengan nama penampung yang Anda catat dalam ringkasan temuan sebelumnya.Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.
Langkah 6: Pelajari metode serangan dan respons
- Periksa status situs Safe Browsing untuk mendapatkan detail tentang alasan URL diklasifikasikan sebagai berbahaya.
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Masuk.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Reverse Shell
Proses dimulai dengan pengalihan streaming ke soket yang terhubung secara jarak jauh. Membuat shell yang terhubung ke jaringan dapat memungkinkan penyerang melakukan tindakan arbitrer setelah penyusupan awal yang terbatas. Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Reverse Shell
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut proses yang dimulai dengan pengalihan streaming ke soket jarak jauh.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource cluster.
- Nama lengkap project: project Google Cloud yang terpengaruh.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource
:project_display_name
: nama project yang berisi aset.
sourceProperties
:Pod_Namespace
: nama namespace Kubernetes Pod.Pod_Name
: nama Pod GKE.Container_Name
: nama penampung yang terpengaruh.VM_Instance_Name
: nama node GKE tempat Pod dieksekusi.Reverse_Shell_Stdin_Redirection_Dst_Ip
: alamat IP jarak jauh koneksiReverse_Shell_Stdin_Redirection_Dst_Port
: port jarak jauhReverse_Shell_Stdin_Redirection_Src_Ip
: alamat IP lokal koneksiReverse_Shell_Stdin_Redirection_Src_Port
: port lokalContainer_Image_Uri
: nama image container yang dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di
resource.name
. Catat metadata apa pun tentang cluster dan pemiliknya.Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Filter cluster yang tercantum di
resource.name
dan namespace Pod yang tercantum diPod_Namespace
, jika perlu.Pilih Pod yang tercantum di
Pod_Name
. Perhatikan metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Klik Aktifkan Cloud Shell.
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
Untuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
Luncurkan shell dalam lingkungan container dengan menjalankan:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.Untuk melihat semua proses yang berjalan di penampung, jalankan perintah berikut di shell penampung:
ps axjf
Perintah ini mengharuskan penampung menginstal
/bin/ps
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Unexpected Child Shell
Container Threat Detection mengamati proses yang tiba-tiba menghasilkan proses shell turunan. Peristiwa ini mungkin menunjukkan bahwa penyerang mencoba menyalahgunakan perintah dan skrip shell.
Untuk menanggapi temuan ini, lakukan langkah-langkah berikut.
Langkah 1: Tinjau detail temuan
Buka temuan
Unexpected Child Shell
seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Proses induk: proses yang secara tidak terduga membuat proses shell turunan.
- Proses turunan: proses shell turunan.
- Argumen: argumen yang diberikan ke biner proses shell turunan.
- Variabel lingkungan: variabel lingkungan biner proses shell turunan.
- Containers: nama penampung.
- URI Container: URI image container.
- Pod Kubernetes: nama dan namespace Pod.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama tampilan resource: nama resource yang terpengaruh.
- Nama lengkap resource: nama lengkap resource
cluster. Nama resource lengkap mencakup informasi
berikut:
- Project yang berisi cluster:
projects/PROJECT_ID
- Lokasi cluster:
zone/ZONE
ataulocations/LOCATION
- Nama cluster:
projects/CLUSTER_NAME
- Project yang berisi cluster:
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik tab JSON dan catat kolom berikut:
+processes
: array yang berisi semua proses yang terkait dengan temuan. Array ini mencakup proses shell turunan dan proses induk.
+resource
:
+project_display_name
: Nama project yang berisi aset.
+sourceProperties
:
+VM_Instance_Name
: nama node GKE tempat
Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud, buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
, jika perlu.Pilih cluster yang tercantum di
resource.name
. Catat metadata apa pun tentang cluster dan pemiliknya.Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name
.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id
.
Langkah 3: Tinjau Pod
Di konsol Google Cloud, buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud, pilih project yang Anda catat di Nama lengkap resource (
resource.name
) cluster dalam ringkasan temuan, jika perlu.Klik Tampilkan beban kerja sistem.
Filter daftar workload berdasarkan nama cluster yang Anda catat di Nama lengkap resource (
resource.name
) dari ringkasan temuan dan, jika diperlukan, Namespace (kubernetes.pods.ns
) pod yang Anda catat.Klik nama workload yang cocok dengan nilai properti
VM_Instance_Name
yang Anda catat dalam JSON temuan sebelumnya. Halaman Pod details akan terbuka.Di halaman Detail Pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.
Langkah 4: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
.Tetapkan Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Name
menggunakan filter berikut:resource.type="k8s_container"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
resource.labels.namespace_name="Pod_Namespace"
resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
resource.type="k8s_cluster"
resource.labels.project_id="resource.project_display_name"
resource.labels.location="location"
resource.labels.cluster_name="cluster_name"
Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"
resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki penampung yang sedang berjalan
Jika penampung masih berjalan, Anda mungkin dapat menyelidiki lingkungan penampung secara langsung.
Buka konsol Google Cloud.
Di toolbar konsol Google Cloud, pilih project yang tercantum di
resource.project_display_name
.Klik Aktifkan Cloud Shell.
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona, jalankan perintah berikut:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
Untuk cluster regional, jalankan perintah berikut:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
Untuk meluncurkan shell dalam lingkungan container, jalankan perintah berikut:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
Perintah ini mengharuskan penampung menginstal shell di
/bin/sh
.Untuk melihat semua proses yang berjalan di penampung, jalankan perintah berikut di shell penampung:
ps axjf
Perintah ini mengharuskan penampung menginstal
/bin/ps
.
Langkah 6: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter: Unix Shell.
- Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
- Hubungi pemilik project yang memiliki penampung yang disusupi.
- Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.
Respons Virtual Machine Threat Detection
Untuk mempelajari VM Threat Detection lebih lanjut, lihat ringkasan VM Threat Detection.
Defense Evasion: Rootkit
Deteksi Ancaman VM mendeteksi kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui di instance VM Compute Engine.
Kategori temuan Defense Evasion: Rootkit
adalah superset dari kategori temuan
berikut. Oleh karena itu, bagian ini juga berlaku untuk kategori penemuan
ini.
Defense Evasion: Unexpected ftrace handler
(Pratinjau)Defense Evasion: Unexpected interrupt handler
(Pratinjau)Defense Evasion: Unexpected kernel code modification
(Pratinjau)Defense Evasion: Unexpected kernel modules
(Pratinjau)Defense Evasion: Unexpected kernel read-only data modification
(Pratinjau)Defense Evasion: Unexpected kprobe handler
(Pratinjau)Defense Evasion: Unexpected processes in runqueue
(Pratinjau)Defense Evasion: Unexpected system call handler
(Pratinjau)
Untuk menanggapi temuan ini, lakukan hal berikut.
Langkah 1: Tinjau detail temuan
Buka temuan, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
Pada tab Ringkasan, tinjau informasi di bagian berikut:
Apa yang terdeteksi, terutama kolom berikut:
- Nama rootkit kernel: nama keluarga rootkit yang
terdeteksi—misalnya,
Diamorphine
. - Halaman kode kernel yang tidak terduga: apakah halaman kode kernel ada di wilayah kode kernel atau modul yang tidak diharapkan.
- Pengendali panggilan sistem yang tidak terduga: apakah pengendali panggilan sistem ada di wilayah kode kernel atau modul yang tidak diharapkan.
- Nama rootkit kernel: nama keluarga rootkit yang
terdeteksi—misalnya,
Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.
Langkah 2: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Nama lengkap resource di tab Ringkasan dari detail temuan.
Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.
Langkah 3: Tinjau izin dan setelan
- Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
- Tinjau detail instance VM, termasuk setelan jaringan dan akses.
Langkah 4: Periksa VM yang terpengaruh
Ikuti petunjuk di Memeriksa VM untuk menemukan tanda-tanda gangguan memori kernel.
Langkah 5: Pelajari metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk Defense Evasion.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 6: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
Hubungi pemilik VM.
Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.
Hapus instance VM.
Untuk investigasi lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.
Execution: Cryptocurrency Mining Hash Match
Deteksi Ancaman VM mendeteksi aktivitas penambangan mata uang kripto dengan mencocokkan hash memori program yang berjalan dengan hash memori software penambangan mata uang kripto yang diketahui.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Cryptocurrency Mining Hash Match
, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
Apa yang terdeteksi, terutama kolom berikut:
- Keluarga biner: aplikasi mata uang kripto yang terdeteksi.
- Biner program: jalur absolut proses.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Nama proses: nama proses yang berjalan di instance VM yang dikaitkan dengan kecocokan tanda tangan yang terdeteksi.
Deteksi Ancaman VM dapat mengenali build kernel dari distribusi Linux utama. Jika dapat mengenali build kernel VM yang terpengaruh, VM tersebut dapat mengidentifikasi detail proses aplikasi dan mengisi kolom
processes
temuan. Jika Deteksi Ancaman VM tidak dapat mengenali kernel—misalnya, jika kernel dibuat kustom—kolomprocesses
temuan tidak akan diisi.Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.
indicator
signatures
:memory_hash_signature
: tanda tangan yang sesuai dengan hash halaman memori.detections
binary
: nama biner aplikasi mata uang kripto—misalnya,linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0
.percent_pages_matched
: persentase halaman dalam memori yang cocok dengan halaman dalam aplikasi mata uang kripto yang diketahui dalam database hash halaman.
Langkah 2: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Resource full name di tab Summary dari detail temuan.
Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.
Langkah 3: Tinjau izin dan setelan
- Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
- Tinjau detail instance VM, termasuk setelan jaringan dan akses.
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk Eksekusi.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
- Hubungi pemilik VM.
Pastikan apakah aplikasi tersebut adalah aplikasi penambangan:
Jika nama proses dan jalur biner aplikasi yang terdeteksi tersedia, pertimbangkan nilai pada baris Program binary, Arguments, dan Process names di tab Summary dari detail temuan dalam investigasi Anda.
Jika detail proses tidak tersedia, periksa apakah nama biner dari tanda tangan hash memori dapat memberikan petunjuk. Pertimbangkan biner yang disebut
linux-x86-64_xmrig_2.14.1
. Anda dapat menggunakan perintahgrep
untuk menelusuri file penting di penyimpanan. Gunakan bagian yang bermakna dari nama biner dalam pola penelusuran Anda, dalam hal ini,xmrig
. Periksa hasil penelusuran.Periksa proses yang sedang berjalan, terutama proses dengan penggunaan CPU yang tinggi, untuk melihat apakah ada proses yang tidak Anda kenal. Tentukan apakah aplikasi terkait adalah aplikasi miner.
Telusuri file dalam penyimpanan untuk menemukan string umum yang digunakan aplikasi penambangan, seperti
btc.com
,ethminer
,xmrig
,cpuminer
, danrandomx
. Untuk contoh string lainnya yang dapat Anda telusuri, lihat Nama software dan aturan YARA serta dokumentasi terkait untuk setiap software yang tercantum.
Jika Anda menentukan bahwa aplikasi tersebut adalah aplikasi miner, dan prosesnya masih berjalan, akhiri prosesnya. Temukan biner aplikasi yang dapat dijalankan di penyimpanan VM, lalu hapus.
Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
Execution: Cryptocurrency Mining YARA Rule
Deteksi Ancaman VM mendeteksi aktivitas penambangan mata uang kripto dengan mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Cryptocurrency Mining YARA Rule
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
Apa yang terdeteksi, terutama kolom berikut:
- Nama aturan YARA: aturan yang dipicu untuk pendeteksi YARA.
- Biner program: jalur absolut proses.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Nama proses: nama proses yang berjalan di instance VM yang dikaitkan dengan kecocokan tanda tangan yang terdeteksi.
Deteksi Ancaman VM dapat mengenali build kernel dari distribusi Linux utama. Jika dapat mengenali build kernel VM yang terpengaruh, VM tersebut dapat mengidentifikasi detail proses aplikasi dan mengisi kolom
processes
temuan. Jika Deteksi Ancaman VM tidak dapat mengenali kernel—misalnya, jika kernel dibuat kustom—kolomprocesses
temuan tidak akan diisi.Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Investigasi di Google Security Operations: link ke Google SecOps.
Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.
Langkah 2: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Resource full name di tab Summary dari detail temuan.
Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.
Langkah 3: Tinjau izin dan setelan
- Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
- Tinjau detail instance VM, termasuk setelan jaringan dan akses.
Langkah 4: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk Eksekusi.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
- Hubungi pemilik VM.
Pastikan apakah aplikasi tersebut adalah aplikasi penambangan:
Jika nama proses dan jalur biner aplikasi yang terdeteksi tersedia, pertimbangkan nilai pada baris Program binary, Arguments, dan Process names di tab Summary dari detail temuan dalam investigasi Anda.
Periksa proses yang sedang berjalan, terutama proses dengan penggunaan CPU yang tinggi, untuk melihat apakah ada proses yang tidak Anda kenal. Tentukan apakah aplikasi terkait adalah aplikasi miner.
Telusuri file dalam penyimpanan untuk menemukan string umum yang digunakan aplikasi penambangan, seperti
btc.com
,ethminer
,xmrig
,cpuminer
, danrandomx
. Untuk contoh string lainnya yang dapat Anda telusuri, lihat Nama software dan aturan YARA serta dokumentasi terkait untuk setiap software yang tercantum.
Jika Anda menentukan bahwa aplikasi tersebut adalah aplikasi miner, dan prosesnya masih berjalan, akhiri prosesnya. Temukan biner aplikasi yang dapat dijalankan di penyimpanan VM, lalu hapus.
Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
Execution: cryptocurrency mining combined detection
Deteksi Ancaman VM mendeteksi beberapa kategori temuan dalam satu
hari dari satu sumber. Satu aplikasi dapat memicu
Execution: Cryptocurrency Mining YARA Rule
dan
Execution: Cryptocurrency Mining Hash Match findings
secara bersamaan.
Untuk merespons temuan gabungan, ikuti petunjuk respons untuk
Execution: Cryptocurrency Mining YARA Rule
dan
Execution: Cryptocurrency Mining Hash Match findings
.
Malware: Malicious file on disk (YARA)
Deteksi Ancaman VM mendeteksi file yang berpotensi berbahaya dengan memindai disk persisten VM untuk menemukan tanda tangan malware yang diketahui.
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Malware: Malicious file on disk (YARA)
, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.Pada tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Nama aturan YARA: aturan YARA yang cocok.
- File: UUID partisi dan jalur relatif file yang berpotensi berbahaya yang terdeteksi.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.
- Yang terdeteksi, terutama kolom berikut:
Untuk melihat JSON lengkap untuk temuan ini, di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut:
indicator
signatures
:yaraRuleSignature
: tanda tangan yang sesuai dengan aturan YARA yang cocok.
Langkah 2: Periksa log
Di konsol Google Cloud, buka Logs Explorer.
Di toolbar konsol Google Cloud, pilih project yang berisi instance VM, seperti yang ditentukan pada baris Resource full name di tab Summary dari detail temuan.
Periksa log untuk menemukan tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.
Langkah 3: Tinjau izin dan setelan
- Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
- Tinjau detail instance VM, termasuk setelan jaringan dan akses.
Langkah 4: Riset metode serangan dan respons
Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan.
Hubungi pemilik VM.
Jika perlu, temukan dan hapus file yang berpotensi berbahaya. Untuk mendapatkan UUID partisi dan jalur relatif file, lihat kolom Files di tab Summary dari detail temuan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.
Untuk investigasi lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.
Memperbaiki kerentanan terkait
Untuk membantu mencegah terulangnya ancaman, tinjau dan perbaiki temuan kerentanan dan kesalahan konfigurasi terkait.
Untuk menemukan temuan terkait, ikuti langkah-langkah berikut:
Di konsol Google Cloud, buka halaman Temuan Security Command Center.
Tinjau temuan ancaman dan salin nilai atribut yang kemungkinan akan muncul dalam temuan kerentanan atau kesalahan konfigurasi terkait, seperti alamat email utama atau nama resource yang terpengaruh.
Di halaman Temuan, buka Query editor dengan mengklik Edit query.
Klik Add filter. Menu Pilih filter akan terbuka.
Dari daftar kategori filter di sisi kiri menu, pilih kategori yang berisi atribut yang Anda catat dalam temuan ancaman.
Misalnya, jika Anda mencatat nama lengkap resource yang terpengaruh, pilih Resource. Jenis atribut kategori Resource ditampilkan di kolom di sebelah kanan, termasuk atribut Nama lengkap.
Dari atribut yang ditampilkan, pilih jenis atribut yang Anda catat dalam temuan ancaman. Panel penelusuran untuk nilai atribut akan terbuka di sebelah kanan dan menampilkan semua nilai yang ditemukan dari jenis atribut yang dipilih.
Di kolom Filter, tempelkan nilai atribut yang Anda salin dari temuan ancaman. Daftar nilai yang ditampilkan diperbarui untuk hanya menampilkan nilai yang cocok dengan nilai yang ditempel.
Dari daftar nilai yang ditampilkan, pilih satu atau beberapa nilai, lalu klik Terapkan. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan temuan yang cocok.
Jika ada banyak temuan dalam hasil, filter temuan dengan memilih filter tambahan dari panel Filter cepat.
Misalnya, untuk hanya menampilkan temuan class
Vulnerability
danMisconfiguration
yang berisi nilai atribut yang dipilih, scroll ke bawah ke bagian Finding class di panel Quick filters, lalu pilih Vulnerability dan Misconfiguration.
Selain indikator penyusupan yang disediakan Google, pengguna yang merupakan pelanggan Palo Alto Networks dapat mengintegrasikan AutoFocus Threat Intelligence Palo Alto Networks dengan Event Threat Detection. AutoFocus adalah layanan intelijen ancaman yang memberikan informasi tentang ancaman jaringan. Untuk mempelajari lebih lanjut, buka halaman AutoFocus di konsol Google Cloud.
Memperbaiki ancaman
Memperbaiki temuan Event Threat Detection dan Container Threat Detection tidak semudah memperbaiki kesalahan konfigurasi dan kerentanan yang diidentifikasi oleh Security Command Center.
Kesalahan konfigurasi dan pelanggaran kepatuhan mengidentifikasi kelemahan dalam resource yang dapat dieksploitasi. Biasanya, kesalahan konfigurasi memiliki perbaikan yang diketahui dan mudah diimplementasikan, seperti mengaktifkan firewall atau memutar kunci enkripsi.
Ancaman berbeda dengan kerentanan karena bersifat dinamis dan menunjukkan kemungkinan eksploitasi aktif terhadap satu atau beberapa resource. Rekomendasi perbaikan mungkin tidak efektif dalam mengamankan resource Anda karena metode yang tepat yang digunakan untuk melakukan eksploitasi mungkin tidak diketahui.
Misalnya, temuan Added Binary Executed
menunjukkan bahwa biner
yang tidak sah diluncurkan dalam penampung. Rekomendasi perbaikan dasar mungkin
menyarankan Anda untuk mengarantina penampung dan menghapus biner, tetapi hal itu mungkin tidak
menyelesaikan akar penyebab yang mendasarinya yang memungkinkan penyerang mengakses untuk mengeksekusi
biner. Anda perlu mencari tahu bagaimana image container rusak untuk memperbaiki
eksploit. Menentukan apakah file ditambahkan melalui port yang salah dikonfigurasi
atau dengan cara lain memerlukan penyelidikan menyeluruh. Analis dengan
pengetahuan tingkat pakar tentang sistem Anda mungkin perlu meninjaunya untuk menemukan kelemahan.
Pelaku kejahatan menyerang resource menggunakan teknik yang berbeda, sehingga menerapkan perbaikan untuk
eksploit tertentu mungkin tidak efektif terhadap variasi serangan tersebut. Misalnya, sebagai respons terhadap temuan Brute Force: SSH
, Anda dapat menurunkan tingkat izin untuk beberapa akun pengguna guna membatasi akses ke resource. Namun, sandi
yang lemah mungkin masih memberikan jalur serangan.
Cakupan vektor serangan mempersulit penyediaan langkah-langkah perbaikan yang berfungsi di semua situasi. Peran Security Command Center dalam rencana keamanan cloud Anda adalah mengidentifikasi resource yang terpengaruh secara mendekati real-time, memberi tahu Anda ancaman yang Anda hadapi, dan memberikan bukti serta konteks untuk membantu penyelidikan Anda. Namun, personel keamanan Anda harus menggunakan informasi yang luas dalam temuan Security Command Center untuk menentukan cara terbaik guna memperbaiki masalah dan mengamankan resource dari serangan di masa mendatang.
Langkah selanjutnya
Lihat Ringkasan Event Threat Detection untuk mempelajari layanan dan ancaman yang dideteksinya lebih lanjut.
Lihat ringkasan Container Threat Detection untuk mempelajari cara kerja layanan.
Lihat Ringkasan Deteksi Ancaman VM untuk mempelajari lebih lanjut layanan dan ancaman yang dideteksinya.