Menyelidiki dan merespons ancaman

Topik ini menawarkan panduan informal untuk membantu Anda menyelidiki dan merespons ancaman, serta menggunakan referensi tambahan untuk menambahkan konteks ke temuan Security Command Center. Dengan mengikuti langkah-langkah ini, Anda akan dapat memahami apa yang terjadi selama potensi serangan dan mengembangkan kemungkinan respons untuk resource yang terpengaruh.

Teknik di halaman ini tidak dijamin akan efektif melawan ancaman yang Anda hadapi sebelumnya, saat ini, atau di masa mendatang. Lihat Memperbaiki ancaman untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman.

Sebelum memulai

Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan dan log, serta mengubah resource Google Cloud. Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator dan lihat Kontrol akses untuk mempelajari peran. Untuk mengatasi error resource, baca dokumentasi untuk produk yang terpengaruh.

Memahami temuan ancaman

Event Threat Detection menghasilkan temuan keamanan dengan mencocokkan peristiwa di aliran log Cloud Logging Anda ke indikator penyusupan (IoC) yang diketahui. IoC, yang dikembangkan oleh sumber keamanan internal Google, mengidentifikasi potensi kerentanan dan serangan. Event Threat Detection juga mendeteksi ancaman dengan mengidentifikasi taktik, teknik, dan prosedur serangan yang diketahui dalam aliran logging Anda, serta dengan mendeteksi penyimpangan dari perilaku masa lalu organisasi atau project Anda. Jika Anda mengaktifkan paket Premium Security Command Center di level organisasi, Event Threat Detection juga dapat memindai log Google Workspace.

Container Threat Detection menghasilkan temuan dengan mengumpulkan dan menganalisis perilaku yang diamati pada tingkat rendah dalam kernel tamu dari container.

Temuan ditulis ke Security Command Center. Jika mengaktifkan paket Premium Security Command Center di level organisasi, Anda juga dapat mengonfigurasi temuan untuk ditulis ke Cloud Logging.

Meninjau temuan

Untuk meninjau temuan ancaman di Konsol Google Cloud, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud, buka halaman Findings Security Command Center.

   Buka Temuan

2. Jika perlu, pilih project, folder, atau organisasi Google Cloud Anda.

   

3. Di bagian Filter cepat, klik filter yang sesuai untuk menampilkan temuan yang Anda perlukan di tabel Hasil kueri temuan. Misalnya, jika Anda memilih Event Threat Detection atau Container Threat Detection di subbagian Source display name, hanya temuan dari layanan yang dipilih yang akan muncul dalam hasil.

   Tabel diisi dengan temuan untuk sumber yang Anda pilih.

4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Category. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.

5. Untuk melihat definisi JSON temuan, klik tab JSON.

Temuan memberikan nama dan ID numerik resource yang terlibat dalam suatu insiden, beserta variabel lingkungan dan properti aset. Anda dapat menggunakan informasi tersebut untuk mengisolasi resource yang terpengaruh dengan cepat dan menentukan potensi cakupan peristiwa.

Untuk membantu penyelidikan Anda, temuan ancaman juga berisi link ke referensi eksternal berikut:

• Entri framework MITRE ATT&CK. Framework ini menjelaskan teknik serangan terhadap resource cloud dan memberikan panduan perbaikan.
• VirusTotal, layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Bagian berikut menguraikan respons potensial terhadap temuan ancaman.

Penonaktifan temuan ancaman

Setelah Anda menyelesaikan masalah yang memicu penemuan ancaman, Security Command Center tidak otomatis menetapkan status temuan ke INACTIVE. Status temuan ancaman tetap ACTIVE, kecuali jika Anda menetapkan properti state ke INACTIVE secara manual.

Untuk positif palsu, pertimbangkan untuk membiarkan status temuan sebagai ACTIVE dan bisukan temuan tersebut.

Untuk positif palsu yang terus-menerus atau berulang, buat aturan bisukan. Menetapkan aturan penonaktifan dapat mengurangi jumlah temuan yang perlu dikelola, sehingga lebih mudah untuk mengidentifikasi ancaman yang sebenarnya ketika muncul.

Untuk ancaman sebenarnya, sebelum menetapkan status temuan ke INACTIVE, hapus ancaman dan selesaikan investigasi menyeluruh terhadap ancaman yang terdeteksi, tingkat penyusupan, serta temuan dan masalah terkait lainnya.

Untuk menonaktifkan temuan atau mengubah statusnya, lihat topik berikut:

• Menonaktifkan temuan.
• Mengubah status temuan

Respons Event Threat Detection

Untuk mempelajari Event Threat Detection lebih lanjut, baca cara kerja Deteksi Ancaman Peristiwa.

Bagian ini tidak berisi respons untuk temuan yang dihasilkan oleh modul kustom untuk Deteksi Ancaman Peristiwa, karena organisasi Anda menentukan tindakan yang disarankan untuk pendeteksi tersebut.

Evasion: Access from Anonymizing Proxy

Akses tidak wajar dari proxy anonim terdeteksi dengan memeriksa Cloud Audit Logs untuk modifikasi layanan Google Cloud yang berasal dari alamat IP proxy anonim, seperti alamat IP Tor.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Evasion: Access from Anonymizing Proxy, seperti yang diarahkan di Meninjau temuan. Panel untuk detail temuan akan terbuka, yang menampilkan tab Summary.

2. Di tab Ringkasan pada panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan (akun yang berpotensi disusupi).
     • IP: Alamat IP proxy tempat perubahan dilakukan.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Secara opsional, klik tab JSON untuk melihat kolom temuan tambahan.

Langkah 2: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Proxy: Multi-hop Proxy.
2. Hubungi pemilik akun di kolom principalEmail. Konfirmasi apakah tindakan tersebut dilakukan oleh pemilik yang sah.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Defense Evasion: Breakglass Workload Deployment Created

Breakglass Workload Deployment Created terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada deployment ke beban kerja yang menggunakan flag akses darurat untuk mengganti kontrol Otorisasi Biner.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Breakglass Workload Deployment Created, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, yang menampilkan tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan.
     • Method name: metode yang dipanggil.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: namespace GKE tempat deployment terjadi.
   • Link terkait:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Periksa log

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: BreakG Workload Deployment.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Defense Evasion: Breakglass Workload Deployment Updated

Breakglass Workload Deployment Updated terdeteksi dengan memeriksa Cloud Audit Logs untuk melihat apakah ada pembaruan pada beban kerja yang menggunakan flag akses darurat untuk mengganti kontrol Otorisasi Biner.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Breakglass Workload Deployment Updated, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, yang menampilkan tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan.
     • Method name: metode yang dipanggil.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: namespace GKE tempat update terjadi.
   • Link terkait:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Periksa log

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: BreakG Workload Deployment.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Defense Evasion: Modify VPC Service Control

Temuan ini tidak tersedia untuk aktivasi level project.

Log audit diperiksa untuk mendeteksi perubahan pada perimeter Kontrol Layanan VPC yang akan menyebabkan penurunan perlindungan yang ditawarkan oleh perimeter tersebut. Berikut beberapa contohnya:

• Project dipindahkan dari perimeter
• Kebijakan tingkat akses ditambahkan ke perimeter yang ada
• Satu atau beberapa layanan ditambahkan ke daftar layanan yang dapat diakses

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Defense Evasion: Modify VPC Service Control, seperti yang diarahkan di Meninjau temuan. Panel untuk detail temuan akan terbuka, yang menampilkan tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama perimeter Kontrol Layanan VPC yang diubah.
   • Link terkait:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • sourceProperties
     • properties
       • name: nama perimeter Kontrol Layanan VPC yang diubah
       • policyLink: link ke kebijakan akses yang mengontrol perimeter
       • delta: perubahan, baik REMOVE atau ADD, ke perimeter yang mengurangi perlindungannya
       • restricted_resources: project yang mengikuti batasan perimeter ini. Perlindungan akan berkurang jika Anda menghapus project
       • restricted_services: layanan yang dilarang dijalankan oleh pembatasan perimeter ini. Perlindungan akan dikurangi jika Anda menghapus layanan yang dibatasi
       • allowed_services: layanan yang diizinkan untuk berjalan menurut batasan perimeter ini. Perlindungan akan berkurang jika Anda menambahkan layanan yang diizinkan
       • access_levels: tingkat akses yang dikonfigurasi untuk mengizinkan akses ke resource di bawah perimeter. Perlindungan akan berkurang jika Anda menambahkan lebih banyak tingkat akses

Langkah 2: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Temukan log aktivitas admin yang terkait dengan perubahan Kontrol Layanan VPC menggunakan filter berikut:
   • protoPayload.methodName:"AccessContextManager.UpdateServicePerimeter"
   • protoPayload.methodName:"AccessContextManager.ReplaceServicePerimeters"

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Modify Authentication Process.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik kebijakan dan perimeter Kontrol Layanan VPC.
• Sebaiknya kembalikan perubahan untuk perimeter hingga investigasi selesai.
• Pertimbangkan untuk mencabut peran Access Context Manager pada akun utama yang mengubah perimeter hingga penyelidikan selesai.
• Selidiki cara penggunaan perlindungan yang lebih rendah. Misalnya, jika "BigQuery Data Transfer Service API" diaktifkan, atau ditambahkan sebagai layanan yang diizinkan, periksa siapa yang mulai menggunakan layanan tersebut dan apa yang mereka transfer.

Discovery: Can get sensitive Kubernetes object check

Pelaku yang berpotensi berbahaya mencoba menentukan objek sensitif di GKE yang dapat mereka buat kuerinya menggunakan perintah kubectl auth can-i get. Secara khusus, aktor menjalankan salah satu perintah berikut:

• kubectl auth can-i get '*'
• kubectl auth can-i get secrets
• kubectl auth can-i get clusterroles/cluster-admin

Langkah 1: Tinjau detail temuan

1. Buka temuan Discovery: Can get sensitive Kubernetes object check sebagaimana diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut:

   • Di bagian Yang terdeteksi:
     • Peninjauan akses Kubernetes: informasi peninjauan akses yang diminta, berdasarkan resource SelfSubjectAccessReview k8s.
     • Email utama: akun yang melakukan panggilan.
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Di bagian Link terkait:
     • Cloud Logging URI: menautkan ke entri Logging.

Langkah 2: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Di halaman yang dimuat, periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Discovery.
2. Konfirmasi sensitivitas objek yang dikueri dan tentukan apakah ada tanda-tanda lain dari aktivitas berbahaya oleh akun utama dalam log.

3. Jika akun yang Anda catat di baris Email utama pada detail temuan bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik sah yang melakukan tindakan tersebut.

   Jika email utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber peninjauan akses untuk menentukan keabsahannya.

4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Exfiltration: BigQuery Data Exfiltration

Temuan yang ditampilkan oleh Exfiltration: BigQuery Data Exfiltration berisi salah satu dari dua kemungkinan sub-aturan. Setiap subaturan memiliki tingkat keparahan yang berbeda:

• Sub-aturan exfil_to_external_table dengan tingkat keparahan = HIGH:
  • Resource disimpan di luar organisasi atau project Anda.
• Sub-aturan vpc_perimeter_violation dengan tingkat keparahan = LOW:
  • Kontrol Layanan VPC memblokir operasi penyalinan atau upaya untuk mengakses resource BigQuery.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: BigQuery Data Exfiltration, seperti yang diarahkan di Meninjau temuan.

2. Di tab Ringkasan pada panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Yang terdeteksi:
     • Keparahan: tingkat keparahannya adalah HIGH untuk subaturan exfil_to_external_table atau LOW untuk subaturan vpc_perimeter_violation.
     • Email utama: akun yang digunakan untuk memindahkan data secara tidak sah.
     • Sumber pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan.
     • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan.
   • Resource yang terpengaruh:
     • Nama lengkap resource: nama lengkap resource project, folder, atau organisasi tempat data diambil.
   • Link terkait:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
     • Chronicle: link ke Chronicle.

3. Klik tab Properti Sumber dan tinjau kolom yang ditampilkan, terutama:

   • detectionCategory:
     • subRuleName: exfil_to_external_table atau vpc_perimeter_violation.
   • evidence:
     • sourceLogId:
       • projectId: project Google Cloud yang berisi set data BigQuery sumber.
   • properties
     • dataExfiltrationAttempt
       • jobLink: link ke tugas BigQuery yang memindahkan data secara tidak sah.
       • query: kueri SQL yang dijalankan di set data BigQuery.

4. Secara opsional, klik tab JSON untuk listingan lengkap properti JSON temuan.

Langkah 2: Selidiki di Chronicle

Anda dapat menggunakan Chronicle untuk menyelidiki temuan ini. Chronicle adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan menelusuri entitas terkait dalam linimasa terpadu. Chronicle memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda hanya dapat menggunakan Chronicle jika mengaktifkan Security Command Center di tingkat organisasi.

1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

   Buka Temuan

2. Di panel Quick filters, scroll ke bawah ke bagian Source display name.

3. Di bagian Source display name, pilih Event Threat Detection.

   Tabel ini diisi dengan temuan dari Event Threat Detection.

4. Pada tabel, di bagian category, klik temuan Exfiltration: BigQuery Data Exfiltration. Panel detail untuk temuan tersebut akan terbuka.

5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Chronicle.

6. Ikuti petunjuk di antarmuka pengguna terpandu Chronicle.

Gunakan panduan berikut untuk melakukan investigasi di Chronicle:

• Menyelidiki pengguna
• Menyelidiki aset

Langkah 3: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman IAM .

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId dalam JSON temuan.

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email utama dan periksa izin yang ditetapkan ke akun tersebut.

Langkah 4: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery menggunakan filter berikut:

   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 5: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Eksfiltrasi ke Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek dengan data yang dipindahkan.
• Sebaiknya cabut izin untuk userEmail hingga penyelidikan selesai.
• Untuk menghentikan pemindahan yang tidak sah lebih lanjut, tambahkan kebijakan IAM yang ketat ke set data BigQuery yang terpengaruh (exfiltration.sources dan exfiltration.targets).
• Untuk memindai informasi sensitif dari set data yang terpengaruh, gunakan Perlindungan Data Sensitif. Anda juga dapat mengirimkan data Perlindungan Data Sensitif ke Security Command Center. Bergantung pada jumlah informasi, Biaya Perlindungan Data Sensitif bisa sangat besar. Ikuti praktik terbaik untuk menjaga agar biaya Perlindungan Data Sensitif tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Exfiltration: BigQuery Data Extraction

Pemindahan data yang tidak sah dari BigQuery terdeteksi dengan memeriksa log audit untuk dua skenario:

• Resource disimpan ke bucket Cloud Storage di luar organisasi Anda.
• Resource disimpan ke bucket Cloud Storage yang dapat diakses secara publik milik organisasi Anda.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: BigQuery Data Extraction, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan pada panel detail temuan, tinjau nilai yang tercantum di bagian berikut:

   • Yang terdeteksi:
     • Email utama: akun yang digunakan untuk memindahkan data secara tidak sah.
     • Sumber pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan.
     • Target pemindahan yang tidak sah: detail tentang tabel tempat data yang dipindahkan.
   • Resource yang terpengaruh:
     • Nama lengkap resource: nama resource BigQuery yang datanya dipindahkan.
     • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
   • Link terkait:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Di panel detail temuan, klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • sourceProperties:
     • evidence:
       • sourceLogId:
       • projectId: project Google Cloud yang berisi set data BigQuery sumber.
     • properties:
       • extractionAttempt:
       • jobLink: link ke tugas BigQuery yang memindahkan data

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman IAM .

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId di JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum dalam Email utama (dari Langkah 1), lalu periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery dengan menggunakan filter berikut:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Eksfiltrasi ke Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek dengan data yang dipindahkan.
• Pertimbangkan untuk mencabut izin untuk akun utama yang tercantum di baris Email utama di tab Ringkasan detail temuan hingga penyelidikan selesai.
• Untuk menghentikan pemindahan yang tidak sah lebih lanjut, tambahkan kebijakan IAM yang membatasi ke set data BigQuery yang terpengaruh yang diidentifikasi di kolom Sumber yang tidak sah di tab Ringkasan pada detail temuan.
• Untuk memindai informasi sensitif dari set data yang terpengaruh, gunakan Perlindungan Data Sensitif. Anda juga dapat mengirimkan data Perlindungan Data Sensitif ke Security Command Center. Bergantung pada jumlah informasi, Biaya Perlindungan Data Sensitif bisa sangat besar. Ikuti praktik terbaik untuk menjaga agar biaya Perlindungan Data Sensitif tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Jika Anda adalah pemilik bucket, pertimbangkan untuk mencabut izin akses publik.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Exfiltration: BigQuery Data to Google Drive

Pemindahan data yang tidak sah dari BigQuery terdeteksi dengan memeriksa log audit untuk skenario berikut:

• Resource disimpan ke folder Google Drive.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: BigQuery Data to Google Drive, seperti yang diarahkan dalam Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, termasuk:
     • Email utama: akun yang digunakan untuk memindahkan data secara tidak sah.
     • Sumber pemindahan yang tidak sah: detail tentang tabel BigQuery tempat data yang dipindahkan.
     • Target pemindahan yang tidak sah: detail tentang tujuan di Google Drive.
   • Resource yang terpengaruh, termasuk:
     • Nama lengkap resource: nama resource BigQuery yang datanya telah dikecualikan.
     • Nama lengkap project: project Google Cloud yang berisi set data BigQuery sumber.
   • Link terkait, termasuk:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Untuk informasi tambahan, klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • sourceProperties:
     • evidence:
       • sourceLogId:
       • projectId: project Google Cloud yang berisi set data BigQuery sumber.
     • properties:
       • extractionAttempt:
       • jobLink: link ke tugas BigQuery yang memindahkan data

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman IAM .

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectId di JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di access.principalEmail (dari Langkah 1) dan periksa izin yang ditetapkan ke akun.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Temukan log aktivitas admin yang terkait dengan tugas BigQuery dengan menggunakan filter berikut:
   • protoPayload.methodName="Jobservice.insert"
   • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Eksfiltrasi ke Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama pada instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek dengan data yang dipindahkan.
• Pertimbangkan untuk mencabut izin akun utama di kolom access.principalEmail hingga investigasi selesai.
• Untuk menghentikan pemindahan yang tidak sah lebih lanjut, tambahkan kebijakan IAM yang ketat ke set data BigQuery yang terpengaruh (exfiltration.sources).
• Untuk memindai informasi sensitif dari set data yang terpengaruh, gunakan Perlindungan Data Sensitif. Anda juga dapat mengirimkan data Perlindungan Data Sensitif ke Security Command Center. Bergantung pada jumlah informasi, Biaya Perlindungan Data Sensitif bisa sangat besar. Ikuti praktik terbaik untuk menjaga agar biaya Perlindungan Data Sensitif tetap terkendali.
• Untuk membatasi akses ke BigQuery API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Exfiltration: Cloud SQL Data Exfiltration

Pemindahan data yang tidak sah dari Cloud SQL terdeteksi dengan memeriksa log audit untuk dua skenario:

• Data instance live yang diekspor ke bucket Cloud Storage di luar organisasi.
• Data instance live yang diekspor ke bucket Cloud Storage yang dimiliki oleh organisasi dan dapat diakses secara publik.

Semua jenis instance Cloud SQL didukung.

Untuk aktivasi tingkat project dari paket Premium Security Command Center, penemuan ini hanya tersedia jika tingkat Standar diaktifkan di organisasi induk.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Data Exfiltration, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama : akun yang digunakan untuk memindahkan data secara tidak sah.
     • Sumber pemindahan yang tidak sah: detail tentang instance Cloud SQL yang datanya dipindahkan.
     • Target pemindahan yang tidak sah: detail tentang bucket Cloud Storage tempat data diekspor.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource Cloud SQL yang datanya dipindahkan.
     • Nama lengkap project: project Google Cloud yang berisi data Cloud SQL sumber.
   • Link terkait, termasuk:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Klik tab JSON.

4. Di JSON untuk temuan, perhatikan kolom berikut:

   • sourceProperties:
     • evidence:
     • sourceLogId:
       • projectId: project Google Cloud yang berisi instance Cloud SQL sumber.
     • properties
     • bucketAccess: apakah bucket Cloud Storage dapat diakses secara publik atau bersifat eksternal dari organisasi
     • exportScope: jumlah data yang diekspor, seperti, seluruh instance, satu atau beberapa database, satu atau beberapa tabel, atau subset yang ditentukan oleh kueri)

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman IAM .

   Buka IAM

2. Jika perlu, pilih project instance yang tercantum di kolom projectId pada JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di baris Email utama di tab Summary pada detail temuan (dari Langkah 1). Periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer berisi semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Eksfiltrasi ke Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait yang dijelaskan di Langkah 1). Temuan terkait memiliki jenis temuan yang sama pada instance Cloud SQL yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek dengan data yang dipindahkan.
• Sebaiknya cabut izin untuk access.principalEmail hingga penyelidikan selesai.
• Untuk menghentikan pemindahan yang tidak sah lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
  • MySQL
  • PostgreSQL
  • SQL Server
• Untuk membatasi akses ke dan ekspor dari Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Exfiltration: Cloud SQL Restore Backup to External Organization

Pemindahan data yang tidak sah dari cadangan Cloud SQL terdeteksi dengan memeriksa log audit untuk menentukan apakah data dari cadangan telah dipulihkan ke instance Cloud SQL di luar organisasi atau project. Semua instance Cloud SQL dan jenis cadangan didukung.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Restore Backup to External Organization, seperti yang diarahkan di Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang digunakan untuk memindahkan data secara tidak sah.
     • Sumber pemindahan yang tidak sah: detail tentang instance Cloud SQL yang menjadi asal pembuatan cadangan.
     • Target pemindahan yang tidak sah: detail tentang instance Cloud SQL tempat data cadangan dipulihkan.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource cadangan yang dipulihkan.
     • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL yang menjadi asal pembuatan cadangan.

3. Link terkait, terutama kolom berikut:

   • Cloud Logging URI: menautkan ke entri Logging.
   • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
   • Temuan terkait: menghubungkan ke temuan terkait.

4. Klik tab JSON.

5. Di JSON, perhatikan kolom berikut.

   • resource:
     • parent_name: nama resource instance Cloud SQL tempat cadangan dibuat
   • evidence:
     • sourceLogId:
       • projectId: project Google Cloud yang berisi set data BigQuery sumber.
   • properties:
     • restoreToExternalInstance:
       • backupId: ID pencadangan yang dijalankan yang dipulihkan

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman IAM .

   Buka IAM

2. Jika perlu, pilih project instance yang tercantum dalam kolom projectId di JSON temuan (dari Langkah 1).

3. Di halaman yang muncul, di kotak Filter, masukkan alamat email yang tercantum di Email utama (dari Langkah 1), lalu periksa izin yang ditetapkan ke akun tersebut.

Langkah 3: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer berisi semua log yang terkait dengan instance Cloud SQL yang relevan.

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web: Eksfiltrasi ke Cloud Storage.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait. (dari Langkah 1). Temuan terkait memiliki jenis temuan yang sama pada instance Cloud SQL yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek dengan data yang dipindahkan.
• Pertimbangkan untuk mencabut izin akun utama yang tercantum di baris Email utama di tab Ringkasan detail temuan hingga penyelidikan selesai.
• Untuk menghentikan pemindahan yang tidak sah lebih lanjut, tambahkan kebijakan IAM yang ketat ke instance Cloud SQL yang terpengaruh.
  • MySQL
  • PostgreSQL
  • SQL Server
• Untuk membatasi akses ke Cloud SQL Admin API, gunakan Kontrol Layanan VPC.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Exfiltration: Cloud SQL Over-Privileged Grant

Mendeteksi saat semua hak istimewa atas database PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan ke satu atau beberapa pengguna database.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Exfiltration: Cloud SQL Over-Privileged Grant, seperti yang diarahkan di Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database dalam instance PostgreSQL Cloud SQL yang terpengaruh.
     • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
     • Kueri database: kueri PostgreSQL yang dieksekusi yang memberikan hak istimewa.
     • Penerima hibah database: penerima hak istimewa yang tersebar di seluruh dunia.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance Cloud SQL PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance Cloud SQL PostgreSQL.
     • Nama lengkap project: project Google Cloud yang berisi instance PostgreSQL Cloud SQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

1. Menghubungkan ke database PostgreSQL.
2. Menampilkan daftar dan menampilkan hak akses untuk hal berikut:
   • {i>Database.<i} Gunakan metacommand \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum dalam Nama tampilan database (dari Langkah 1).
   • Fungsi atau prosedur. Gunakan metacommand \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur dalam database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer berisi semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Di Logs explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dijalankan ke database, dengan menggunakan filter berikut:
   • protoPayload.request.database="var class="edit">database"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik instance dengan hibah hak istimewa berlebih.
• Pertimbangkan untuk mencabut semua izin untuk penerima hibah yang tercantum di Penerima hibah database hingga penyelidikan selesai.
• Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, revoke izin yang tidak perlu dari penerima hibah (dari Penerima hibah database di Langkah 1.

Initial Access: Database Superuser Writes to User Tables

Mendeteksi saat akun superuser database Cloud SQL (postgres untuk PostgreSQL dan root untuk MySQL) menulis ke tabel pengguna. Superuser (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Ketika superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah mengeskalasikan hak istimewa atau telah menyusupi pengguna database default dan sedang mengubah data. Hal itu juga bisa menunjukkan praktik yang normal tetapi tidak aman.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Database Superuser Writes to User Tables, seperti yang diarahkan di Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance PostgreSQL atau MySQL Cloud SQL yang terpengaruh.
     • Nama pengguna database: superuser.
     • Kueri database: kueri SQL yang dieksekusi saat menulis ke tabel pengguna.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance Cloud SQL yang terpengaruh.
     • Nama lengkap induk: nama resource instance Cloud SQL.
     • Nama lengkap project: project Google Cloud yang berisi instance Cloud SQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer berisi semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Periksa log untuk log pgaudit PostgreSQL atau log audit Cloud SQL untuk MySQL, yang berisi kueri yang dijalankan oleh superuser, dengan menggunakan filter berikut:
   • protoPayload.request.user="SUPERUSER"

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.

  • Untuk PostgreSQL, lihat Membuat dan mengelola pengguna
  • Untuk MySQL, lihat Mengelola pengguna dengan autentikasi bawaan

• Pertimbangkan untuk mengubah {i> password<i} superuser.

  • Untuk PostgreSQL, lihat Menetapkan sandi untuk pengguna default
  • Untuk MySQL, lihat Menyetel sandi untuk pengguna default

• Pertimbangkan untuk membuat pengguna baru dengan akses terbatas untuk berbagai jenis kueri yang digunakan pada instance.

  • Berikan hanya izin yang diperlukan kepada pengguna baru untuk menjalankan kueri mereka.

    • Untuk PostgreSQL, lihat Pemberian (perintah)
    • Untuk MySQL, lihat Kontrol Akses dan Pengelolaan Akun

  • Memperbarui kredensial untuk klien yang terhubung ke instance Cloud SQL

Initial Access: Anonymous GKE resource created from the internet

Mendeteksi saat pelaku yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk membuat resource Kubernetes baru di cluster:

• system:anonymous
• system:authenticated
• system:unauthenticated

Pengguna dan grup ini pada dasarnya bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk membuat resource tersebut di cluster.

Tinjau resource yang dibuat dan binding RBAC terkait untuk memastikan binding diperlukan. Jika binding tidak diperlukan, hapus. Untuk mengetahui detail selengkapnya, lihat pesan log untuk temuan ini.

Untuk mengurangi masalah ini, lihat Menghindari peran dan grup default.

Initial Access: GKE resource modified anonymously from the internet

Mendeteksi saat pelaku yang berpotensi berbahaya menggunakan salah satu pengguna atau grup pengguna default Kubernetes berikut untuk mengubah resource Kubernetes di cluster:

• system:anonymous
• system:authenticated
• system:unauthenticated

Pengguna dan grup ini pada dasarnya bersifat anonim. Binding kontrol akses berbasis peran (RBAC) di cluster Anda memberikan izin kepada pengguna tersebut untuk mengubah resource tersebut dalam cluster.

Tinjau resource yang dimodifikasi dan binding RBAC terkait untuk memastikan binding diperlukan. Jika binding tidak diperlukan, hapus. Untuk mengetahui detail selengkapnya, lihat pesan log untuk temuan ini.

Untuk mengurangi masalah ini, lihat Menghindari peran dan grup default.

Initial Access: Dormant Service Account Action

Mendeteksi peristiwa saat akun layanan yang dikelola pengguna tidak aktif memicu tindakan. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Dormant Service Account Action, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: akun layanan dorman yang melakukan tindakan
   • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan tersebut
   • Nama metode: metode yang dipanggil

Langkah 2: Riset tentang metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Initial Access: Dormant Service Account Key Created

Mendeteksi peristiwa saat kunci akun layanan yang dikelola pengguna tidak aktif dibuat. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Dormant Service Account Key Created, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: pengguna yang membuat kunci akun layanan

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: kunci akun layanan dorman yang baru dibuat
   • Nama lengkap project: project tempat akun layanan dorman berada

Langkah 2: Riset tentang metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Hapus akses pemilik Email utama jika akun disusupi.
• Batalkan kunci akun layanan yang baru dibuat di Halaman Akun Layanan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pemberi rekomendasi IAM.

Initial Access: Leaked Service Account Key Used

Mendeteksi peristiwa saat kunci akun layanan yang bocor digunakan untuk mengautentikasi tindakan. Dalam konteks ini, kunci akun layanan yang bocor adalah kunci yang diposting di internet publik. Misalnya, kunci akun layanan sering kali salah diposting di repositori GitHub publik.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Leaked Service Account Key Used, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: akun layanan yang digunakan dalam tindakan ini
   • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan tersebut
   • Method name: nama metode tindakan
   • Nama kunci akun layanan: kebocoran kunci akun layanan yang digunakan untuk mengautentikasi tindakan ini
   • Deskripsi: deskripsi hal yang terdeteksi, termasuk lokasi di internet publik tempat kunci akun layanan dapat ditemukan

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: resource yang terlibat dalam tindakan

Langkah 2: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Pada toolbar Konsol Google Cloud, pilih project atau organisasi Anda.

3. Di halaman yang dimuat, temukan log terkait menggunakan filter berikut:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"

   Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama pada detail temuan. Ganti SERVICE_ACCOUNT_KEY_NAME dengan nilai yang Anda catat di kolom Nama kunci akun layanan pada detail temuan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Cabut segera kunci akun layanan di halaman Akun Layanan.
• Hapus halaman web atau repositori GitHub tempat kunci akun layanan diposting.
• Pertimbangkan untuk menghapus akun layanan yang disusupi.
• Ganti dan hapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum penghapusan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Cloud Customer Care.

Initial Access: Excessive Permission Denied Actions

Mendeteksi peristiwa saat akun utama berulang kali memicu error izin ditolak di beberapa metode dan layanan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Excessive Permission Denied Actions, seperti yang diarahkan di Meninjau temuan.

2. Di detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: akun utama yang memicu beberapa error izin ditolak
   • Nama layanan: nama API layanan Google Cloud tempat terjadinya error izin terakhir yang ditolak
   • Method name: metode yang dipanggil saat terjadi error terakhir izin ditolak

3. Pada detail temuan, pada tab Source Properties, perhatikan nilai kolom berikut di JSON:

   • properties.failedActions: error izin menolak error yang terjadi. Untuk setiap entri, detailnya mencakup nama layanan, nama metode, jumlah upaya yang gagal, dan waktu terjadinya error terakhir. Maksimum 10 entri ditampilkan.

Langkah 2: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Pada toolbar Konsol Google Cloud, pilih project Anda.

3. Di halaman yang dimuat, temukan log terkait menggunakan filter berikut:

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
   • protoPayload.status.code=7

   Ganti PRINCIPAL_EMAIL dengan nilai yang Anda catat di kolom Email utama pada detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik akun di kolom Email utama. Konfirmasi apakah pemilik sah yang melakukan tindakan tersebut.
• Hapus resource project yang dibuat oleh akun tersebut, seperti instance Compute Engine, snapshot, akun layanan, pengguna IAM yang tidak dikenal, dll.
• Hubungi pemilik project yang memiliki akun, dan kemungkinan hapus atau nonaktifkan akun tersebut.

Brute Force: SSH

Deteksi keberhasilan {i>brute force<i} SSH pada {i>host<i}. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Brute Force: SSH, seperti yang diarahkan di Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:

     • IP Penelepon: alamat IP yang meluncurkan serangan.
     • Nama pengguna: akun yang digunakan untuk login.

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
     • Chronicle: link ke Chronicle.

3. Klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • sourceProperties:
     • evidence:
       • sourceLogId: project ID dan stempel waktu untuk mengidentifikasi entri log
       • projectId: project yang berisi temuan
     • properties:
       • attempts:
       • Attempts: jumlah upaya login
         • username: akun yang login
         • vmName: nama virtual machine
         • authResult: hasil autentikasi SSH

Langkah 2: Selidiki di Chronicle

Anda dapat menggunakan Chronicle untuk menyelidiki temuan ini. Chronicle adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan menelusuri entitas terkait dengan linimasa yang mudah digunakan. Chronicle memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda hanya dapat menggunakan Chronicle jika mengaktifkan Security Command Center di tingkat organisasi.

1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

   Buka Temuan

2. Di panel Quick filters, scroll ke bawah ke bagian Source display name.

3. Di bagian Source display name, pilih Event Threat Detection.

   Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.

4. Pada tabel, di bagian category, klik temuan Brute Force: SSH. Panel detail untuk temuan akan terbuka.

5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Chronicle.

6. Ikuti petunjuk di antarmuka pengguna terpandu Chronicle.

Gunakan panduan berikut untuk melakukan investigasi di Chronicle:

• Menyelidiki pengguna
• Menyelidiki alamat IP
• Menyelidiki aset

Langkah 3: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka Dasbor.

   Buka Dasbor

2. Klik menu drop-down Select from di bagian atas halaman. Di jendela Select from yang muncul, pilih project yang tercantum di projectId.

3. Buka kartu Resource dan klik Compute Engine.

4. Klik instance VM yang cocok dengan nama dan zona di vmName. Tinjau detail instance, termasuk setelan jaringan dan akses.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif di port 22.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI.
2. Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP yang tercantum di baris Email utama di tab Summary pada detail temuan dengan menggunakan filter berikut:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Langkah 5: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Lokal.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan detail temuan. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek dengan upaya {i>brute force <i}yang berhasil.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan desponse endpoint.
• Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk mengetahui informasi tentang cara menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Langkah ini dapat mengganggu akses yang sah ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
• Hanya gunakan autentikasi SSH dengan kunci yang diotorisasi.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi di Security Command Center. Bergantung pada kuantitas informasinya, biaya Google Cloud Armor bisa sangat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.

Credential Access: External Member Added To Privileged Group

Temuan ini tidak tersedia untuk aktivasi level project.

Mendeteksi saat anggota eksternal ditambahkan ke Google Grup dengan hak istimewa (peran atau izin sensitif grup yang diberi hak istimewa). Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: External Member Added To Privileged Group, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Di panel detail, klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • groupName: Google Grup tempat perubahan dilakukan
   • externalMember: anggota eksternal yang baru ditambahkan
   • sensitiveRoles: peran sensitif yang terkait dengan grup ini

Langkah 2: Tinjau anggota grup

1. Buka Google Grup.

   Buka Google Grup

2. Klik nama grup yang ingin Anda tinjau.

3. Di menu navigasi, klik Anggota.

4. Jika anggota eksternal yang baru ditambahkan tidak seharusnya berada dalam grup ini, klik kotak centang di samping nama anggota, lalu pilih remove_circle_outline Hapus anggota atau not_interested Blokir anggota.

   Untuk menghapus anggota atau menjadi anggota, Anda harus menjadi Admin Google Workspace, atau diberi peran Pemilik atau Pengelola di Google Grup. Untuk mengetahui informasi selengkapnya, lihat Menetapkan peran ke anggota grup.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

   

3. Di halaman yang dimuat, periksa log untuk mengetahui perubahan keanggotaan Google Grup menggunakan filter berikut:

   • protoPayload.methodName="google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Credential Access: Privileged Group Opened To Public

Temuan ini tidak tersedia untuk aktivasi level project.

Mendeteksi kapan Google Grup dengan hak istimewa (grup yang diberi peran atau izin sensitif) diubah agar dapat diakses oleh masyarakat umum. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: Privileged Group Opened To Public, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan, yang mungkin telah disusupi.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
   1. Klik tab JSON.
   2. Di JSON, perhatikan kolom berikut.
   • groupName: Google Grup tempat perubahan dilakukan
   • sensitiveRoles: peran sensitif yang terkait dengan grup ini
   • whoCanJoin: setelan bergabungnya grup

Langkah 2: Tinjau setelan akses grup

1. Buka Konsol Admin untuk Google Grup. Anda harus menjadi Admin Google Workspace untuk login ke konsol.

   Buka Konsol Admin

2. Di panel navigasi, klik Directory, lalu pilih Groups.

3. Klik nama grup yang ingin Anda tinjau.

4. Klik Setelan Akses, lalu di bagian Siapa saja yang dapat bergabung dengan grup, tinjau setelan kemampuan bergabung grup.

5. Di menu drop-down, jika perlu, ubah setelan penggabungan.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

   

3. Di halaman yang dimuat, periksa log untuk mengetahui perubahan setelan Google Grup menggunakan filter berikut:

   • protoPayload.methodName="google.admin.AdminService.changeGroupSetting"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Credential Access: Secrets Accessed in Kubernetes Namespace

Mendeteksi saat akun layanan Kubernetes default Pod digunakan untuk mengakses objek Secret di cluster. Akun layanan Kubernetes default tidak boleh memiliki akses ke objek Secret, kecuali jika Anda secara eksplisit memberikan akses tersebut dengan objek Peran atau objek ClusterRole.

Credential Access: Sensitive Role Granted To Hybrid Group

Mendeteksi kapan peran atau izin sensitif diberikan ke Google Grup dengan anggota eksternal. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Credential Access: Sensitive Role Granted To Hybrid Group, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan perubahan, yang mungkin telah disusupi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: resource tempat peran baru diberikan.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
   1. Klik tab JSON.
   2. Di JSON, perhatikan kolom berikut.
   • groupName: Google Grup tempat perubahan dilakukan
   • bindingDeltas: peran sensitif yang baru diberikan ke grup ini.

Langkah 2: Tinjau izin grup

1. Buka halaman IAM di Konsol Google Cloud.

   Buka IAM

2. Di kolom Filter, masukkan nama akun yang tercantum di groupName.

3. Tinjau peran sensitif yang diberikan ke grup.

4. Jika peran sensitif yang baru ditambahkan tidak diperlukan, cabut peran tersebut.

   Anda memerlukan izin khusus untuk mengelola peran di organisasi atau project Anda. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Jika perlu, pilih project Anda.

   

3. Di halaman yang dimuat, periksa log untuk mengetahui perubahan setelan Google Grup menggunakan filter berikut:

   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Malware: Cryptomining Bad IP

Malware terdeteksi dengan memeriksa Log Aliran VPC dan log Cloud DNS untuk koneksi ke domain perintah dan kontrol serta alamat IP yang diketahui. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malware: Cryptomining Bad IP, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • IP sumber: alamat IP yang dicurigai melakukan penambangan kripto.
     • Port sumber: port sumber koneksi, jika tersedia.
     • IP tujuan: alamat IP target.
     • Port tujuan: port tujuan koneksi, jika tersedia.
     • Protocol: protokol IANA yang terkait dengan koneksi.
   • Resource yang terpengaruh
   • Link terkait, termasuk kolom berikut:
     • URI Logging: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Pada tampilan detail temuan, klik tab Properti sumber.

4. Luaskan properti dan catat nilai project dan instance di kolom berikut:

   • instanceDetails: catat project ID dan nama instance Compute Engine. Project ID dan nama instance akan muncul seperti yang ditunjukkan dalam contoh berikut:

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman Dasbor.

   Buka Dasbor

2. Klik menu drop-down Select from di bagian atas halaman. Di jendela Select from yang muncul, pilih project yang tercantum di properties_project_id.

3. Buka kartu Resource dan klik Compute Engine.

4. Klik instance VM yang cocok dengan properties_sourceInstance. Selidiki instance yang berpotensi disusupi untuk malware.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project Anda.

3. Pada halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan Properties_ip_0 menggunakan filter berikut:

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pembajakan Resource.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi malware.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi di Security Command Center. Bergantung pada volume datanya, biaya Google Cloud Armor bisa sangat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.

Initial Access: Log4j Compromise Attempt

Temuan ini dihasilkan saat lookups Java Naming and Directory Interface (JNDI) dalam header atau parameter URL terdeteksi. Pencarian ini dapat mengindikasikan upaya eksploitasi Log4Shell. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Initial Access: Log4j Compromise Attempt, seperti yang diarahkan di Meninjau detail temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
   • Pada tampilan detail temuan, klik tab JSON.

   • Di JSON, perhatikan kolom berikut.

   • properties

     • loadBalancerName: nama load balancer yang menerima pencarian JNDI
     • requestUrl: URL permintaan permintaan HTTP. Jika ada, file ini berisi pencarian JNDI.
     • requestUserAgent: agen pengguna yang mengirim permintaan HTTP. Jika ada, kolom ini berisi pencarian JNDI.
     • refererUrl: URL halaman yang mengirim permintaan HTTP. Jika ada, file ini berisi pencarian JNDI.

Langkah 2: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.

2. Di halaman yang dimuat, periksa kolom httpRequest untuk menemukan token string seperti ${jndi:ldap:// yang mungkin menunjukkan kemungkinan upaya eksploitasi.

   Lihat CVE-2021-44228: Mendeteksi eksploit Log4Shell dalam dokumentasi Logging untuk contoh string yang akan ditelusuri dan untuk contoh kueri.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exploit Public-Facing Application.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Upgrade ke versi terbaru Log4j2.
• Ikuti rekomendasi Google Cloud untuk menyelidiki dan merespons kerentanan "Apache Log4j 2" {: target="blog" track-type="tasks" track-name="blogLink"}
• Terapkan teknik mitigasi yang direkomendasikan dalam Kerentanan Keamanan Apache Log4j
• Jika Anda menggunakan Google Cloud Armor, deploy cve-canary rule ke kebijakan keamanan Google Cloud Armor yang baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu memitigasi kerentanan Apache Log4j

Active Scan: Log4j Vulnerable to RCE

Pemindai kerentanan Log4j yang didukung memasukkan pencarian JNDI yang di-obfuscate dalam parameter HTTP, URL, dan kolom teks dengan callback ke domain yang dikontrol oleh pemindai. Temuan ini dihasilkan saat kueri DNS untuk domain yang tidak di-obfuscate ditemukan. Kueri tersebut hanya terjadi jika pencarian JNDI berhasil, yang menunjukkan kerentanan Log4j yang aktif. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Active Scan: Log4j Vulnerable to RCE, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource instance Compute Engine yang rentan terhadap RCE Log4j.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Pada tampilan detail temuan, klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • properties
     • scannerDomain: domain yang digunakan oleh pemindai sebagai bagian dari pencarian JNDI. Informasi ini menunjukkan kepada Anda pemindai mana yang mengidentifikasi kerentanan.
     • sourceIp: alamat IP yang digunakan untuk membuat kueri DNS
     • vpcName: nama jaringan pada instance tempat kueri DNS dibuat.

Langkah 2: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.

2. Di halaman yang dimuat, periksa kolom httpRequest untuk menemukan token string seperti ${jndi:ldap:// yang mungkin menunjukkan kemungkinan upaya eksploitasi.

   Lihat CVE-2021-44228: Mendeteksi eksploit Log4Shell dalam dokumentasi Logging untuk contoh string yang akan ditelusuri dan untuk contoh kueri.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksploitasi Layanan Jarak Jauh.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Upgrade ke versi terbaru Log4j2.
• Ikuti rekomendasi Google Cloud untuk menyelidiki dan merespons kerentanan "Apache Log4j 2" {: target="blog" track-type="tasks" track-name="blogLink"}
• Terapkan teknik mitigasi yang direkomendasikan dalam Kerentanan Keamanan Apache Log4j
• Jika Anda menggunakan Google Cloud Armor, deploy cve-canary rule ke kebijakan keamanan Google Cloud Armor yang baru atau yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Aturan WAF Google Cloud Armor untuk membantu memitigasi kerentanan Apache Log4j

Leaked credentials

Temuan ini tidak tersedia untuk aktivasi level project.

Temuan ini dihasilkan saat kredensial akun layanan Google Cloud secara tidak sengaja bocor secara online atau disusupi. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan account_has_leaked_credentials, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

• Hal yang terdeteksi
• Resource yang terpengaruh

1. Klik tab Source Properties dan perhatikan kolom berikut:

   • Compromised_account: akun layanan yang berpotensi disusupi
   • Project_identifier: project yang berisi kredensial akun yang berpotensi bocor
   • URL: link ke repositori GitHub

2. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau izin project dan akun layanan

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di Project_identifier.

3. Pada halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum dalam Compromised_account dan centang izin yang ditetapkan.

4. Di konsol Google Cloud, buka halaman Akun Layanan.

   Buka Akun Layanan

5. Pada halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi, lalu periksa kunci dan tanggal pembuatan kunci akun layanan.

Langkah 3: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project Anda.

3. Pada halaman yang dimuat, periksa log untuk melihat aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:

   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
   • protoPayload.methodName="InsertProjectOwnershipInvite"
   • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Tinjau temuan terkait dengan mengklik link di relatedFindingURI. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Menghubungi pemilik project dengan kredensial yang bocor.
• Pertimbangkan untuk menghapus akun layanan yang disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang disusupi tersebut. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Merespons notifikasi dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.
• Buka link URL dan hapus kredensial yang bocor. Kumpulkan informasi selengkapnya tentang akun yang disusupi dan hubungi pemiliknya.

Malware

Malware terdeteksi dengan memeriksa Log Aliran VPC dan log Cloud DNS untuk mengetahui koneksi ke domain perintah dan kontrol serta alamat IP yang diketahui. Saat ini, Event Threat Detection menyediakan deteksi malware umum (Malware: Bad IP dan Malware: Bad Domain) dan detektor terutama untuk malware terkait Log4j (Log4j Malware: Bad IP dan Log4j Malware: Bad Domain).

Langkah-langkah berikut menjelaskan cara menyelidiki dan merespons temuan berbasis IP. Langkah-langkah perbaikannya mirip untuk temuan berbasis domain.

Langkah 1: Tinjau detail temuan

1. Buka temuan malware yang relevan. Langkah-langkah berikut menggunakan temuan Malware: Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Domain indikator: untuk temuan Bad domain, domain yang memicu temuan.
     • IP indikator: untuk temuan Bad IP, alamat IP yang memicu temuan.
     • IP Sumber: untuk temuan Bad IP, perintah malware dan alamat IP kontrol yang diketahui.
     • Port sumber: untuk temuan Bad IP, port sumber koneksi.
     • IP tujuan: untuk temuan Bad IP, alamat IP target malware.
     • Port tujuan: untuk temuan Bad IP, port tujuan koneksi.
     • Protocol: untuk temuan Bad IP, nomor protokol IANA yang terkait dengan koneksi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource dari instance Compute Engine yang terpengaruh.
     • Nama lengkap project: nama lengkap resource project yang berisi temuan.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
     • Chronicle: link ke Chronicle.
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.

   1. Klik tab JSON dan perhatikan kolom berikut:

      • evidence:
      • sourceLogId:
        • projectID: ID project tempat masalah terdeteksi.
      • properties:
      • InstanceDetails: alamat resource untuk instance Compute Engine.

Langkah 2: Selidiki di Chronicle

Anda dapat menggunakan Chronicle untuk menyelidiki temuan ini. Chronicle adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan menelusuri entitas terkait dengan linimasa yang mudah digunakan. Chronicle memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda hanya dapat menggunakan Chronicle jika mengaktifkan Security Command Center di tingkat organisasi.

1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

   Buka Temuan

2. Di panel Quick filters, scroll ke bawah ke bagian Source display name.

3. Di bagian Source display name, pilih Event Threat Detection.

   Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.

4. Pada tabel, di bagian category, klik temuan Malware: Bad IP. Panel detail untuk menemukan akan terbuka.

5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Chronicle.

6. Ikuti petunjuk di antarmuka pengguna terpandu Chronicle.

Gunakan panduan berikut untuk melakukan investigasi di Chronicle:

• Menyelidiki alamat IP
• Menyelidiki aset

Langkah 3: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman Dasbor.

   Buka Dasbor

2. Klik menu drop-down Select from di bagian atas halaman. Di jendela Select from yang muncul, di kolom Search projects and folder, masukkan nomor project yang ditampilkan di baris Project full name pada tab Summary.

3. Buka kartu Resource dan klik Compute Engine.

4. Klik instance VM yang cocok dengan nama dan zona di Resource full name. Tinjau detail instance, termasuk setelan jaringan dan akses.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 4: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Pada halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP di IP Sumber menggunakan filter berikut:

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Ganti kode berikut:

     • PROJECT_ID dengan memilih project yang tercantum di projectId.
     • SOURCE_IP dengan alamat IP yang tercantum di baris IP Sumber di tab Ringkasan detail temuan.

Langkah 5: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Dynamic Resolution dan Command and Control.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Periksa URL dan domain yang ditandai di VirusTotal dengan mengklik link pada indikator VirusTotal. VirusTotal adalah layanan milik Alfabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi malware.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang disusupi.
• Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi di Security Command Center. Bergantung pada volume data, biaya Google Cloud Armor bisa sangat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
• Untuk mengontrol akses dan penggunaan image VM, gunakan kebijakan IAM Shielded VM dan Trusted Images.

Malware: Outgoing DoS

Event Threat Detection mendeteksi potensi penggunaan instance untuk meluncurkan serangan denial of service (DoS) dengan menganalisis VPC Flow Logs. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malware: Outgoing DoS seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi
     • IP Sumber: alamat IP sumber aktivitas DoS.
     • Port sumber: port sumber koneksi.
     • IP tujuan: alamat IP target aktivitas DoS.
     • Port tujuan: port tujuan koneksi.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
   1. Pada tampilan detail temuan, klik tab JSON.
   2. Di JSON, perhatikan kolom berikut.
   • sourceInstanceDetails: instance VM Compute Engine yang terpengaruh

Langkah 2: Tinjau izin dan setelan

1. Di konsol Google Cloud, buka halaman Dasbor.

   Buka Dasbor

2. Klik menu drop-down Select from di bagian atas halaman. Di jendela Select from yang muncul, pilih project ID yang tercantum di sourceInstanceDetails.

3. Buka kartu Resource dan klik Compute Engine.

4. Klik instance VM yang cocok dengan nama instance dan zona dalam sourceInstanceDetails. Tinjau detail instance, termasuk setelan jaringan dan akses.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Pada halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP di srcIP menggunakan filter berikut:

   • logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="srcIP" OR jsonPayload.connection.dest_ip="destIP")

     Ganti kode berikut:

     • PROJECT_ID dengan ID project tempat masalah ditemukan.
     • SOURCE_IP dengan alamat IP yang tercantum di kolom srcIP di JSON temuan.
     • DESTINATION_IP dengan alamat IP yang tercantum di kolom destIp di JSON temuan.

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Network Denial of Service.
2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan pada detail temuan. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek yang mengalami lalu lintas DoS keluar.
• Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang disusupi.
• Jika perlu, hentikan instance yang disusupi dan ganti dengan instance baru.
• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Google Cloud Armor. Anda dapat mengaktifkan Google Cloud Armor di halaman Layanan Terintegrasi di Security Command Center. Bergantung pada volume datanya, biaya Google Cloud Armor bisa sangat signifikan. Lihat panduan harga Google Cloud Armor untuk mengetahui informasi selengkapnya.
• Untuk mengontrol akses dan penggunaan image VM, gunakan kebijakan IAM Shielded VM dan Trusted Images.

Persistence: IAM Anomalous Grant

Log audit diperiksa untuk mendeteksi penambahan pemberian peran IAM (IAM) yang mungkin dianggap mencurigakan.

Berikut adalah contoh pemberian anomali:

• Mengundang pengguna eksternal, seperti pengguna gmail.com, sebagai pemilik project dari Konsol Google Cloud
• Akun layanan yang memberikan izin sensitif
• Peran khusus yang memberikan izin sensitif
• Akun layanan yang ditambahkan dari luar organisasi atau project Anda

Temuan IAM Anomalous Grant bersifat unik karena menyertakan sub-aturan yang memberikan informasi yang lebih spesifik tentang setiap instance dari temuan ini. Klasifikasi tingkat keparahan dari temuan ini bergantung pada sub-aturannya. Setiap sub-aturan mungkin memerlukan respons yang berbeda.

Daftar berikut menunjukkan semua kemungkinan sub-aturan dan tingkat keparahannya:

• external_service_account_added_to_policy:
  • HIGH, jika peran yang sangat sensitif diberikan atau jika peran dengan sensitivitas sedang diberikan di tingkat organisasi. Untuk mengetahui informasi selengkapnya, lihat Peran yang sangat sensitif.
  • MEDIUM, jika peran dengan sensitivitas sedang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran sensitivitas sedang.
• external_member_invited_to_policy: HIGH
• external_member_added_to_policy:
  • HIGH, jika peran yang sangat sensitif diberikan atau jika peran dengan sensitivitas sedang diberikan di tingkat organisasi. Untuk mengetahui informasi selengkapnya, lihat Peran yang sangat sensitif.
  • MEDIUM, jika peran dengan sensitivitas sedang diberikan. Untuk mengetahui informasi selengkapnya, lihat Peran sensitivitas sedang.
• custom_role_given_sensitive_permissions: MEDIUM
• service_account_granted_sensitive_role_to_member: HIGH
• policy_modified_by_default_compute_service_account: HIGH

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: IAM Anomalous Grant seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: alamat email untuk pengguna atau akun layanan yang menetapkan peran.

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.
     • Chronicle: link ke Chronicle.

3. Klik tab JSON. JSON lengkap temuan ditampilkan.

4. Di JSON untuk temuan, perhatikan kolom berikut:

   • detectionCategory:
     • subRuleName: informasi yang lebih spesifik tentang jenis pemberian anomali yang terjadi. Sub-aturan tersebut menentukan klasifikasi keparahan temuan ini.
   • evidence:
     • sourceLogId:
     • projectId: ID project yang berisi temuan.
   • properties:
     • sensitiveRoleGrant:
       • bindingDeltas:
       • Action: tindakan yang diambil oleh pengguna.
       • Role: peran yang ditetapkan kepada pengguna.
       • member: alamat email pengguna yang menerima peran.

Langkah 2: Selidiki di Chronicle

Anda dapat menggunakan Chronicle untuk menyelidiki temuan ini. Chronicle adalah layanan Google Cloud yang memungkinkan Anda menyelidiki ancaman dan menelusuri entitas terkait dengan linimasa yang mudah digunakan. Chronicle memperkaya data temuan, sehingga Anda dapat mengidentifikasi indikator minat dan menyederhanakan investigasi.

Anda tidak dapat menyelidiki temuan Security Command Center di Chronicle jika Anda mengaktifkan Security Command Center di level project.

1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

   Buka Temuan

2. Di panel Quick filters, scroll ke bawah ke bagian Source display name.

3. Di bagian Source display name, pilih Event Threat Detection.

   Tabel akan diisi dengan temuan untuk jenis sumber yang Anda pilih.

4. Pada tabel, di bagian category, klik temuan Persistence: IAM Anomalous Grant. Panel detail untuk menemukan akan terbuka.

5. Di bagian Link terkait pada panel detail temuan, klik Investigasi di Chronicle.

6. Ikuti petunjuk di antarmuka pengguna terpandu Chronicle.

Gunakan panduan berikut untuk melakukan investigasi di Chronicle:

• Menyelidiki pengguna
• Menyelidiki aset

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Di halaman yang dimuat, cari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Tinjau temuan terkait dengan mengklik link di baris Temuan terkait di tab Ringkasan detail temuan. Temuan terkait adalah jenis temuan yang sama, serta instance dan jaringan yang sama.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang memiliki akun yang disusupi tersebut.
• Hapus akun layanan yang disusupi, lalu rotasikan dan hapus semua kunci akses akun layanan untuk project yang disusupi tersebut. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
• Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
• Untuk membatasi penambahan pengguna gmail.com, gunakan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Persistence: Impersonation Role Granted for Dormant Service Account

Mendeteksi peristiwa ketika peran peniruan identitas diberikan ke akun utama yang memungkinkan akun utama tersebut meniru akun layanan yang dikelola pengguna yang tidak aktif. Dalam temuan ini, akun layanan dorman adalah resource yang terpengaruh, dan akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: Impersonation Role Granted for Dormant Service Account, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: pengguna yang melakukan tindakan pemberian
   • Pemberian akses yang melanggar.Nama utama: akun utama yang diberi peran peniruan identitas

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: akun layanan dorman sebagai resource
   • Nama lengkap project: project tempat akun layanan dorman berada

Langkah 2: Riset tentang metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, di bagian Related links, klik link Cloud Logging URI untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Hapus akses pemilik Email utama jika akun disusupi.
• Hapus peran peniruan identitas yang baru diberikan dari anggota target.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pemberi rekomendasi IAM.

Persistence: Unmanaged Account Granted Sensitive Role

Mendeteksi peristiwa ketika peran sensitif diberikan ke akun yang tidak dikelola Akun yang tidak dikelola tidak dapat dikontrol oleh administrator sistem. Misalnya, jika karyawan yang sesuai keluar dari perusahaan, administrator tidak dapat menghapus akun tersebut. Oleh karena itu, memberikan peran sensitif ke akun yang tidak dikelola akan menimbulkan potensi risiko keamanan bagi organisasi.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: Unmanaged Account Granted Sensitive Role, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: pengguna yang melakukan tindakan pemberian
   • Pemberian akses yang melanggar.Nama utama: akun yang tidak dikelola yang menerima hibah
   • Pemberian akses yang melanggar.Peran diberikan: peran sensitif diberikan

Langkah 2: Riset tentang metode serangan dan respons

1. Hubungi pemilik kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.
2. Hubungi pemilik kolom Berikan akses yang melanggar.Nama utama, pahami asal akun yang tidak dikelola.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, di bagian Related links, klik link Cloud Logging URI untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Hapus akses pemilik Email utama jika akun disusupi.
• Hapus peran sensitif yang baru diberikan dari akun yang tidak dikelola.
• Pertimbangkan untuk mengonversi akun yang tidak dikelola menjadi akun terkelola menggunakan alat transfer, dan pindahkan akun ini di bawah kontrol administrator sistem.

Persistence: New API Method

Aktivitas admin yang tidak wajar oleh pelaku yang berpotensi berbahaya terdeteksi dalam organisasi, folder, atau project. Aktivitas yang tidak wajar dapat berupa salah satu dari hal berikut:

• Aktivitas baru oleh akun utama dalam organisasi, folder, atau project
• Aktivitas yang sudah lama tidak dilihat oleh akun utama dalam organisasi, folder, atau project

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New API Method seperti yang diarahkan di Meninjau temuan.

2. Di detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut:

   • Di bagian Yang terdeteksi:
     • Email utama: akun yang melakukan panggilan
     • Nama layanan: nama API layanan Google Cloud yang digunakan dalam tindakan
     • Nama metode: metode yang dipanggil
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: nama resource yang terpengaruh, yang mungkin sama dengan nama organisasi, folder, atau project
     • Jalur resource: lokasi di hierarki resource tempat aktivitas terjadi

Langkah 2: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Persistence.
2. Selidiki apakah tindakan tersebut sah dalam organisasi, folder, atau project, dan apakah tindakan tersebut diambil oleh pemilik akun yang sah. Organisasi, folder, atau project ditampilkan di baris Resource path dan akun ditampilkan di baris Principal email.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Persistence: New Geography

Temuan ini tidak tersedia untuk aktivasi level project.

Pengguna atau akun layanan IAM mengakses Google Cloud dari lokasi yang tidak wajar, berdasarkan geolokasi alamat IP yang meminta.

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New Geography, seperti yang diarahkan di bagian Meninjau detail temuan di awal halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

• Hal yang terdeteksi, terutama kolom berikut:
  • Email utama: akun pengguna yang berpotensi disusupi.
• Resource yang terpengaruh, terutama kolom berikut:
  • Nama lengkap project: project yang berisi akun pengguna yang berpotensi disusupi.
• Link terkait, terutama kolom berikut:
  • Cloud Logging URI: menautkan ke entri Logging.
  • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
  • Temuan terkait: menghubungkan ke temuan terkait.

1. Pada tampilan detail temuan, klik tab JSON.

2. Di JSON, perhatikan kolom sourceProperties berikut:

   • affectedResources:
     • gcpResourceName: resource yang terpengaruh
   • evidence:
     • sourceLogId:
     • projectId: ID project yang berisi temuan.
   • properties:
     • anomalousLocation:
     • anomalousLocation: perkiraan lokasi pengguna saat ini.
     • callerIp: alamat IP eksternal.
     • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran perilaku normal.
     • typicalGeolocations: lokasi tempat pengguna biasanya mengakses resource Google Cloud.

Langkah 2: Tinjau izin project dan akun

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectID dalam JSON temuan.

3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Email utama dan centang peran yang diberikan.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Pada halaman yang dimuat, periksa log untuk melihat aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang memiliki akun yang disusupi tersebut.
• Tinjau kolom anomalousLocation, typicalGeolocations, dan notSeenInLast untuk memverifikasi apakah akses tidak normal dan apakah akun telah disusupi.
• Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
• Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi Lokasi Resource.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Persistence: New User Agent

Temuan ini tidak tersedia untuk aktivasi level project.

Akun layanan IAM sedang mengakses Google Cloud menggunakan software mencurigakan, seperti yang ditunjukkan oleh agen pengguna yang tidak wajar.

Langkah 1: Tinjau detail temuan

1. Buka temuan Persistence: New User Agent, seperti yang diarahkan pada bagian Meninjau detail temuan di awal halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan yang berpotensi disusupi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap project: project yang berisi akun layanan yang berpotensi disusupi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
   1. Pada tampilan detail temuan, klik tab JSON.
   2. Di JSON, perhatikan kolom berikut.
   • projectId: project yang berisi akun layanan yang berpotensi disusupi.
   • callerUserAgent: agen pengguna anomali.
   • anomalousSoftwareClassification: jenis software.
   • notSeenInLast: jangka waktu yang digunakan untuk menetapkan dasar pengukuran untuk perilaku normal.

Langkah 2: Tinjau izin project dan akun

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di projectId.

3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email utama di tab Summary untuk menemukan detail dan memeriksa peran yang diberikan.

4. Di konsol Google Cloud, buka halaman Akun Layanan.

   Buka Akun Layanan

5. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di baris Email utama di tab Summary pada detail temuan.

6. Periksa kunci akun layanan dan tanggal pembuatan kunci.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Pada halaman yang dimuat, periksa log untuk melihat aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun yang Valid: Akun Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang memiliki akun yang disusupi tersebut.
• Tinjau kolom anomalousSoftwareClassification, callerUserAgent, dan behaviorPeriod untuk memverifikasi apakah akses tidak normal dan apakah akun telah disusupi.
• Hapus resource project yang dibuat oleh akun tidak sah, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.
• Untuk membatasi pembuatan resource baru ke region tertentu, lihat Membatasi Lokasi Resource.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Privilege Escalation: Changes to sensitive Kubernetes RBAC objects

Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya mencoba mengubah objek kontrol akses berbasis peran (RBAC) ClusterRole atau ClusterRoleBinding dari peran cluster-admin sensitif menggunakan permintaan PUT atau PATCH.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Changes to sensitive Kubernetes RBAC objects seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Method name: metode yang dipanggil.
     • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang diubah.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Di bagian What was detected, klik nama binding di baris Binding Kubernetes. Detail binding ditampilkan.

4. Dalam binding yang ditampilkan, perhatikan detail binding.

Langkah 2: Periksa log

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.

2. Jika nilai pada Method name adalah metode PATCH, periksa isi permintaan untuk melihat properti apa saja yang diubah.

   Dalam panggilan update (PUT), seluruh objek dikirim dalam permintaan, sehingga perubahannya tidak terlalu jelas.

3. Periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Hak Istimewa.
2. Konfirmasi sensitivitas objek dan apakah modifikasi dipastikan.
3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang diikat.
4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lain oleh akun utama di log.

5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik sah yang melakukan tindakan tersebut.

   Jika email utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber modifikasi untuk menentukan keabsahannya.

6. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Create Kubernetes CSR for master cert

Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya membuat permintaan penandatanganan sertifikat (CSR) master Kubernetes, yang memberinya akses cluster-admin.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Create Kubernetes CSR for master cert seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Method name: metode yang dipanggil.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Periksa log

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

3. Periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Hak Istimewa.
2. Selidiki apakah memberikan akses ke cluster-admin dijamin.

3. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik sah yang melakukan tindakan tersebut.

   Jika email utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.

4. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Creation of sensitive Kubernetes bindings

Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya mencoba membuat objek RoleBinding atau ClusterRoleBinding baru untuk peran cluster-admin.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Creation of sensitive Kubernetes bindings seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Binding Kubernetes: binding Kubernetes sensitif atau ClusterRoleBinding yang dibuat.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Periksa log

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.

2. Periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Hak Istimewa.
2. Pastikan sensitivitas binding yang dibuat dan apakah peran tersebut diperlukan untuk subjek.
3. Untuk binding, Anda dapat memeriksa subjek dan menyelidiki apakah subjek memerlukan peran yang diikat.
4. Tentukan apakah ada tanda-tanda aktivitas berbahaya lain oleh akun utama di log.

5. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik sah yang melakukan tindakan tersebut.

   Jika email utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.

6. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials

Untuk mengeskalasikan hak istimewa, pelaku yang berpotensi berbahaya membuat kueri permintaan penandatanganan sertifikat (CSR), dengan perintah kubectl, menggunakan kredensial bootstrap yang disusupi.

Berikut adalah contoh perintah yang terdeteksi oleh aturan ini:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Method name: metode yang dipanggil.
   • Di bagian Resource yang terpengaruh:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Periksa log

Jika nama metode, yang Anda catat di kolom Method name dalam detail temuan, adalah metode GET, lakukan hal berikut:

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
2. Periksa nilai di kolom protoPayload.resourceName untuk mengidentifikasi permintaan penandatanganan sertifikat tertentu.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Hak Istimewa.
2. Jika CSR tertentu tersedia di entri log, selidiki sensitivitas sertifikat dan apakah tindakan tersebut dapat dilakukan.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Launch of privileged Kubernetes container

Pelaku yang berpotensi berbahaya membuat Pod yang berisi penampung atau penampung dengan hak istimewa.

Penampung dengan hak istimewa memiliki kolom privileged yang ditetapkan ke true. Penampung dengan kemampuan eskalasi hak istimewa memiliki kolom allowPrivilegeEscalation yang ditetapkan ke true. Untuk mengetahui informasi selengkapnya, lihat referensi API inti SecurityContext v1 di dokumentasi Kubernetes.

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Launch of privileged Kubernetes container seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun yang melakukan panggilan.
     • Pod Kubernetes: Pod yang baru dibuat dengan container dengan hak istimewa.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: cluster Kubernetes tempat tindakan terjadi.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

3. Di tab JSON, catat nilai kolom temuan:

   • findings.kubernetes.pods[].containers: container dengan hak istimewa muncul di dalam Pod.

Langkah 2: Periksa log

1. Pada tab Summary untuk menemukan detail temuan di Konsol Google Cloud, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.

2. Periksa tindakan lain yang dilakukan oleh akun utama dengan menggunakan filter berikut:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ganti kode berikut:

   • CLUSTER_NAME: nilai yang Anda catat di kolom Nama tampilan resource dalam detail temuan.

   • PRINCIPAL_EMAIL: nilai yang Anda catat di kolom Email utama dalam detail temuan.

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eskalasi Hak Istimewa.
2. Pastikan container yang dibuat memerlukan akses ke resource host dan kemampuan kernel.
3. Tentukan apakah ada tanda-tanda aktivitas berbahaya lain oleh akun utama di log.

4. Jika email utama bukan akun layanan, hubungi pemilik akun untuk mengonfirmasi apakah pemilik sah yang melakukan tindakan tersebut.

   Jika email utama adalah akun layanan (IAM atau Kubernetes), identifikasi sumber tindakan untuk menentukan keabsahannya.

5. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Privilege Escalation: Dormant Service Account Granted Sensitive Role

Mendeteksi peristiwa saat peran IAM sensitif diberikan ke akun layanan yang dikelola pengguna yang tidak aktif. Dalam konteks ini, akun layanan dianggap tidak aktif jika tidak aktif selama lebih dari 180 hari.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Dormant Service Account Granted Sensitive Role, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: pengguna yang melakukan tindakan pemberian
   • Pemberian akses yang melanggar.Nama utama: Akun layanan tidak aktif yang menerima peran sensitif
   • Pemberian akses yang melanggar.Peran diberikan: Peran IAM sensitif yang ditetapkan

   Di bagian Resource yang terpengaruh:

   • Nama tampilan resource: organisasi, folder, atau project tempat peran IAM sensitif diberikan ke akun layanan dorman.

Langkah 2: Riset tentang metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang tidak aktif.
2. Hubungi pemilik kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, di bagian Related links, klik link Cloud Logging URI untuk membuka Logs Explorer.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Hapus akses pemilik Email utama jika akun disusupi.
• Hapus peran IAM sensitif yang baru ditetapkan dari akun layanan dorman.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Cloud Customer Care.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan pemberi rekomendasi IAM.

Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity

Peniruan Identitas Anomali Akun Layanan terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan akun layanan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Impersonation of Service Account for Admin Activity, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
     • Nama layanan: Nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
     • Method name: metode yang dipanggil.
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: Nama cluster.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Riset tentang metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.
2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Pastikan apakah pemilik sah yang melakukan tindakan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity

Anomalous Multistep Service Account Delegation terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan akun layanan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for Admin Activity, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud.
     • Nama layanan: Nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas.
     • Method name: metode yang dipanggil.
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas.
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Riset tentang metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.
2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Pastikan apakah pemilik sah yang melakukan tindakan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access

Anomalous Multistep Service Account Delegation terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Multistep Service Account Delegation for Data Access, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama layanan: Nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas
   • Resource yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Riset tentang metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.
2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Pastikan apakah pemilik sah yang melakukan tindakan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity

Anomalous Service Account Impersonator terdeteksi dengan memeriksa Log Audit Aktivitas Admin untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for Admin Activity, seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:

     • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
     • Nama layanan: Nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
     • Nama metode: metode yang dipanggil
     • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas

   • Resource yang terpengaruh

   • Link terkait, terutama kolom berikut:

     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.

Langkah 2: Riset tentang metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.
2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Pastikan apakah pemilik sah yang melakukan tindakan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Privilege Escalation: Anomalous Service Account Impersonator for Data Access

Peniru Akun Layanan yang Anomali terdeteksi dengan memeriksa Log Audit Akses Data untuk melihat apakah ada anomali yang terjadi dalam permintaan peniruan identitas akun layanan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: Anomalous Service Account Impersonator for Data Access, seperti yang diarahkan di Meninjau temuan.

2. Pada detail temuan, di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: akun layanan akhir dalam permintaan peniruan identitas yang digunakan untuk mengakses Google Cloud
   • Nama layanan: Nama API layanan Google Cloud yang terlibat dalam permintaan peniruan identitas
   • Nama metode: metode yang dipanggil
   • Informasi delegasi akun layanan: detail akun layanan dalam rantai delegasi, akun utama di bagian bawah daftar adalah pemanggil permintaan peniruan identitas

Langkah 2: Riset tentang metode serangan dan respons

1. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.
2. Selidiki akun utama dalam rantai delegasi untuk memverifikasi apakah permintaan tidak normal dan apakah ada akun yang disusupi.
3. Hubungi pemilik pemanggil peniruan identitas dalam daftar Info delegasi akun layanan. Pastikan apakah pemilik sah yang melakukan tindakan.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua resource yang terpengaruh dan bekerja sama dengan pemilik resource untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.
• Untuk membatasi siapa yang dapat membuat akun layanan, gunakan Layanan Kebijakan Organisasi.
• Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM.

Service account self-investigation

Kredensial akun layanan digunakan untuk menyelidiki peran dan izin yang terkait dengan akun layanan yang sama tersebut. Temuan ini menunjukkan bahwa kredensial akun layanan mungkin telah disusupi dan tindakan segera harus diambil.

Langkah 1: Tinjau detail temuan

1. Buka temuan Discovery: Service Account Self-Investigation, seperti yang diarahkan pada bagian Meninjau detail temuan di awal halaman ini. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Keparahan: tingkat risiko yang ditetapkan untuk temuan. Tingkat keparahannya adalah HIGH jika panggilan API yang memicu temuan ini tidak sah—akun layanan tidak memiliki izin untuk mengkueri izin IAM-nya sendiri dengan projects.getIamPolicy API.
     • Email utama: akun layanan yang berpotensi disusupi.
     • IP Penelepon: alamat IP internal atau eksternal
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource:
     • Nama lengkap project: project yang berisi kredensial akun yang berpotensi bocor.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: menghubungkan ke temuan terkait.
   1. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau izin project dan akun layanan

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Jika perlu, pilih project yang tercantum di kolom projectID pada JSON temuan.

3. Di halaman yang muncul, di kotak Filter, masukkan nama akun yang tercantum di Email utama dan centang izin yang ditetapkan.

4. Di konsol Google Cloud, buka halaman Akun Layanan.

   Buka Akun Layanan

5. Pada halaman yang muncul, di kotak Filter, masukkan nama akun layanan yang disusupi, lalu periksa kunci dan tanggal pembuatan kunci akun layanan.

Langkah 3: Periksa log

1. Di tab Summary pada panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.
2. Jika perlu, pilih project Anda.
3. Pada halaman yang dimuat, periksa log untuk melihat aktivitas dari resource IAM baru atau yang diperbarui menggunakan filter berikut:
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Penemuan Grup Izin: Grup Cloud.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang memiliki akun yang disusupi tersebut.
• Hapus akun layanan yang disusupi, lalu rotasikan dan hapus semua kunci akses akun layanan untuk project yang disusupi tersebut. Setelah dihapus, resource yang menggunakan akun layanan untuk autentikasi akan kehilangan akses.
• Hapus resource project yang dibuat oleh akun yang disusupi, seperti instance Compute Engine, snapshot, akun layanan, dan pengguna IAM yang tidak dikenal.

Inhibit System Recovery: Deleted Google Cloud Backup and DR host

Event Threat Detection memeriksa log audit untuk mendeteksi penghapusan host yang menjalankan aplikasi yang dilindungi oleh Layanan Pencadangan dan DR. Setelah host dihapus, aplikasi yang terkait dengan host tidak dapat dicadangkan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Deleted Google Cloud Backup and DR host, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
     • Nama host: nama host yang terhubung ke Pencadangan dan DR
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat host dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Pastikan host yang dihapus tidak ada lagi dalam daftar host Cadangan dan DR.
3. Pilih opsi Tambahkan Host untuk menambahkan kembali host yang dihapus.

Inhibit System Recovery: Google Cloud Backup and DR remove plan

Security Command Center memeriksa log audit untuk mendeteksi penghapusan yang tidak wajar pada rencana pencadangan Layanan Pencadangan dan DR yang digunakan untuk menerapkan kebijakan pencadangan ke aplikasi.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR remove plan, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi pencadangan, jadwal, dan waktu retensi
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat rencana dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab App Manager, temukan aplikasi terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.

Inhibit System Recovery: Google Cloud Backup and DR delete template

Security Command Center akan memeriksa log audit untuk mendeteksi penghapusan template yang tidak wajar. Template adalah konfigurasi dasar untuk pencadangan yang dapat diterapkan ke beberapa aplikasi.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete template, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi pencadangan, jadwal, dan waktu retensi
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat template dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab App Manager, temukan aplikasi terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi.
3. Untuk menambahkan kembali template, buka tab Backup Plans, pilih Templates, lalu pilih opsi Buat Template.

Inhibit System Recovery: Google Cloud Backup and DR delete policy

Log audit diperiksa untuk mendeteksi penghapusan kebijakan. Kebijakan menentukan bagaimana cadangan diambil dan di mana cadangannya akan disimpan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete policy, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi pencadangan, jadwal, dan waktu retensi
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat kebijakan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan. 1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Pengelola Aplikasi, pilih aplikasi yang terpengaruh dan tinjau setelan Kebijakan yang diterapkan pada aplikasi tersebut.

Inhibit System Recovery: Google Cloud Backup and DR delete profile

Log audit diperiksa untuk mendeteksi penghapusan profil. Profil menentukan kumpulan penyimpanan mana yang digunakan untuk menyimpan cadangan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete profile, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat profil dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan. 1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Pada tab Rencana Cadangan, pilih Profil untuk melihat daftar semua profil. 3. Tinjau profil untuk memastikan bahwa semua profil yang diperlukan telah diterapkan. 4. Jika profil yang dihapus tidak seharusnya dihapus, pilih Create Profile guna menentukan target penyimpanan untuk peralatan Pencadangan dan DR Anda.

Inhibit System Recovery: Google Cloud Backup and DR delete storage pool

Log audit diperiksa untuk mendeteksi penghapusan penyimpanan gabungan. Kumpulan penyimpanan mengaitkan bucket Cloud Storage dengan Pencadangan dan DR.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR delete storage pool, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama kumpulan penyimpanan: nama untuk bucket penyimpanan tempat cadangan disimpan
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat kumpulan penyimpanan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan. 1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Kelola, pilih Penyimpanan Penyimpanan untuk melihat daftar semua kumpulan penyimpanan. 3. Tinjau pengaitan penyimpanan bersama dengan Backup Appliance. 4. Jika alat yang aktif tidak memiliki kumpulan penyimpanan terkait, pilih Tambahkan Kumpulan OnVault untuk menambahkannya kembali.

Data Destruction: Google Cloud Backup and DR expire image

Pelaku yang berpotensi berniat jahat telah meminta untuk menghapus gambar cadangan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR expire image, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi pencadangan, jadwal, dan waktu retensi
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat gambar cadangan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan. 1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Pantau dan pilih Tugas untuk meninjau status penghapusan tugas cadangan. 3. Jika tugas penghapusan tidak diizinkan, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.

Data Destruction: Google Cloud Backup and DR expire all images

Pelaku yang berpotensi berbahaya telah meminta untuk menghapus semua gambar cadangan yang terkait dengan sebuah aplikasi.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR expire all images, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama kebijakan: nama untuk satu kebijakan, yang menentukan frekuensi, jadwal, dan waktu retensi pencadangan
     • Nama template: nama untuk serangkaian kebijakan yang menentukan frekuensi pencadangan, jadwal, dan waktu retensi
     • Nama profil: menentukan target penyimpanan untuk cadangan data aplikasi dan VM
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat gambar cadangan dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan. 1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Buka tab Pantau dan pilih Tugas untuk meninjau status penghapusan tugas cadangan. 3. Jika tugas penghapusan tidak diizinkan, buka izin IAM untuk meninjau pengguna yang memiliki akses ke data cadangan.

Data Destruction: Google Cloud Backup and DR remove appliance

Log audit diperiksa untuk mendeteksi penghapusan perangkat pencadangan dan pemulihan. Peralatan pencadangan dan pemulihan merupakan komponen penting untuk operasi pencadangan.

Langkah 1: Tinjau detail temuan

1. Buka temuan Inhibit System Recovery: Google Cloud Backup and DR remove appliance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama aplikasi: nama database atau VM yang terhubung ke Pencadangan dan DR
     • Subjek utama: pengguna yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat perangkat dihapus
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK
     • Logging URI: link untuk membuka Logs Explorer

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi informasi yang Anda kumpulkan dalam penyelidikan dengan cermat untuk menentukan cara terbaik untuk menyelesaikan temuan. 1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan. 2. Di tab Pengelola Aplikasi, temukan aplikasi terpengaruh yang tidak lagi dilindungi dan tinjau kebijakan pencadangan untuk setiap aplikasi. 3. Untuk membuat perangkat baru dan menerapkan kembali perlindungan ke aplikasi yang tidak dilindungi, buka Pencadangan dan DR di Konsol Google Cloud, lalu pilih Deploy opsi alat pencadangan atau pemulihan lainnya. 4. Di menu Penyimpanan, konfigurasi setiap perangkat baru dengan target penyimpanan. Setelah dikonfigurasi, alat akan muncul sebagai opsi saat Anda membuat profil untuk aplikasi.

Impact: Google Cloud Backup and DR reduced backup expiration

Event Threat Detection memeriksa log audit untuk mendeteksi apakah tanggal habis masa berlaku cadangan di perangkat Layanan Pencadangan dan DR telah dikurangi.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR reduced backup expiration, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi
     • Subjek utama: pengguna atau akun layanan yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project yang mengurangi masa berlaku cadangan.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Subjek utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab App Manager, temukan aplikasi terpengaruh yang masa berlaku cadangannya dikurangi dengan dikurangi masa berlaku cadangan dan pastikan akhir masa berlaku tersebut dimaksudkan oleh akun utama.
3. Untuk memulai pencadangan baru aplikasi, pilih Manage Backup Configurations untuk membuat pencadangan on demand atau menjadwalkan pencadangan baru.

Impact: Google Cloud Backup and DR reduced backup frequency

Event Threat Detection memeriksa log audit untuk mendeteksi apakah rencana pencadangan telah diubah untuk mengurangi frekuensi pencadangan.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Impact: Google Cloud Backup and DR reduced backup frequency, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.
2. Di tab Ringkasan, tinjau informasi di bagian berikut:
   • Hal yang terdeteksi, terutama kolom berikut:
     • Deskripsi: informasi tentang deteksi
     • Subjek utama: pengguna atau akun layanan yang berhasil menjalankan tindakan
   • Resource yang terpengaruh
     • Nama tampilan resource: project tempat frekuensi pencadangan dikurangi.
   • Link terkait, terutama kolom berikut:
     • Metode MITRE ATTACK: link ke dokumentasi MITRE ATT&CK.
     • Logging URI: link untuk membuka Logs Explorer.

Langkah 2: Riset tentang metode serangan dan respons

Hubungi pemilik akun layanan di kolom Subjek utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

1. Pada project tempat tindakan dilakukan, buka konsol pengelolaan.
2. Di tab App Manager, temukan aplikasi terpengaruh yang frekuensi pencadangannya dikurangi dan pastikan perubahannya memang diinginkan oleh akun utama.
3. Untuk memulai pencadangan baru aplikasi, pilih Manage Backup Configurations untuk membuat pencadangan on demand atau menjadwalkan pencadangan baru.

Lateral Movement: Modified Boot Disk Attached to Instance

Log audit diperiksa untuk mendeteksi pergerakan disk yang mencurigakan di antara resource instance Compute Engine. Boot disk yang berpotensi dimodifikasi telah dilampirkan ke Compute Engine Anda.

Langkah 1: Tinjau detail temuan

1. Buka temuan Lateral Movement: Modify Boot Disk Attaching to Instance, seperti yang dijelaskan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, perhatikan nilai kolom berikut.

   Di bagian Apa yang terdeteksi:

   • Email utama: akun layanan yang melakukan tindakan
   • Nama layanan: nama API layanan Google Cloud yang diakses oleh akun layanan tersebut
   • Nama metode: metode yang dipanggil

Langkah 2: Riset tentang metode serangan dan respons

1. Gunakan alat akun layanan, seperti Activity Analyzer, untuk menyelidiki aktivitas akun layanan yang terkait.
2. Hubungi pemilik akun layanan di kolom Email utama. Pastikan apakah pemilik sah yang melakukan tindakan tersebut.

Langkah 3: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik proyek di mana tindakan itu dilakukan.
• Pertimbangkan untuk menggunakan booting aman untuk Compute Engine Anda
• Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi dan merotasi serta menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
• Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang diizinkan.
• Tanggapi notifikasi apa pun dari Dukungan Google Cloud.

Privilege Escalation: AlloyDB Over-Privileged Grant

Mendeteksi saat semua hak istimewa atas database AlloyDB untuk PostgreSQL (atau semua fungsi atau prosedur dalam database) diberikan kepada satu atau beberapa pengguna database.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: AlloyDB Over-Privileged Grant, seperti yang diarahkan di Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama pengguna database: pengguna PostgreSQL yang memberikan hak istimewa berlebih.
     • Kueri database: kueri PostgreSQL yang dieksekusi yang memberikan hak istimewa.
     • Penerima hibah database: penerima hak istimewa yang tersebar di seluruh dunia.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource AlloyDB untuk instance PostgreSQL.
     • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Tinjau hak istimewa database

1. Hubungkan ke instance AlloyDB untuk PostgreSQL.
2. Menampilkan daftar dan menampilkan hak akses untuk hal berikut:
   • {i>Database.<i} Gunakan metacommand \l atau \list dan periksa hak istimewa yang ditetapkan untuk database yang tercantum dalam Nama tampilan database (dari Langkah 1).
   • Fungsi atau prosedur. Gunakan metacommand \df dan periksa hak istimewa yang ditetapkan untuk fungsi atau prosedur dalam database yang tercantum di Nama tampilan database (dari Langkah 1).

Langkah 3: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di Cloud Logging URI (dari Langkah 1). Halaman Logs Explorer berisi semua log yang terkait dengan instance Cloud SQL yang relevan.
2. Di Logs explorer, periksa log pgaudit PostgreSQL, yang mencatat kueri yang dijalankan ke database, dengan menggunakan filter berikut:
   • protoPayload.request.database="var class="edit">database"

Langkah 4: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik instance dengan hibah hak istimewa berlebih.
• Pertimbangkan untuk mencabut semua izin untuk penerima hibah yang tercantum di Penerima hibah database hingga penyelidikan selesai.
• Untuk membatasi akses ke database (dari Nama tampilan database di Langkah 1, revoke izin yang tidak perlu dari penerima hibah (dari Penerima hibah database di Langkah 1.

Privilege Escalation: AlloyDB Database Superuser Writes to User Tables

Mendeteksi saat akun superuser database AlloyDB untuk PostgreSQL (postgres) menulis ke tabel pengguna. Superuser (peran dengan akses yang sangat luas) umumnya tidak boleh digunakan untuk menulis ke tabel pengguna. Akun pengguna dengan akses yang lebih terbatas harus digunakan untuk aktivitas harian normal. Ketika superuser menulis ke tabel pengguna, hal itu dapat menunjukkan bahwa penyerang telah mengeskalasikan hak istimewa atau telah menyusupi pengguna database default dan sedang mengubah data. Hal ini juga bisa menunjukkan praktik yang normal tetapi tidak aman.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Privilege Escalation: AlloyDB Database Superuser Writes to User Tables, seperti yang diarahkan di Meninjau temuan.

2. Pada tab Ringkasan di panel detail temuan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Nama tampilan database: nama database di instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama pengguna database: superuser.
     • Kueri database: kueri SQL yang dieksekusi saat menulis ke tabel pengguna.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama resource instance AlloyDB untuk PostgreSQL yang terpengaruh.
     • Nama lengkap induk: nama resource AlloyDB untuk instance PostgreSQL.
     • Nama lengkap project: project Google Cloud yang berisi instance AlloyDB untuk PostgreSQL.
   • Link terkait, terutama kolom berikut:
     • Cloud Logging URI: menautkan ke entri Logging.
     • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer dengan mengklik link di cloudLoggingQueryURI (dari Langkah 1). Halaman Logs Explorer berisi semua log yang terkait dengan AlloyDB yang relevan untuk instance PostgreSQL.
2. Periksa log untuk log pgaudit PostgreSQL, yang berisi kueri yang dijalankan oleh superuser, dengan menggunakan filter berikut:
   • protoPayload.request.user="postgres"

Langkah 3: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pemindahan yang Tidak Sah Melalui Layanan Web.
2. Untuk menentukan apakah langkah-langkah perbaikan tambahan diperlukan, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Tinjau pengguna yang diizinkan untuk terhubung ke database.
• Pertimbangkan untuk mengubah sandi superuser.
• Pertimbangkan untuk membuat pengguna baru dengan akses terbatas untuk berbagai jenis kueri yang digunakan pada instance.
  • Berikan pengguna baru hanya izin yang diperlukan untuk menjalankan kueri mereka.
  • Memperbarui kredensial untuk klien yang terhubung ke instance AlloyDB untuk PostgreSQL

Deteksi Metadata Admin Compute Engine

Persistence: GCE Admin Added SSH Key

Persistence: GCE Admin Added Startup Script

Deteksi log Google Workspace

Jika Anda membagikan log Google Workspace ke Cloud Logging, Event Threat Detection akan menghasilkan temuan untuk beberapa ancaman Google Workspace. Karena log Google Workspace berada di level organisasi, Event Threat Detection hanya dapat memindainya jika Anda mengaktifkan Security Command Center di tingkat organisasi.

Event Threat Detection memperkaya peristiwa log dan menulis temuan ke Security Command Center. Tabel berikut berisi ancaman Google Workspace, entri framework MITRE ATT&CK yang relevan, dan detail tentang peristiwa yang memicu temuan. Anda juga dapat memeriksa log menggunakan filter tertentu, dan menggabungkan semua informasi untuk merespons ancaman Google Workspace.

Initial Access: Disabled Password Leak

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Initial Access: Suspicious Login Blocked

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Initial Access: Account Disabled Hijacked

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Impair Defenses: Two Step Verification Disabled

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Initial Access: Government Based Attack

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Persistence: SSO Enablement Toggle

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Persistence: SSO Settings Changed

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Impair Defenses: Strong Authentication Disabled

Temuan ini tidak tersedia jika Anda mengaktifkan Security Command Center di level project.

Merespons ancaman Google Workspace

Temuan untuk Google Workspace hanya tersedia untuk aktivasi Security Command Center tingkat organisasi. Log Google Workspace tidak dapat dipindai untuk aktivasi level project.

Jika Anda adalah Admin Google Workspace, Anda dapat menggunakan alat keamanan layanan untuk mengatasi ancaman ini:

• Pusat Notifikasi Google Workspace
• Pusat Keamanan Google Workspace

Alat ini mencakup pemberitahuan, dasbor keamanan, rekomendasi keamanan, dan dapat membantu Anda menyelidiki serta memulihkan ancaman.

Jika Anda bukan Admin Google Workspace, lakukan hal berikut:

• Jika Anda masih memiliki akses ke akun, ubah atau reset sandi dan aktifkan Verifikasi 2 Langkah.
• Hubungi Admin Google Workspace Anda atau tim di perusahaan Anda yang mengelola akun Google Workspace Anda. Gunakan temuan ini sebagai indikasi bahwa akun mungkin telah disusupi.

Deteksi ancaman Cloud IDS

Cloud IDS: THREAT_ID

Temuan Cloud IDS dihasilkan oleh Cloud IDS, yang merupakan layanan keamanan yang memantau traffic ke dan dari resource Google Cloud Anda untuk mendeteksi ancaman. Saat mendeteksi ancaman, Cloud IDS akan mengirimkan informasi tentang ancaman tersebut, seperti alamat IP sumber, alamat tujuan, dan nomor port, ke Event Threat Detection, yang kemudian mengeluarkan temuan ancaman.

Langkah 1: Tinjau detail temuan

1. Buka penemuan Cloud IDS: THREAT_ID, seperti yang diarahkan dalam Meninjau temuan.

2. Di detail temuan, di tab Ringkasan, tinjau nilai yang tercantum di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Protokol: protokol jaringan yang digunakan
     • Waktu peristiwa: Waktu peristiwa terjadi
     • Deskripsi: Informasi selengkapnya tentang temuan tersebut
     • Keparahan: Tingkat keseriusan notifikasi
     • IP tujuan: IP target traffic jaringan
     • Port Tujuan: Port target traffic jaringan
     • IP Sumber: IP sumber traffic jaringan
     • Port Sumber: Port sumber traffic jaringan
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: Project yang berisi jaringan dengan ancaman
   • Link terkait, terutama kolom berikut:
     • URI Cloud Logging: link ke entri Logging Cloud IDS - entri ini berisi informasi yang diperlukan untuk menelusuri Threat Vault dari Pao Alto Networks
   • Layanan Deteksi
     • Menemukan Kategori Nama ancaman Cloud IDS

3. Untuk melihat JSON lengkap untuk temuan, klik tab JSON.

Langkah 2: Mencari metode serangan dan respons

Setelah Anda meninjau detail temuan, baca dokumentasi Cloud IDS tentang menyelidiki peringatan ancaman untuk menentukan respons yang tepat.

Anda dapat menemukan informasi selengkapnya tentang peristiwa yang terdeteksi di entri log asli dengan mengklik link di kolom Cloud Logging URI dalam detail temuan.

Respons Container Threat Detection

Untuk mempelajari lebih lanjut Deteksi Ancaman Container, lihat cara kerja Deteksi Ancaman Container.

Added Binary Executed

Biner yang bukan bagian dari image container asli dijalankan. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Added Binary Executed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut dari biner yang ditambahkan.
     • Argumen: argumen yang diberikan saat memanggil biner yang ditambahkan.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.

3. Klik JSON dan perhatikan kolom berikut:

   • resource:
     • project_display_name: nama project yang berisi cluster.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama penampung yang terpengaruh.
     • Container_Image_Uri: nama image container yang di-deploy.
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project project_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project project_name
   

   Ganti kode berikut:

   • cluster_name: cluster yang tercantum di resource.labels.cluster_name
   • location: lokasi yang tercantum di resource.labels.location
   • project_name: nama project yang tercantum di resource.project_display_name

5. Ambil biner yang ditambahkan dengan menjalankan:

     kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur file lokal untuk menyimpan biner yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Native API.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Added Library Loaded

Library yang bukan bagian dari image container asli telah dimuat. Penyerang mungkin memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Added Library Loaded seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur lengkap biner proses yang memuat library.
     • Library: detail tentang library yang ditambahkan.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster.

3. Klik tab JSON dan perhatikan kolom berikut:

   • resource:
     • project_display_name: nama project yang berisi aset.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama penampung yang terpengaruh.
     • Container_Image_Uri: nama image container yang sedang dieksekusi.
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell.

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Ambil library yang ditambahkan dengan menjalankan:

     kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur file lokal untuk menyimpan library yang ditambahkan.

6. Hubungkan ke lingkungan container dengan menjalankan:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Shared Modules.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Added Malicious Binary Executed

Biner berbahaya yang bukan bagian dari image container asli telah dieksekusi. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Execution: Added Malicious Binary Executed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut dari biner yang ditambahkan.
     • Argumen: argumen yang diberikan saat memanggil biner yang ditambahkan.
     • Penampung: nama penampung yang terpengaruh.
     • URI Container: nama image container yang sedang di-deploy.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.

3. Klik tab JSON dan perhatikan kolom berikut:

   • sourceProperties:
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project project_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project project_name
   

   Ganti kode berikut:

   • cluster_name: cluster yang tercantum di resource.labels.cluster_name
   • location: lokasi yang tercantum di resource.labels.location
   • project_name: nama project yang tercantum di resource.project_display_name

5. Ambil biner berbahaya yang ditambahkan:

     kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur lokal untuk menyimpan biner berbahaya yang ditambahkan.

6. Menghubungkan ke lingkungan container:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Native API.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
3. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link pada indikator VirusTotal. VirusTotal adalah layanan milik Alfabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Added Malicious Library Loaded

Library berbahaya yang bukan bagian dari image container asli telah dimuat. Penyerang mungkin memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Execution: Added Malicious Library Loaded seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur lengkap biner proses yang memuat library.
     • Library: detail tentang library yang ditambahkan.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
     • Penampung: nama penampung yang terpengaruh.
     • URI Container: nama image container yang sedang di-deploy.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.

3. Klik tab JSON dan perhatikan kolom berikut:

   • sourceProperties:
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell.

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Ambil library berbahaya yang ditambahkan:

     kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur lokal untuk menyimpan library berbahaya yang ditambahkan.

6. Menghubungkan ke lingkungan container:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Shared Modules.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
3. Periksa nilai hash SHA-256 untuk library yang ditandai sebagai berbahaya pada VirusTotal dengan mengklik link pada indikator VirusTotal. VirusTotal adalah layanan milik Alfabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Built in Malicious Binary Executed

Biner yang telah dieksekusi, dengan biner:

• Disertakan dalam image container asli.
• Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.

Penyerang memiliki kontrol atas repositori image container atau pipeline pembuatan, tempat biner berbahaya dimasukkan ke dalam image container. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Execution: Built in Malicious Binary Executed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut dari biner bawaan.
     • Argumen: argumen yang diberikan saat memanggil biner bawaan.
     • Penampung: nama penampung yang terpengaruh.
     • URI Container: nama image container yang sedang di-deploy.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.

3. Klik JSON dan perhatikan kolom berikut:

   • sourceProperties:
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project project_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project project_name
   

   Ganti kode berikut:

   • cluster_name: cluster yang tercantum di resource.labels.cluster_name
   • location: lokasi yang tercantum di resource.labels.location
   • project_name: nama project yang tercantum di resource.project_display_name

5. Ambil biner berbahaya bawaan:

     kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur lokal untuk menyimpan biner berbahaya tin bawaan.

6. Menghubungkan ke lingkungan container:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Native API.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
3. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link pada indikator VirusTotal. VirusTotal adalah layanan milik Alfabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Modified Malicious Binary Executed

Biner yang telah dieksekusi, dengan biner:

• Disertakan dalam image container asli.
• Diubah selama runtime penampung.
• Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.

Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Execution: Modified Malicious Binary Executed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut dari biner yang dimodifikasi.
     • Arguments: argumen yang diberikan saat memanggil biner yang diubah.
     • Penampung: nama penampung yang terpengaruh.
     • URI Container: nama image container yang sedang di-deploy.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster termasuk nomor project, lokasi, dan nama cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.

3. Klik JSON dan perhatikan kolom berikut:

   • sourceProperties:
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project project_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project project_name
   

   Ganti kode berikut:

   • cluster_name: cluster yang tercantum di resource.labels.cluster_name
   • location: lokasi yang tercantum di resource.labels.location
   • project_name: nama project yang tercantum di resource.project_display_name

5. Ambil biner berbahaya yang dimodifikasi:

     kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur lokal untuk menyimpan biner berbahaya yang dimodifikasi.

6. Menghubungkan ke lingkungan container:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Native API.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
3. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link pada indikator VirusTotal. VirusTotal adalah layanan milik Alfabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Execution: Modified Malicious Library Loaded

Library yang telah dimuat, dengan library tersebut:

• Disertakan dalam image container asli.
• Diubah selama runtime penampung.
• Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.

Penyerang mungkin memuat library berbahaya ke dalam program yang ada untuk mengabaikan perlindungan eksekusi kode dan menyembunyikan kode berbahaya. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Execution: Modified Malicious Library Loaded seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka ke tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur lengkap biner proses yang memuat library.
     • Library: detail tentang library yang diubah.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
     • Penampung: nama penampung yang terpengaruh.
     • URI Container: nama image container yang sedang di-deploy.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster.
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: tertaut ke halaman analisis VirusTotal.

3. Klik tab JSON dan perhatikan kolom berikut:

   • sourceProperties:
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter cluster yang tercantum di baris Resource full name di tab Summary pada detail temuan dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell.

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Ambil library berbahaya yang dimodifikasi:

     kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file
   

   Ganti local_file dengan jalur lokal untuk menyimpan library berbahaya yang dimodifikasi.

6. Menghubungkan ke lingkungan container:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Shared Modules.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.
3. Periksa nilai hash SHA-256 untuk library yang ditandai sebagai berbahaya pada VirusTotal dengan mengklik link pada indikator VirusTotal. VirusTotal adalah layanan milik Alfabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Malicious Script Executed

Model machine learning mengidentifikasi skrip bash yang dijalankan sebagai berbahaya. Penyerang dapat menggunakan bash untuk mentransfer alat dan menjalankan perintah tanpa biner.

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malicious Script Executed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: detail tentang penafsir yang memanggil skrip.
     • Script: jalur absolut dari nama skrip pada disk; atribut ini hanya muncul untuk skrip yang ditulis ke disk, bukan untuk eksekusi skrip literal, misalnya bash -c.
     • Argumen: argumen yang diberikan saat memanggil skrip.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster, termasuk nomor project, lokasi, dan nama cluster

3. Pada tampilan detail temuan, klik tab JSON.

4. Di JSON, perhatikan kolom berikut.

   • finding:
     • processes:
     • script:
       • contents: Awalan konten file skrip yang dieksekusi, yang dapat membantu dalam penyelidikan Anda; konten mungkin terpotong karena alasan performa
       • sha256: hash SHA-256 untuk script.contents
   • resource:
     • project_display_name: nama project yang berisi aset.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama penampung yang terpengaruh.
     • Container_Image_Uri: nama image container yang sedang dieksekusi.
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum dalam resource.name dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

3. Di halaman Clusters, klik Connect, lalu klik Run in Cloud Shell.

   Cloud Shell diluncurkan dan menambahkan perintah untuk cluster di terminal.

4. Tekan enter dan, jika dialog Authorize Cloud Shell muncul, klik Authorize.

5. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Malicious URL Observed

Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang dapat dieksekusi. Penyerang dapat memuat malware atau library berbahaya melalui URL berbahaya.

Untuk merespons temuan ini, lakukan langkah-langkah berikut.

Langkah 1: Tinjau detail temuan

1. Buka temuan Malicious URL Observed seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • URI: URI berbahaya yang diamati.
     • Biner yang ditambahkan: jalur lengkap dari biner proses yang menerima argumen yang berisi URL berbahaya.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
     • Variabel lingkungan: variabel lingkungan yang berpengaruh saat biner proses dipanggil.
     • Penampung: nama penampung.
     • Pod Kubernetes: nama dan namespace pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: nama resource yang terpengaruh.
     • Nama lengkap resource: nama lengkap resource cluster. Nama lengkap resource mencakup informasi berikut:
       • Project yang berisi cluster: projects/PROJECT_ID
       • Lokasi tempat cluster berada: zone/ZONE atau locations/LOCATION
       • Nama cluster: projects/CLUSTER_NAME

3. Di tab JSON, di atribut sourceProperties, catat nilai properti VM_Instance_Name.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Di toolbar konsol Google Cloud, pilih project yang muncul di Resource full name (resource.name), jika perlu. Nama project akan muncul setelah /projects/ dalam nama resource lengkap.

3. Klik nama cluster yang Anda catat di Nama tampilan resource (resource.display_name) dari ringkasan temuan. Halaman Clusters akan terbuka.

4. Pada bagian Metadata di **halaman detail Cluster, catat semua informasi yang ditentukan pengguna yang mungkin berguna dalam mengatasi ancaman, seperti informasi yang mengidentifikasi pemilik cluster.

5. Klik tab Nodes.

6. Dari node yang tercantum, pilih node yang cocok dengan nilai VM_Instance_Name yang Anda catat dalam JSON temuan sebelumnya.

7. Di tab Details pada halaman Node details, di bagian Annotations, catat nilai anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Pada toolbar konsol Google Cloud, pilih project yang Anda catat di bagian Resource full name (resource.name) cluster di ringkasan temuan, jika perlu.

3. Klik Show system workload.

4. Filter daftar workload berdasarkan nama cluster yang Anda catat di Resource lengkap name (resource.name)pada ringkasan temuan dan, jika perlu, pod Namespace (kubernetes.pods.ns) yang Anda catat.

5. Klik nama workload yang cocok dengan nilai properti VM_Instance_Name yang Anda catat dalam temuan JSON sebelumnya. Halaman Detail pod akan terbuka.

6. Di halaman Detail pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud, pilih project yang muncul di Resource full name (resource.name), jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk pod Anda (kubernetes.pods.name) menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

3. Di halaman Clusters, klik Connect, lalu klik Run in Cloud Shell.

   Cloud Shell diluncurkan dan menambahkan perintah untuk cluster di terminal.

4. Tekan enter dan, jika dialog Authorize Cloud Shell muncul, klik Authorize.

5. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

     kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh
   

   Ganti CONTAINER_NAME dengan nama penampung yang Anda catat dalam ringkasan temuan sebelumnya.

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

Langkah 6: Riset tentang metode serangan dan respons

1. Periksa status situs Safe Browsing untuk mendapatkan detail tentang alasan URL diklasifikasikan sebagai berbahaya.
2. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer.
3. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Reverse Shell

Sebuah proses yang dimulai dengan pengalihan streaming ke soket yang terhubung dari jarak jauh. memunculkan shell yang terhubung ke jaringan dapat memungkinkan penyerang melakukan tindakan arbitrer setelah penyusupan awal yang terbatas. Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Reverse Shell seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut proses yang dimulai dengan pengalihan streaming ke soket jarak jauh.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource cluster.
     • Nama lengkap project:
   • Pada tampilan detail temuan, klik tab JSON.
   • Di JSON, perhatikan kolom berikut.
   • resource:
     • project_display_name: nama project yang berisi aset.
   • sourceProperties:
     • Pod_Namespace: nama namespace Kubernetes Pod.
     • Pod_Name: nama Pod GKE.
     • Container_Name: nama penampung yang terpengaruh.
     • VM_Instance_Name: nama node GKE tempat Pod dijalankan.
     • Reverse_Shell_Stdin_Redirection_Dst_Ip: alamat IP jarak jauh koneksi
     • Reverse_Shell_Stdin_Redirection_Dst_Port: port jarak jauh
     • Reverse_Shell_Stdin_Redirection_Src_Ip: alamat IP lokal koneksi
     • Reverse_Shell_Stdin_Redirection_Src_Port: port lokal
     • Container_Image_Uri: nama image container yang sedang dieksekusi.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Filter pada cluster yang tercantum dalam resource.name dan namespace Pod yang tercantum di Pod_Namespace, jika perlu.

4. Pilih Pod yang tercantum di Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Klik Activate Cloud Shell.

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona:

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Untuk cluster regional:

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Luncurkan shell dalam lingkungan container dengan menjalankan:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

   Untuk melihat semua proses yang berjalan di container, jalankan perintah berikut di shell container:

     ps axjf
   

   Perintah ini mengharuskan container menginstal /bin/ps.

Langkah 6: Riset tentang metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, namun juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam investigasi guna menentukan cara terbaik untuk menyelesaikan temuan.

• Hubungi pemilik project yang berisi container yang telah disusupi.
• Hentikan atau hapus penampung yang disusupi dan ganti dengan penampung baru.

Unexpected Child Shell

Container Threat Detection mengamati suatu proses yang secara tidak terduga memunculkan proses shell turunan. Peristiwa ini mungkin menunjukkan bahwa penyerang mencoba menyalahgunakan perintah dan skrip shell.

Untuk merespons temuan ini, lakukan langkah-langkah berikut.

Langkah 1: Tinjau detail temuan

1. Buka temuan Unexpected Child Shell seperti yang diarahkan di Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Hal yang terdeteksi, terutama kolom berikut:
     • Proses induk: proses yang secara tidak terduga membuat proses shell turunan.
     • Proses turunan: proses shell turunan.
     • Arguments: argumen yang diberikan ke biner proses shell turunan.
     • Environment variables: variabel lingkungan dari biner proses shell turunan.
     • Penampung: nama penampung.
     • URI Penampung: URI gambar penampung.
     • Pod Kubernetes: Nama dan namespace Pod.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama tampilan resource: nama resource yang terpengaruh.
     • Nama lengkap resource: nama lengkap resource cluster. Nama lengkap resource mencakup informasi berikut:
       • Project yang berisi cluster: projects/PROJECT_ID
       • Lokasi tempat cluster berada: zone/ZONE atau locations/LOCATION
       • Nama cluster: projects/CLUSTER_NAME

3. Klik tab JSON dan perhatikan kolom berikut:

+processes: array berisi semua proses yang terkait dengan temuan. Array ini mencakup proses shell turunan dan proses induk. +resource: +project_display_name: Nama project yang berisi aset. +sourceProperties: +VM_Instance_Name: nama node GKE tempat Pod dieksekusi.

Langkah 2: Tinjau cluster dan node

1. Di konsol Google Cloud, buka halaman Cluster Kubernetes.

   Buka cluster Kubernetes

2. Di toolbar Konsol Google Cloud, pilih project yang tercantum dalam resource.project_display_name, jika perlu.

3. Pilih cluster yang tercantum di resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.

4. Klik tab Nodes. Pilih node yang tercantum di VM_Instance_Name.

5. Klik tab Details dan catat anotasi container.googleapis.com/instance_id.

Langkah 3: Tinjau Pod

1. Di konsol Google Cloud, buka halaman Beban Kerja Kubernetes.

   Buka Workload Kubernetes

2. Pada toolbar konsol Google Cloud, pilih project yang Anda catat di bagian Resource full name (resource.name) cluster di ringkasan temuan, jika perlu.

3. Klik Show system workload.

4. Filter daftar workload berdasarkan nama cluster yang Anda catat dalam Resource lengkap name (resource.name) dari ringkasan temuan dan, jika perlu, pod Namespace (kubernetes.pods.ns) yang Anda catat.

5. Klik nama workload yang cocok dengan nilai properti VM_Instance_Name yang Anda catat dalam JSON temuan sebelumnya. Halaman Detail pod akan terbuka.

6. Di halaman Detail pod, catat informasi apa pun tentang Pod yang dapat membantu Anda menyelesaikan ancaman.

Langkah 4: Periksa log

1. Di konsol Google Cloud, buka Logs Explorer.

   Buka Logs Explorer

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name.

3. Tetapkan Pilih rentang waktu ke periode yang diinginkan.

4. Pada halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk Pod_Name menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Temukan log audit cluster dengan menggunakan filter berikut:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Temukan log konsol node GKE dengan menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Buka Konsol Google Cloud.

   Buka konsol Google Cloud

2. Pada toolbar Konsol Google Cloud, pilih project yang tercantum di resource.project_display_name.

3. Klik Activate Cloud Shell.

4. Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.

   Untuk cluster zona, jalankan perintah berikut:

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Untuk cluster regional, jalankan perintah berikut:

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Untuk meluncurkan shell di dalam lingkungan container, jalankan perintah berikut:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Perintah ini mengharuskan container menginstal shell di /bin/sh.

   Untuk melihat semua proses yang berjalan di container, jalankan perintah berikut di shell container:

     ps axjf
   

   Perintah ini mengharuskan container menginstal /bin/ps.