Examiner et contrer les menaces

>

Cet article fournit des conseils simples pour vous aider à étudier les menaces et à y répondre. Utilisez les ressources supplémentaires pour ajouter du contexte aux résultats Security Command Center. Ces étapes vous aident à comprendre ce qui s'est passé lors d'une attaque potentielle et à développer les réponses possibles aux ressources affectées.

Il n'est pas certain que les techniques de cette page soient efficaces pour faire face aux menaces précédentes, actuelles ou futures. Consultez la section Corriger les menaces pour comprendre pourquoi Security Command Center ne fournit pas de conseils de correction officiels pour les menaces.

Avant de commencer

Vous devez disposer de rôles IAM appropriés pour afficher ou modifier les résultats et les journaux, et modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur et consultez la section Contrôle des accès pour en savoir plus sur les rôles. Pour résoudre les erreurs de ressources, lisez la documentation des produits concernés.

Comprendre les résultats des menaces

La fonctionnalité Event Threat Detection génère des résultats de sécurité en associant des événements de votre flux Cloud Logging à des indicateurs de compromis connus. L'IAC, développée par les sources de sécurité internes de Google, identifie les failles potentielles. Event Threat Detection détecte également les menaces en identifiant les tactiques, les techniques et les techniques antagonistes connues dans votre flux de journalisation, et en détectant les écarts dans le comportement observé précédemment de votre organisation.

Container Threat Detection génère des résultats en collectant et en analysant un comportement observé de bas niveau dans le noyau invité des conteneurs.

Les résultats sont écrits dans Security Command Center et dans Cloud Logging.

Examiner les résultats

Pour examiner les résultats des menaces, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

    Accéder à la page "Résultats"

  2. Si nécessaire, sélectionnez votre projet ou votre organisation.

  3. Sur la page des résultats, cliquez sur Type de source à côté de Afficher par.

  4. Sélectionnez Event Threat Detection ou Container Threat Detection. Le tableau est renseigné avec les résultats de la source sélectionnée.

  5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la catégorie du tableau. Le panneau Find Details (Détails) s'ouvre.

Les résultats fournissent les noms et les identifiants numériques des ressources impliquées dans un incident, ainsi que les variables d'environnement et les propriétés des éléments. Vous pouvez utiliser ces informations pour isoler rapidement les ressources concernées et déterminer le champ d'application potentiel d'un événement.

Les résultats des menaces contiennent également des liens vers des ressources externes pour vous aider dans vos enquêtes. Voici notamment ce que vous y trouverez :

  • MILE ATT&CK. Le framework décrit les techniques d'attaque contre les ressources cloud et fournit des conseils en matière de correction.
  • VirusTotal est un service appartenant à Alphabet qui fournit des informations sur les fichiers, les URL, les domaines et les adresses IP potentiellement malveillants.

Les sections suivantes décrivent les réponses potentielles aux découvertes sur les menaces.

Réponses à Event Threat Detection

Pour en savoir plus sur Event Threat Detection, consultez la section Fonctionnement de Event Threat Detection.

Exfiltration: exfiltration de données BigQuery

L'exfiltration de données de BigQuery est détectée en examinant les journaux d'audit pour trois scénarios:

  • Une ressource est enregistrée en dehors de votre organisation.
  • VPC Service Controls bloque une opération de copie.
  • Tentative d'accès aux ressources BigQuery protégées par VPC Service Controls.

Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Exfiltration: BigQuery Data Exfiltration, comme indiqué dans la section Examiner les résultats.
  2. Dans le panneau Rechercher des détails, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • properties
      • projectId: le résultat implique un élément dans ce projet.
      • jobLink: lien vers la tâche BigQuery qui a créé des données.
      • Query: requête SQL exécutée sur l'ensemble de données BigQuery.
      • SourceTables: tables à partir desquelles les données ont été exfiltrées
      • DestinationTables: tables où les données collectées ont été stockées.
      • userEmail: compte utilisé pour exfiltrer les données
    • contextUris: ressources internes et externes pour ajouter du contexte aux résultats
      • mitreURI: lien vers l'entrée du framework ATT&CK du MITRE pour ce type de résultat
      • cloudLoggingQueryURI: lien vers la page Logging
      • relatedFindingURI: lien vers les résultats associés

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page IAM de Cloud Console.

    Accéder à la page IAM

  2. Si nécessaire, sélectionnez le projet répertorié dans projectID.

  3. Sur la page qui s'affiche, dans la zone Filtre, saisissez l'adresse e-mail répertoriée dans userEmail et vérifiez les autorisations attribuées au compte.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console en cliquant sur le lien dans cloudLoggingQueryURI.
  2. Recherchez les journaux d'activité d'administration liés aux tâches BigQuery à l'aide des filtres suivants :
    • protoPayload.methodName="Jobservice.insert"
    • protoPayload.methodName="google.cloud.bigquery.v2.JobService.InsertJob"

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez l'entrée du framework ATT&CK du framework MITRE pour ce type de résultat : Exfiltration Over Web Service: Exfiltring to Cloud Storage.
  2. Examinez les résultats associés en cliquant sur le lien dans relatedFindingURI. Les résultats associés sont associés au même type de résultat sur la même instance et le même réseau.
  3. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

Force brute: SSH

Détection d'une attaque par force brute SSH réussie sur un hôte Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Brute Force: SSH, comme indiqué dans la section Examiner les résultats.
  2. Dans le panneau Rechercher des détails, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • sourceLogId: ID du projet et horodatage pour identifier l'entrée de journal
      • projectId: projet contenant les résultats
    • Attempts: nombre de tentatives de connexion.
      • sourceIP: l'adresse IP à l'origine de l'attaque.
      • username: le compte connecté
      • vmName: nom de la machine virtuelle
      • authResult: le résultat de l'authentification SSH.
    • contextUris: ressources internes et externes pour ajouter du contexte aux résultats
      • mitreURI: lien vers l'entrée du framework ATT&CK du MITRE pour ce type de résultat
      • cloudLoggingQueryURI: lien vers la page Logging
      • relatedFindingURI: lien vers les résultats similaires du même type

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Tableau de bord de Cloud Console.

    Accéder à la page "Tableau de bord"

  2. Cliquez sur la liste déroulante Sélectionner située en haut de la page. Dans la fenêtre Sélectionner à partir de qui apparaît, sélectionnez le projet répertorié dans projectId.

  3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

  4. Cliquez sur l'instance de VM qui correspond au nom et à la zone dans vmName. Examinez les détails de l'instance, y compris les paramètres réseau et d'accès.

  5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives sur le port 22.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console en cliquant sur le lien dans cloudLoggingQueryURI.
  2. Sur la page qui s'affiche, recherchez les journaux de flux VPC liés à srcIP à l'aide du filtre suivant :
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Vérifiez l'entrée du framework ITA & CK du type de résultat : Valid Accounts: Local Accounts.
  2. Examinez les résultats associés en cliquant sur le lien dans relatedFindingURI. Les résultats associés sont le même type de résultat, et la même instance et le même réseau sont identiques.
  3. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Examinez l'instance potentiellement compromise et supprimez tout logiciel malveillant découvert. Pour faciliter la détection et la suppression, utilisez une solution de détection de points de terminaison et de réponse.
  • Envisagez de désactiver l'accès SSH à la VM. Cette étape peut interrompre l'accès autorisé à la VM. Par conséquent, tenez compte des besoins de votre organisation avant de continuer.
  • N'utilisez l'authentification SSH qu'avec des clés autorisées.
  • Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Google Cloud Armor. Vous pouvez activer Google Cloud Armor sur la page Services intégrés de Security Command Center. Selon la quantité d'informations, les coûts de Google Cloud Armor peuvent être importants. Pour en savoir plus, consultez la page Tarifs de Google Cloud Armor.

Minage de cryptomonnaie

Les logiciels malveillants sont détectés en examinant les journaux de flux VPC et les journaux Cloud DNS afin d'identifier les connexions aux domaines et commandes de contrôle connus. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Cryptomining: Bad IP, comme indiqué dans la section Examiner les résultats.
  2. Dans le panneau Rechercher des détails, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • Properties_ip_0: adresse IP de chiffrement suspecte
    • properties_sourceInstance: l'instance de VM Compute Engine concernée.
    • properties_project_id: par le projet de l'instance Compute Engine

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Tableau de bord de Cloud Console.

    Accéder à la page "Tableau de bord"

  2. Cliquez sur la liste déroulante Sélectionner située en haut de la page. Dans la fenêtre Sélectionner à partir de qui apparaît, sélectionnez le projet répertorié dans properties_project_id.

  3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

  4. Cliquez sur l'instance de VM qui correspond à properties_sourceInstance. Examinez l'instance potentiellement compromise.

  5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez votre projet.

  3. Sur la page qui s'affiche, recherchez les journaux de flux VPC liés à Properties_ip_0 à l'aide du filtre suivant:

    • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
    • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez les entrées du framework ATT&CK du type de résultat : Resource Hacking.
  2. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet contenant un logiciel malveillant. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Examinez l'instance potentiellement compromise et supprimez tout logiciel malveillant découvert. Pour faciliter la détection et la suppression, utilisez une solution de détection de points de terminaison et de réponse.
  • Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
  • Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Google Cloud Armor. Vous pouvez activer Google Cloud Armor sur la page Services intégrés de Security Command Center. Selon le volume de données, les coûts de Google Cloud Armor peuvent être importants. Pour en savoir plus, consultez la page Tarifs de Google Cloud Armor.

Identifiants volés

Ce résultat est généré lorsque les identifiants du compte de service Google Cloud sont divulgués en ligne ou compromis. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat account_has_leaked_credentials comme indiqué dans la section Examiner les détails des résultats.
  2. Dans le panneau Informations sur la recherche, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • Compromised_account: compte de service potentiellement piraté
    • Project_identifier: le projet contenant les identifiants potentiellement piratés du compte
    • URL: lien vers le dépôt GitHub

Étape 2: Examinez les autorisations du projet et du compte de service

  1. Accédez à la page IAM de Cloud Console.

    Accéder à la page IAM

  2. Si nécessaire, sélectionnez le projet répertorié dans Project_identifier.

  3. Sur la page qui s'affiche, dans la zone Filtre, saisissez le nom du compte répertorié dans Compromised_account, puis vérifiez les autorisations attribuées.

  4. Accédez à la page Comptes de service dans Cloud Console.

    Accéder à la page "Comptes de service"

  5. Sur la page qui s'affiche, dans la zone Filtre, saisissez le nom du compte de service compromis et vérifiez les clés et les dates de création de la clé.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez votre projet.

  3. Sur la page qui s'affiche, vérifiez l'activité des journaux à partir des ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants:

    • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
    • protoPayload.methodName="SetIamPolicy"
    • resource.type="gce_instance" AND log_name="projects/Project_identifier/logs/cloudaudit.googleapis.com%2Factivity"
    • protoPayload.methodName="InsertProjectOwnershipInvite"
    • protoPayload.authenticationInfo.principalEmail="Compromised_account"

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Vérifiez l'entrée du framework ITA & CK du type de résultat : Valid Accounts: Cloud Accounts.
  2. Examinez les résultats associés en cliquant sur le lien dans relatedFindingURI. Les résultats associés sont le même type de résultat, et la même instance et le même réseau sont identiques.
  3. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet avec des identifiants volés. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Envisagez de supprimer le compte de service compromis, d'alterner et de supprimer toutes les clés d'accès du compte de service pour le projet compromis. Après la suppression, les ressources qui utilisent le compte de service pour l'authentification perdent l'accès. Avant de continuer, votre équipe chargée de la sécurité doit identifier toutes les ressources affectées et collaborer avec les propriétaires des ressources pour assurer la continuité de l'activité.
  • Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimer les ressources non créées avec des comptes autorisés.
  • Répondez aux notifications de l'assistance Google Cloud.
  • Pour limiter le nombre de personnes autorisées à créer des comptes de service, utilisez le service de règles d'administration.
  • Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.
  • Ouvrez le lien URL et supprimez les identifiants piratés. Rassemblez plus d'informations sur le compte piraté et contactez le propriétaire.

Logiciels malveillants

Les logiciels malveillants sont détectés en examinant les journaux de flux VPC et les journaux Cloud DNS pour déterminer si les connexions aux domaines de commande et de contrôle connus sont connus. Pour répondre à ces résultats, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Malware: Bad IP, comme indiqué dans la section Examiner les résultats.
  2. Dans le panneau Informations sur la recherche, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • sourceLogId
      • projectId: projet contenant les résultats
    • ipConnection
      • srcIP: commande vocale connue et contrôle l'adresse IP
      • srcPort: port source de la connexion
      • destIP: adresse IP cible du logiciel malveillant
      • destPort: port de destination de la connexion
    • InstanceDetails: adresse de l'instance Compute Engine.
    • contextUris: ressources internes et externes pour ajouter du contexte aux résultats
      • mitreURI: lien vers l'entrée du framework ATT&CK du MITRE pour ce type de résultat
      • virustotalIndicatorQueryUI: lien vers la page d'analyse VirusTotal
      • cloudLoggingQueryURI: lien vers la page Logging
      • relatedFindingURI: lien vers les résultats similaires du même type

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Tableau de bord de Cloud Console.

    Accéder à la page "Tableau de bord"

  2. Cliquez sur la liste déroulante Sélectionner située en haut de la page. Dans la fenêtre Sélectionner à partir de qui apparaît, sélectionnez le projet répertorié dans projectId.

  3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

  4. Cliquez sur l'instance de VM qui correspond au nom et à la zone dans instanceDetails. Examinez les détails de l'instance, y compris les paramètres réseau et d'accès.

  5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console en cliquant sur le lien dans cloudLoggingQueryURI.
  2. Sur la page qui s'affiche, recherchez les journaux de flux VPC liés à l'adresse IP dans srcIP à l'aide du filtre suivant :
    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="srcIP" OR jsonPayload.connection.dest_ip="destIP")

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez les entrées du framework ATT&CK pour ce type de résultat: Résolution dynamique et Commande et contrôle.
  2. Examinez les résultats associés en cliquant sur le lien dans relatedFindingURI. Les résultats associés sont le même type de résultat, et la même instance et le même réseau sont identiques.
  3. Vérifiez les URL et les domaines signalés sur VirusTotal en cliquant sur le lien dans virustotalIndicatorQueryUI. VirusTotal est un service appartenant à Alphabet qui fournit des informations sur les fichiers, les URL, les domaines et les adresses IP potentiellement malveillants.
  4. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet contenant un logiciel malveillant. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Examinez l'instance potentiellement compromise et supprimez tout logiciel malveillant découvert. Pour faciliter la détection et la suppression, utilisez une solution de détection de points de terminaison et de réponse.
  • Pour suivre les activités et les failles qui ont permis l'insertion de logiciels malveillants, consultez les journaux d'audit et les journaux syslog associés à l'instance compromise.
  • Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
  • Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Google Cloud Armor. Vous pouvez activer Google Cloud Armor sur la page Services intégrés de Security Command Center. Selon le volume de données, les coûts de Google Cloud Armor peuvent être importants. Pour en savoir plus, consultez la page Tarifs de Google Cloud Armor.
  • Pour contrôler l'accès et l'utilisation d'images de VM, utilisez la stratégie IAM VM protégée et Images de confiance .

DoS sortant

Event Threat Detection détecte l'utilisation potentielle d'une instance pour lancer une attaque par déni de service (DoS) en analysant les journaux de flux VPC. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Malware: Outgoing DoS comme indiqué dans la section Examiner les résultats.
  2. Dans le panneau Informations sur la recherche, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • sourceInstanceDetails: l'instance de VM Compute Engine concernée.
    • ipConnection
      • srcIP: commande vocale connue et contrôle l'adresse IP
      • srcPort: port source de la connexion
      • destIP: adresse IP cible du logiciel malveillant
      • destPort: port de destination de la connexion
    • contextUris: ressources internes et externes pour ajouter du contexte aux résultats
      • mitreURI: lien vers l'entrée du framework ATT&CK du MITRE pour ce type de résultat
      • cloudLoggingQueryURI: lien vers la page Logging
      • relatedFindingURI: lien vers les résultats similaires du même type

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Tableau de bord de Cloud Console.

    Accéder à la page "Tableau de bord"

  2. Cliquez sur la liste déroulante Sélectionner située en haut de la page. Dans la fenêtre Sélectionner une organisation qui s'affiche, sélectionnez l'ID de projet répertorié dans sourceInstanceDetails.

  3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

  4. Cliquez sur l'instance de VM qui correspond au nom et à la zone de l'instance dans sourceInstanceDetails. Examinez les détails de l'instance, y compris les paramètres réseau et d'accès.

  5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console en cliquant sur le lien dans cloudLoggingQueryURI.
  2. Sur la page qui s'affiche, recherchez les journaux de flux VPC liés à l'adresse IP dans srcIP à l'aide du filtre suivant :
    • logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="srcIP" OR jsonPayload.connection.dest_ip="destIP")

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez les entrées du framework ATT&CK du framework MITRE pour ce type de résultat : Réseau de déni de service réseau.
  2. Examinez les résultats associés en cliquant sur le lien dans relatedFindingURI. Les résultats associés sont le même type de résultat, et la même instance et le même réseau sont identiques.
  3. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet au trafic DoS sortant. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Examinez l'instance potentiellement compromise et supprimez tout logiciel malveillant découvert. Pour faciliter la détection et la suppression, utilisez une solution de détection de points de terminaison et de réponse.
  • Pour suivre les activités et les failles qui ont permis l'insertion de logiciels malveillants, consultez les journaux d'audit et les journaux syslog associés à l'instance compromise.
  • Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
  • Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Google Cloud Armor. Vous pouvez activer Google Cloud Armor sur la page Services intégrés de Security Command Center. Selon le volume de données, les coûts de Google Cloud Armor peuvent être importants. Pour en savoir plus, consultez la page Tarifs de Google Cloud Armor.
  • Pour contrôler l'accès et l'utilisation d'images de VM, utilisez la stratégie IAM VM protégée et Images de confiance .

Persistence: IAM analogues

Les journaux d'audit sont examinés pour détecter l'ajout des attributions de rôle IAM (IAM), qui peuvent être considérées comme suspectes. Voici des exemples de subventions anormales:

  • Inviter un utilisateur gmail.com en tant que propriétaire de projet à partir de Google Cloud Console
  • Un compte de service accordant des autorisations sensibles
  • Un rôle personnalisé accordant des autorisations sensibles
  • Un compte de service ajouté en dehors de votre organisation

Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Persistence: IAM Anomalous Grant comme indiqué sur la page Examiner les résultats.
  2. Dans le panneau Rechercher des détails, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants :
    • projectId: projet contenant les résultats
    • principalEmail: adresse e-mail de l'utilisateur ou du compte de service ayant attribué le rôle
    • bindingDeltas
      • Action: action effectuée par l'utilisateur
      • Role: rôle attribué à l'utilisateur
      • member: adresse e-mail de l'utilisateur ayant reçu le rôle
    • contextUris: ressources internes et externes pour ajouter du contexte aux résultats
      • mitreURI: lien vers l'entrée du framework ATT&CK du MITRE pour ce type de résultat
      • virustotalIndicatorQueryUI: lien vers la page d'analyse VirusTotal
      • cloudLoggingQueryURI: lien vers la page Logging
      • relatedFindingURI: lien vers les résultats similaires du même type

Étape 2: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console en cliquant sur le lien dans cloudLoggingQueryURI.
  2. Sur la page qui s'affiche, recherchez des ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants :
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"

Étape 3: Recherchez les méthodes d'attaque et de réponse

  1. Vérifiez les entrées du framework ATT&CK du type de résultat : Valid Accounts: Cloud Accounts.
  2. Examinez les résultats associés en cliquant sur le lien dans relatedFindingURI. Les résultats associés sont le même type de résultat, et la même instance et le même réseau sont identiques.
  3. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 4: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet avec le compte piraté. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Supprimez le compte de service compromis, et alternerez et supprimez toutes les clés d'accès du compte de service pour le projet compromis. Après la suppression, les ressources qui utilisent le compte de service pour l'authentification perdent l'accès.
  • Supprimez les ressources de projet créées par des comptes non autorisés, telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.
  • Pour restreindre l'ajout d'utilisateurs gmail.com, utilisez la règle d'administration.
  • Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Hameçonnage

L'hameçonnage est détecté en examinant les journaux de flux VPC et les journaux Cloud DNS pour connaître les connexions à des domaines d'hameçonnage et des adresses IP connus. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat resource_used_for_phishing comme indiqué dans la section Examiner les détails des résultats.
  2. Dans le panneau Informations sur la recherche, sous Informations supplémentaires, cliquez sur Propriétés sources et notez les champs suivants:

    • resourceName: projet contenant les résultats
    • urls: l'URL d'hameçonnage
    • vm_host_and_zone_names: nom de la VM Compute Engine qui héberge l'URL d'hameçonnage.
    • vm_ips: adresse IP de la VM Compute Engine qui héberge l'URL d'hameçonnage.

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Tableau de bord de Cloud Console.

    Accéder à la page "Tableau de bord"

  2. Cliquez sur la liste déroulante Sélectionner située en haut de la page. Dans la fenêtre Sélectionner à partir de qui apparaît, sélectionnez le projet répertorié dans resourceName.

  3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

  4. Cliquez sur l'instance de VM qui correspond au nom et à la zone dans InstanceDetails. Examinez les détails de l'instance, y compris les paramètres réseau et d'accès.

  5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez votre projet.

  3. Sur la page qui s'affiche, recherchez les journaux de flux VPC liés à vm_ips à l'aide du filtre suivant:

    • logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="vm_ips" OR jsonPayload.connection.dest_ip="vm_ips")

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez les entrées du framework ATT&CK du type de résultat : Hameçonnage.
  2. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet avec la VM compromise vm_host_and_zone_names. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Examinez l'instance potentiellement compromise et supprimez tout logiciel malveillant découvert. Pour faciliter la détection et la suppression, utilisez une solution de détection de points de terminaison et de réponse.
  • Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.

Réponses de Container Threat Detection

Pour en savoir plus sur Container Threat Detection, consultez la section Fonctionnement de Container Threat Detection.

Fichier binaire ajouté exécuté

Un binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Added Binary Executed comme indiqué sur la page Examiner les résultats.
  2. Dans le panneau Find Details (Détails de la recherche), cliquez sur l'onglet Attributes (Attributs) et notez les champs suivants :
    • assetDisplayName: nom de l'élément fourni par l'utilisateur
    • Resource.project_display_name: nom du projet contenant l'élément
  3. Cliquez sur l'onglet Propriétés sources et notez les champs suivants :
    • Process_Arguments: les chemins du binaire binaire ajouté
    • Container_Image_Uri: nom de l'image de conteneur en cours d'exécution.
    • Pod_Name: nom du pod Google Kubernetes Engine
    • Container_Name: nom du conteneur concerné

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Clusters GKE dans Cloud Console.

    Accéder à la page "Cluster GKE"

  2. Sélectionnez le projet répertorié dans Resource.project_display_name si nécessaire, puis sélectionnez le cluster répertorié dans assetDisplayName. Notez les informations sur le service en cours d'exécution sur le cluster et le propriétaire du service.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez votre projet.

  3. Sur la page qui s'affiche, recherchez les entrées syslog pour Container_Name à l'aide du filtre suivant:

    • lprotoPayload.authorizationInfo.permission="container.clusters.get"

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez les entrées du framework ATT&CK du framework MITRE pour ce type de résultat : Image de conteneur Implant.
  2. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet avec le conteneur compromis. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Arrêtez ou supprimez le conteneur compromis, puis remplacez-le par un nouveau conteneur.

Ajout de bibliothèque chargée

Une bibliothèque ne faisant pas partie de l'image d'origine du conteneur a été chargée. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Added Library Loaded comme indiqué sur la page Examiner les résultats.
  2. Dans le panneau Find Details (Détails de la recherche), cliquez sur l'onglet Attributes (Attributs) et notez les champs suivants :
    • assetDisplayName: nom de l'élément fourni par l'utilisateur
    • Resource.project_display_name: nom du projet contenant l'élément
  3. Cliquez sur l'onglet Propriétés sources et notez les champs suivants :
    • Process_Arguments: chemins d'accès à la bibliothèque ajoutée
    • Container_Image_Uri: nom de l'image de conteneur en cours d'exécution.
    • Pod_Name: nom du pod GKE
    • Container_Name: nom du conteneur concerné

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Clusters GKE dans Cloud Console.

    Accéder à la page "Cluster GKE"

  2. Sélectionnez le projet répertorié dans Resource.project_display_name si nécessaire, puis sélectionnez le cluster répertorié dans assetDisplayName. Notez les informations sur le service en cours d'exécution sur le cluster et le propriétaire du service.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez votre projet.

  3. Sur la page qui s'affiche, recherchez les entrées syslog pour Container_Name à l'aide du filtre suivant:

    • lprotoPayload.authorizationInfo.permission="container.clusters.get"

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Examinez les entrées du framework ATT&CK du framework MITRE pour ce type de résultat : Image de conteneur Implant.
  2. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet avec le conteneur compromis. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Arrêtez ou supprimez le conteneur compromis, puis remplacez-le par un nouveau conteneur.

Interface système inversée

Un processus a commencé par la redirection de flux vers une prise connectée à distance. Pour répondre à ce résultat, procédez comme suit:

Étape 1: Vérifiez les détails du résultat

  1. Ouvrez un résultat Reverse Shell comme indiqué sur la page Examiner les résultats.
  2. Dans le panneau Find Details (Détails de la recherche), cliquez sur l'onglet Attributes (Attributs) et notez les champs suivants :
    • assetDisplayName: nom de l'élément fourni par l'utilisateur
    • Resource.project_display_name: nom du projet contenant l'élément
  3. Cliquez sur l'onglet Propriétés sources et notez les champs suivants :
    • Process_Arguments: chemin d'accès au binaire
    • Container_Image_Uri: nom de l'image de conteneur en cours d'exécution.
    • Pod_Name: nom du pod GKE
    • Container_Name: nom du conteneur concerné
    • Reverse_Shell_Stdin_Redirection_Dst_Ip: commande et contrôle de l'adresse IP
    • Reverse_Shell_Stdin_Redirection_Dst_Port: port de destination
    • Reverse_Shell_Stdin_Redirection_Src_Ip: adresse IP source de la connexion.
    • Reverse_Shell_Stdin_Redirection_Src_Port: port source

Étape 2: Examinez les autorisations et les paramètres

  1. Accédez à la page Clusters GKE dans Cloud Console.

    Accéder à la page "Cluster GKE"

  2. Sélectionnez le projet répertorié dans Resource.project_display_name si nécessaire, puis sélectionnez le cluster répertorié dans assetDisplayName. Notez les informations sur le service en cours d'exécution sur le cluster et le propriétaire du service.

Étape 3: Vérifiez les journaux

  1. Accédez à la page Explorateur de journaux dans Cloud Console.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez votre projet.

  3. Sur la page qui s'affiche, recherchez les entrées syslog pour Container_Name à l'aide du filtre suivant:

    • lprotoPayload.authorizationInfo.permission="container.clusters.get"

Étape 4: Recherchez les méthodes d'attaque et de réponse

  1. Vérifiez les entrées du framework ATT&CK du type de résultat : Remote Services (Services distants).
  2. Pour élaborer un plan de réponse, combinez vos résultats d'enquête avec ceux d'une étude MITRE.

Étape 5: Mettez en œuvre votre réponse

Le plan de réponse suivant peut être adapté à votre organisation. Évaluez avec soin les informations que vous collectez lors de votre enquête afin de déterminer la meilleure façon de résoudre les résultats.

  • Contactez le propriétaire du projet avec le conteneur compromis. La procédure décrite ci-dessous peut avoir un impact sur les opérations.
  • Arrêtez ou supprimez le conteneur compromis, puis remplacez-le par un nouveau conteneur.

Pour éviter que des menaces ne se reproduisent, examinez et corrigez les failles identifiées par l'analyse de l'état de la sécurité.

  • Accédez à la page Éléments du tableau de bord Security Command Center.

    Accéder à la page "Éléments"

  • À côté de Afficher par, sélectionnez Projet.
  • Dans la liste Projet, sélectionnez le projet contenant le résultat de la menace.
  • Dans le champ Filtre, saisissez "securityCenterProperties.resourceType:google.compute.Instance". La table répertorie les instances du projet.
  • Dans la colonne resourceProperties.name, sélectionnez l'instance contenant le résultat.
  • Dans le panneau qui s'affiche, sous Informations supplémentaires, sélectionnez l'onglet Résultats. Si des résultats sont répertoriés, examinez et suivez les instructions pour les résoudre.

En plus des indicateurs de compromis fournis par Google, les utilisateurs qui sont clients de Palo Alto Networks peuvent intégrer l'intelligence Threat Intelligence Threat Intelligence à Event Threat Detection. Autofocus est un service de renseignements sur les menaces qui fournit des informations sur les menaces réseau. Pour en savoir plus, consultez la page Autofocus dans Cloud Console.

Résoudre les menaces

La résolution des problèmes de détection d'événements Threat Detection et Container Threat Detection est aussi simple que de corriger les erreurs de configuration et les failles identifiées par Security Command Center.

Les erreurs de configuration et les non-conformités identifient les failles des ressources susceptibles d'être exploitées. En règle générale, les erreurs de configuration présentent des correctifs connus et faciles à mettre en œuvre, comme l'activation d'un pare-feu ou la rotation d'une clé de chiffrement.

Les menaces diffèrent de failles, car elles sont dynamiques. Elles indiquent une exploitation active potentielle d'une ou plusieurs ressources. Il est possible que la recommandation concernant la correction ne soit pas efficace pour sécuriser vos ressources, car les méthodes exactes utilisées pour atteindre l'exploitation peuvent ne pas être connues.

Par exemple, un résultat Added Binary Executed indique qu'un binaire non autorisé a été lancé dans un conteneur. Une recommandation de correction de base peut vous conseiller en quarantaine du conteneur et supprimer le binaire, mais cela peut ne pas résoudre la cause sous-jacente qui a permis à l'utilisateur malveillant d'exécuter le binaire. Vous devez déterminer comment l'image du conteneur a été altérée pour corriger l'exploitation. Pour déterminer si le fichier a été ajouté via un port mal configuré ou par d'autres moyens, une enquête approfondie est nécessaire. Il est possible qu'un analyste qui connaît un certain niveau de connaissances de votre système puisse avoir besoin de l'examiner pour déterminer les points faibles.

Des individus mal intentionnés attaquent des ressources à l'aide de différentes techniques. Par conséquent, appliquer une correction pour une exploitation spécifique peut ne pas être efficace pour les variantes de cette attaque. Par exemple, en réponse à une recherche de Brute Force: SSH, vous pouvez réduire les niveaux d'autorisation pour certains comptes utilisateur afin de limiter l'accès aux ressources. Cependant, un mot de passe peu sécurisé peut toujours fournir un chemin d'attaque,

En raison de la diversité des vecteurs d'attaque, il est difficile de fournir des étapes de correction qui fonctionnent dans toutes les situations. Le rôle de Security Command Center dans votre plan de sécurité dans le cloud est d'identifier les ressources affectées quasiment en temps réel, de vous indiquer les menaces que vous rencontrez et de fournir des preuves et du contexte pour vous aider à mener vos enquêtes. Toutefois, votre personnel de sécurité doit utiliser les informations détaillées du système Security Command Center pour déterminer les meilleurs moyens de résoudre les problèmes et de sécuriser les ressources contre les attaques futures.

Étape suivante