Cloud Run 위협 결과에 대응

이 문서는 Cloud Run 리소스에서 의심스러운 활동이 발견되었을 때 대응하는 방법에 관한 비공식 가이드를 제공합니다. 권장 단계가 모든 발견 결과에 적합하지 않을 수 있으며 작업에 영향을 미칠 수 있습니다. 조치를 취하기 전에 결과를 조사하고, 수집한 정보를 평가하고, 대응 방법을 결정해야 합니다.

이 문서의 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유를 알아보려면 위협 해결을 참고하세요.

시작하기 전에

1. 결과 검토 영향을 받는 컨테이너와 감지된 바이너리, 프로세스 또는 라이브러리를 기록합니다.
2. 조사 중인 발견 항목에 대해 자세히 알아보려면 위협 발견 항목 색인에서 발견 항목을 검색하세요.

일반 권장사항

• 영향을 받는 리소스의 소유자에게 문의하세요.
• 잠재적으로 보안이 침해된 Cloud Run 서비스 또는 작업의 로그를 확인합니다.
• 포렌식 분석을 위해 영향을 받는 서비스 또는 작업의 로그를 수집하고 백업합니다.
• 추가 조사를 위해 Mandiant와 같은 침해 사고 대응 서비스를 사용하는 것이 좋습니다.
• 영향을 받는 Cloud Run 서비스 또는 서비스 버전 삭제를 고려하세요.
  • 서비스를 삭제하려면 기존 서비스 삭제를 참고하세요.
  • 서비스 버전을 삭제하려면 이전 버전으로 롤백하거나 더 안전한 새 버전을 배포하세요. 그런 다음 영향을 받는 버전을 삭제합니다.
• 영향을 받는 Cloud Run 작업을 삭제하는 것이 좋습니다.

악성 스크립트 또는 Python 코드가 실행됨

스크립트 또는 Python 코드에서 컨테이너에 의도된 변경사항을 적용한 경우 의도된 변경사항이 모두 포함된 서비스에 버전을 배포합니다. 컨테이너가 배포된 후 스크립트를 사용하여 변경하지 마세요.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.