本文档提供了一些非正式指导信息,可帮助您应对在 Cloud Run 资源中发现的可疑活动。建议的步骤可能不适用于所有发现,并且可能会影响您的运营。在采取任何行动之前,您应先调查结果;评估收集到的信息;并决定如何应对。
本文档中的技术不能保证对您之前、当前或未来面对的所有威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁。
准备工作
一般建议
- 与受影响资源的所有者联系。
- 查看可能遭到入侵的 Cloud Run 服务或作业的日志。
- 如需进行取证分析,请收集并备份受影响的服务或作业的日志。
- 如需进一步调查,请考虑使用 Mandiant 等突发事件响应服务。
- 请考虑删除受影响的 Cloud Run 服务或服务修订版本:
- 如需删除服务,请参阅删除现有服务。
- 如需删除服务修订版本,请回滚到先前的修订版本或部署新的更安全的修订版本。然后,删除受影响的版本。
- 考虑删除受影响的 Cloud Run 作业。
执行了恶意脚本或 Python 代码
如果脚本或 Python 代码对容器进行了预期的更改,请部署修订版本到具有所有预期更改的服务。请勿依赖脚本在容器部署后进行更改。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 请参阅威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看检测结果。
- 了解生成威胁发现结果的服务。