回應 Cloud Run 威脅發現

本文提供非正式指南，說明如何回應 Cloud Run 資源中可疑活動的調查結果。建議步驟可能不適用於所有發現項目，且可能會影響作業。採取任何行動前，請先調查結果、評估收集到的資訊，然後決定如何回應。

我們無法保證本文所述技術可有效防範您先前、目前或未來面臨的任何威脅。如要瞭解 Security Command Center 為何不提供官方威脅補救指南，請參閱「補救威脅」。

事前準備

1. 查看調查結果。 請記下受影響的容器，以及偵測到的二進位檔、程序或程式庫。
2. 如要進一步瞭解您正在調查的發現項目，請在威脅發現項目索引中搜尋該發現項目。

一般建議

• 與受影響資源的擁有者聯絡。
• 查看記錄，瞭解可能遭入侵的 Cloud Run 服務或工作。
• 如要進行鑑識分析，請從受影響的服務或工作收集並備份記錄檔。
• 如要進一步調查，請考慮使用事件應變服務，例如 Mandiant。
• 建議刪除受影響的 Cloud Run 服務或服務修訂版本：
  • 如要刪除服務，請參閱「刪除現有服務」。
  • 如要刪除服務修訂版本，請還原至先前的修訂版本，或部署新的安全修訂版本。然後刪除受影響的修訂版本。
• 建議刪除受影響的 Cloud Run 作業。

執行惡意指令碼或 Python 程式碼

如果指令碼或 Python 程式碼對容器進行了預期變更，請部署修訂版本至服務，該版本會包含所有預期變更。請勿在容器部署後，依賴指令碼進行變更。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。