本文档提供了一些非正式指导信息,可帮助您应对在 Compute Engine 资源中发现的可疑活动。建议的步骤可能不适用于所有发现,并且可能会影响您的运营。在采取任何行动之前,您应先调查结果;评估收集到的信息;并决定如何应对。
本文档中的技术不能保证对您之前、当前或未来面对的所有威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁。
准备工作
- 查看发现。 记下受影响的 Compute Engine 实例、检测到的主账号电子邮件地址和调用方 IP 地址(如果有)。另请查看是否存在入侵迹象(IP、网域、文件哈希或签名)。
- 如需详细了解您正在调查的发现结果,请在威胁发现结果索引中搜索该发现结果。
一般建议
- 与受影响资源的所有者联系。
- 调查可能被破解的实例,并移除所有发现的恶意软件。
- 如有必要,请停止已被破解的实例并用新实例取代。
- 如需进行取证分析,请考虑备份受影响的虚拟机和永久性磁盘。如需了解详情,请参阅 Compute Engine 文档中的数据保护选项。
- 如果需要,请删除虚拟机实例。
- 如果检测结果包含主账号电子邮件地址和调用方 IP,请查看与该主账号或 IP 地址关联的其他审核日志,以了解是否存在异常活动。如有必要,请停用或降低相关联账号的权限(如果该账号已被盗用)。
- 如需进一步调查,请考虑使用 Mandiant 等突发事件响应服务。
此外,请考虑本页后续部分中的建议。
SSH 威胁
- 考虑停用对虚拟机的 SSH 访问权限。如需了解如何停用 SSH 密钥,请参阅限制来自虚拟机的 SSH 密钥。此操作可能会中断对虚拟机的授权访问,因此请考虑您的组织需求,然后再继续。
- 仅将 SSH 身份验证与已获授权的密钥结合使用。
- 通过更新防火墙规则或使用 Cloud Armor 阻止恶意 IP 地址。考虑将 Cloud Armor 作为集成式服务启用。 如果数据量很大,Cloud Armor 的费用可能会非常高。如需了解详情,请参阅 Cloud Armor 价格。
Compute Engine 实例中的横向移动
考虑为您的 Compute Engine 虚拟机实例使用安全启动。
考虑删除可能被盗用的服务账号,然后轮替和删除可能被破解的项目的所有服务账号访问密钥。删除后,使用该服务账号进行身份验证的应用会失去访问权限。在继续操作之前,您的安全团队应确定所有受影响的应用并与应用所有者合作,以确保业务连续性。
与您的安全团队合作,确定不熟悉的资源,包括 Compute Engine 实例、快照、服务账号和 IAM 用户。删除未使用已获授权的账号创建的资源。
响应来自 Cloud Customer Care 的任何通知。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 请参阅威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看检测结果。
- 了解生成威胁发现结果的服务。