Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf Ergebnisse zu verdächtigen Aktivitäten in Ihren Compute Engine-Ressourcen reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die gesammelten Informationen bewerten und entscheiden, wie Sie reagieren.
Die Techniken in diesem Dokument können nicht garantieren, dass sie vor vorherigen, aktuellen oder zukünftigen Bedrohungen wirksam sind. Unter Bedrohungen beheben erfahren Sie, warum Security Command Center keine offizielle Korrekturmaßnahme für Bedrohungen bietet.
Hinweise
- Ergebnis überprüfen: Notieren Sie sich die betroffene Compute Engine-Instanz und die erkannte Haupt-E-Mail-Adresse sowie die IP-Adresse des Aufrufers (falls vorhanden). Sehen Sie sich auch den Befund auf Anzeichen für eine Kompromittierung an (IP-Adresse, Domain, Datei-Hash oder Signatur).
- Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, suchen Sie im Index der Bedrohungsergebnisse danach.
Allgemeine Empfehlungen
- Wenden Sie sich an den Inhaber der betroffenen Ressource.
- Untersuchen Sie die potenziell manipulierte Instanz und entfernen Sie erkannte Malware.
- Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.
- Für die forensische Analyse sollten Sie die betroffenen virtuellen Maschinen und nichtflüchtigen Speicher sichern. Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Datenschutzoptionen.
- Löschen Sie bei Bedarf die VM-Instanz.
- Wenn das Ergebnis eine E-Mail-Adresse des Hauptkontos und eine IP-Adresse des Aufrufers enthält, prüfen Sie andere Audit-Logs, die mit diesem Hauptkonto oder dieser IP-Adresse verknüpft sind, auf anomale Aktivitäten. Deaktivieren Sie das verknüpfte Konto oder schränken Sie die Berechtigungen ein, wenn es kompromittiert wurde.
- Für weitere Untersuchungen sollten Sie Notfalldienste wie Mandiant in Betracht ziehen.
Beachten Sie außerdem die Empfehlungen in den folgenden Abschnitten auf dieser Seite.
SSH-Bedrohungen
- Deaktivieren Sie den SSH-Zugriff auf die VM. Informationen zum Deaktivieren von SSH-Schlüsseln finden Sie unter SSH-Schlüssel von VMs einschränken. Diese Aktion kann den autorisierten Zugriff auf die VM unterbrechen. Berücksichtigen Sie daher die Anforderungen Ihrer Organisation, bevor Sie fortfahren.
- Verwenden Sie die SSH-Authentifizierung nur mit autorisierten Schlüsseln.
- Blockieren Sie die schädlichen IP-Adressen, indem Sie Firewallregeln aktualisieren oder Cloud Armor verwenden. Aktivieren Sie Cloud Armor als integrierten Dienst. Abhängig vom Datenvolumen können die Cloud Armor-Kosten beträchtlich sein. Weitere Informationen finden Sie unter Cloud Armor – Preise.
Laterale Bewegungen in Compute Engine-Instanzen
Erwägen Sie die Verwendung von Secure Boot für Ihre Compute Engine-VM-Instanzen.
Erwägen Sie, das möglicherweise manipulierte Dienstkonto zu löschen und alle Dienstkontoschlüssel für das möglicherweise manipulierte Projekt zu rotieren und zu löschen. Nach dem Löschen verlieren Anwendungen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff. Bevor Sie fortfahren, sollte Ihr Sicherheitsteam alle betroffenen Anwendungen identifizieren und mit den Anwendungsbesitzern zusammenarbeiten, um die Geschäftskontinuität zu gewährleisten.
Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer. Ressourcen löschen, die nicht mit autorisierten Konten erstellt wurden.
Auf Benachrichtigungen von Cloud Customer Care reagieren
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsbefunde generieren