Halaman ini diterjemahkan oleh Cloud Translation API.

Menanggapi temuan ancaman Compute Engine

Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di resource Compute Engine Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan tersebut, menilai informasi yang Anda kumpulkan, dan memutuskan cara meresponsnya.

Teknik dalam dokumen ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.

Sebelum memulai

Tinjau temuan. Catat instance Compute Engine yang terpengaruh dan email utama yang terdeteksi serta alamat IP pemanggil (jika ada). Tinjau juga temuan untuk mengetahui indikator kompromi (IP, domain, hash file, atau tanda tangan).
Untuk mempelajari lebih lanjut temuan yang sedang Anda selidiki, telusuri temuan tersebut di indeks Temuan ancaman.

Rekomendasi umum

Hubungi pemilik resource yang terpengaruh.
Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan.
Jika perlu, hentikan instance yang terganggu dan ganti dengan instance baru.
Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk yang terpengaruh. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.
Jika perlu, hapus instance VM.
Jika temuan mencakup email utama dan IP pemanggil, tinjau log audit lainnya yang terkait dengan alamat IP atau utama tersebut untuk mengetahui aktivitas anomali. Jika perlu, nonaktifkan atau kurangi hak istimewa akun terkait jika akun tersebut telah disusupi.
Untuk penyelidikan lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Selain itu, pertimbangkan rekomendasi di bagian berikutnya di halaman ini.

Ancaman SSH

Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk mengetahui informasi tentang menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Tindakan ini dapat mengganggu akses yang sah ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
Hanya gunakan autentikasi SSH dengan kunci yang diizinkan.
Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Sebaiknya aktifkan Cloud Armor sebagai layanan terintegrasi. Bergantung pada volume data, biaya Cloud Armor bisa cukup besar. Untuk mengetahui informasi selengkapnya, lihat harga Cloud Armor.

Perpindahan lateral di instance Compute Engine

Pertimbangkan untuk menggunakan Boot Aman untuk instance VM Compute Engine Anda.
Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, snapshot, akun layanan, dan pengguna IAM Compute Engine. Menghapus resource yang tidak dibuat dengan akun yang sah.
Merespons notifikasi apa pun dari Cloud Customer Care.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.