针对 Compute Engine 威胁检测结果采取措施

本文档提供了一些非正式指导信息，可帮助您应对在 Compute Engine 资源中发现的可疑活动。建议的步骤可能不适用于所有发现，并且可能会影响您的运营。在采取任何行动之前，您应先调查结果；评估收集到的信息；并决定如何应对。

本文档中的技术不能保证对您之前、当前或未来面对的所有威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因，请参阅修复威胁。

准备工作

1. 查看发现。 记下受影响的 Compute Engine 实例、检测到的主账号电子邮件地址和调用方 IP 地址（如果有）。另请查看是否存在入侵迹象（IP、网域、文件哈希或签名）。
2. 如需详细了解您正在调查的发现结果，请在威胁发现结果索引中搜索该发现结果。

一般建议

• 与受影响资源的所有者联系。
• 调查可能被破解的实例，并移除所有发现的恶意软件。
• 如有必要，请停止已被破解的实例并用新实例取代。
• 如需进行取证分析，请考虑备份受影响的虚拟机和永久性磁盘。如需了解详情，请参阅 Compute Engine 文档中的数据保护选项。
• 如果需要，请删除虚拟机实例。
• 如果检测结果包含主账号电子邮件地址和调用方 IP，请查看与该主账号或 IP 地址关联的其他审核日志，以了解是否存在异常活动。如有必要，请停用或降低相关联账号的权限（如果该账号已被盗用）。
• 如需进一步调查，请考虑使用 Mandiant 等突发事件响应服务。

此外，请考虑本页后续部分中的建议。

SSH 威胁

• 考虑停用对虚拟机的 SSH 访问权限。如需了解如何停用 SSH 密钥，请参阅限制来自虚拟机的 SSH 密钥。此操作可能会中断对虚拟机的授权访问，因此请考虑您的组织需求，然后再继续。
• 仅将 SSH 身份验证与已获授权的密钥结合使用。
• 通过更新防火墙规则或使用 Cloud Armor 阻止恶意 IP 地址。考虑将 Cloud Armor 作为集成式服务启用。 如果数据量很大，Cloud Armor 的费用可能会非常高。如需了解详情，请参阅 Cloud Armor 价格。

Compute Engine 实例中的横向移动

• 考虑为您的 Compute Engine 虚拟机实例使用安全启动。

• 考虑删除可能被盗用的服务账号，然后轮替和删除可能被破解的项目的所有服务账号访问密钥。删除后，使用该服务账号进行身份验证的应用会失去访问权限。在继续操作之前，您的安全团队应确定所有受影响的应用并与应用所有者合作，以确保业务连续性。

• 与您的安全团队合作，确定不熟悉的资源，包括 Compute Engine 实例、快照、服务账号和 IAM 用户。删除未使用已获授权的账号创建的资源。

• 响应来自 Cloud Customer Care 的任何通知。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。