回應 Compute Engine 威脅發現

本文件提供非正式指引，說明如何回應 Compute Engine 資源中可疑活動的調查結果。建議步驟可能不適用於所有發現項目，且可能會影響作業。採取任何行動前，請先調查結果、評估收集到的資訊，然後決定如何回應。

我們無法保證本文所述技術可有效防範您先前、目前或未來面臨的任何威脅。如要瞭解 Security Command Center 為何不提供官方威脅補救指南，請參閱「補救威脅」。

事前準備

1. 查看調查結果。 請記下受影響的 Compute Engine 執行個體、偵測到的主體電子郵件地址，以及呼叫端 IP 位址 (如有)。此外，請查看是否有遭入侵的指標 (IP、網域、檔案雜湊或簽章)。
2. 如要進一步瞭解您正在調查的發現項目，請在威脅發現項目索引中搜尋該發現項目。

一般建議

• 與受影響資源的擁有者聯絡。
• 調查可能遭入侵的執行個體，並移除發現的任何惡意軟體。
• 如有必要，請停止遭入侵的執行個體，然後換成新的執行個體。
• 如要進行鑑識分析，請考慮備份受影響的虛擬機器和永久磁碟。詳情請參閱 Compute Engine 說明文件中的資料保護選項。
• 視需要刪除 VM 執行個體。
• 如果調查結果包含主體電子郵件和呼叫端 IP，請查看與該主體或 IP 位址相關的其他稽核記錄，瞭解是否有異常活動。如有必要，請停用或降低相關聯帳戶的權限，以免帳戶遭盜用。
• 如要進一步調查，請考慮使用事件應變服務，例如 Mandiant。

此外，也請參考本頁面後續章節的建議。

SSH 威脅

• 建議停用 VM 的 SSH 存取權。如要瞭解如何停用 SSH 金鑰，請參閱限制 VM 使用 SSH 金鑰。這項操作可能會中斷 VM 的授權存取權，因此請先考量貴機構的需求，再繼續操作。
• 請只使用授權金鑰進行 SSH 驗證。
• 如要封鎖惡意 IP 位址，請更新防火牆規則或使用 Cloud Armor。建議啟用 Cloud Armor 做為整合式服務。 視資料量而定，Cloud Armor 費用可能相當高昂。詳情請參閱 Cloud Armor 定價。

Compute Engine 執行個體中的橫向移動

• 考慮為 Compute Engine VM 執行個體使用安全啟動。

• 建議您刪除可能遭入侵的服務帳戶，並輪替及刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後，使用服務帳戶進行驗證的應用程式將無法存取。繼續操作前，安全團隊應找出所有受影響的應用程式，並與應用程式擁有者合作，確保業務持續運作。

• 與安全團隊合作找出不熟悉的資源，包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除未透過授權帳戶建立的資源。

• 回覆 Cloud Customer Care 的任何通知。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。