本文档提供了一些非正式指导信息,可帮助您应对网络中可疑活动的发现结果。建议的步骤可能不适用于所有发现结果,并且可能会影响您的运营。在采取任何行动之前,您应先调查发现结果;评估收集到的信息;并决定如何应对。
本文档中的技术不能保证对您之前、当前或未来面对的任何威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁。
准备工作
查看发现结果。 记下受影响的资源和检测到的网络连接。如果存在,请使用 VirusTotal 提供的威胁情报查看发现结果中的失陷指标。
如需详细了解您正在调查的发现结果,请在威胁发现结果索引中搜索该发现结果。
一般建议
- 与受影响资源的所有者联系。
- 调查可能遭入侵的计算资源,并移除所有发现的恶意软件。
- 如有必要,请停止遭入侵的计算资源。
- 如需进行取证分析,请考虑备份受影响的虚拟机和永久性磁盘。如需了解详情,请参阅 Compute Engine 文档中的数据保护选项。
- 如有必要,请删除受影响的计算资源。
- 如需进一步调查,请考虑使用 Mandiant 等突发事件响应服务。
此外,请考虑本页面后续部分中的建议。
恶意软件
- 如需跟踪可以插入恶意软件的活动和漏洞,请检查与遭入侵的计算资源关联的审核日志和系统日志。
- 通过更新防火墙规则或使用 Cloud Armor 阻止恶意 IP 地址。考虑将 Cloud Armor 作为集成式服务启用。 如果数据量很大,Cloud Armor 的费用可能会非常高。如需了解详情,请参阅 Cloud Armor 价格。
- 如需控制对映像的访问和使用,请使用安全强化型虚拟机并设置可信映像政策。
加密货币挖矿威胁
如果您确定该应用是挖矿应用,并且其进程仍在运行,请终止该进程。在计算资源的存储空间中找到应用的可执行二进制文件,并将其删除。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 请参阅威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。