Diese Seite wurde von der Cloud Translation API übersetzt.

Auf Ergebnisse zu Netzwerkbedrohungen reagieren

Dieses Dokument enthält informelle Hinweise dazu, wie Sie auf verdächtige Aktivitäten in Ihrem Netzwerk reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die gesammelten Informationen bewerten und entscheiden, wie Sie reagieren.

Die Techniken in diesem Dokument können nicht garantieren, dass sie vor vorherigen, aktuellen oder zukünftigen Bedrohungen wirksam sind. Unter Bedrohungen beheben erfahren Sie, warum Security Command Center keine offizielle Korrekturmaßnahme für Bedrohungen bietet.

Hinweise

Ergebnis überprüfen: Notieren Sie sich die betroffene Ressource und die erkannten Netzwerkverbindungen. Falls vorhanden, prüfen Sie die Kompromittierungsindikatoren im Ergebnis mit Threat Intelligence von VirusTotal.
Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, suchen Sie im Index der Bedrohungsergebnisse danach.

Allgemeine Empfehlungen

Wenden Sie sich an den Inhaber der betroffenen Ressource.
Untersuchen Sie die potenziell manipulierte Computeressource und entfernen Sie erkannte Malware.
Beenden Sie bei Bedarf die manipulierte Rechenressource.
Für die forensische Analyse sollten Sie die betroffenen virtuellen Maschinen und nichtflüchtigen Speicher sichern. Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Datenschutzoptionen.
Löschen Sie bei Bedarf die betroffene Rechenressource.
Für weitere Untersuchungen sollten Sie Incident-Response-Services wie Mandiant in Betracht ziehen.

Beachten Sie außerdem die Empfehlungen in den folgenden Abschnitten auf dieser Seite.

Malware

Prüfen Sie Audit-Logs und Syslogs, die mit der manipulierten Computeressource verknüpft sind, um Aktivitäten und Sicherheitslücken zu verfolgen, die das Einfügen von Malware ermöglichen.
Blockieren Sie die schädlichen IP-Adressen, indem Sie Firewallregeln aktualisieren oder Cloud Armor verwenden. Aktivieren Sie Cloud Armor als integrierten Dienst. Abhängig vom Datenvolumen können die Cloud Armor-Kosten beträchtlich sein. Weitere Informationen finden Sie unter Cloud Armor – Preise.
Verwenden Sie Shielded VM und richten Sie Trusted Image-Richtlinien ein, um den Zugriff und die Verwendung von Images zu steuern.

Bedrohungen durch Cryptomining

Wenn Sie feststellen, dass es sich bei der Anwendung um eine Mining-Anwendung handelt und ihr Prozess noch ausgeführt wird, beenden Sie den Prozess. Suchen Sie die ausführbare Binärdatei der Anwendung im Speicher der Computeressource und löschen Sie sie.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren