Halaman ini diterjemahkan oleh Cloud Translation API.

Merespons temuan ancaman jaringan

Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di jaringan Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan tersebut, menilai informasi yang Anda kumpulkan, dan memutuskan cara meresponsnya.

Teknik dalam dokumen ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.

Sebelum memulai

Tinjau temuan. Catat resource yang terpengaruh dan koneksi jaringan yang terdeteksi. Jika ada, tinjau indikator kompromi dalam temuan dengan intelijen ancaman dari VirusTotal.
Untuk mempelajari lebih lanjut temuan yang sedang Anda selidiki, telusuri temuan tersebut di indeks Temuan ancaman.

Rekomendasi umum

Hubungi pemilik resource yang terpengaruh.
Selidiki resource komputasi yang berpotensi disusupi dan hapus malware yang ditemukan.
Jika perlu, hentikan resource komputasi yang disusupi.
Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk yang terpengaruh. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.
Jika perlu, hapus resource komputasi yang terpengaruh.
Untuk penyelidikan lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Selain itu, pertimbangkan rekomendasi di bagian berikutnya di halaman ini.

Malware

Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan resource komputasi yang terkompromi.
Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Sebaiknya aktifkan Cloud Armor sebagai layanan terintegrasi. Bergantung pada volume data, biaya Cloud Armor bisa cukup besar. Untuk mengetahui informasi selengkapnya, lihat harga Cloud Armor.
Untuk mengontrol akses dan penggunaan image, gunakan Shielded VM dan siapkan kebijakan image tepercaya.

Ancaman penambangan mata uang kripto

Jika Anda menentukan bahwa aplikasi tersebut adalah aplikasi penambang, dan prosesnya masih berjalan, hentikan prosesnya. Temukan biner yang dapat dieksekusi aplikasi di penyimpanan resource komputasi, lalu hapus.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.