네트워크 위협 발견 항목에 대응하기

이 문서에서는 네트워크에서 의심스러운 활동이 발견되었을 때 대응하는 방법을 비공식적으로 안내합니다. 권장 단계가 모든 발견 결과에 적합하지 않을 수 있으며 작업에 영향을 미칠 수 있습니다. 조치를 취하기 전에 결과를 조사하고, 수집한 정보를 평가하고, 대응 방법을 결정해야 합니다.

이 문서의 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유를 알아보려면 위협 해결을 참고하세요.

시작하기 전에

1. 결과 검토 영향을 받는 리소스와 감지된 네트워크 연결을 기록해 둡니다. 있는 경우 VirusTotal의 위협 인텔리전스를 사용하여 발견 항목의 침해 지표를 검토합니다.

2. 조사 중인 발견 항목에 대해 자세히 알아보려면 위협 발견 항목 색인에서 발견 항목을 검색하세요.

일반 권장사항

• 영향을 받는 리소스의 소유자에게 문의하세요.
• 도용 가능성이 있는 컴퓨팅 리소스를 조사하고 발견된 멀웨어를 삭제합니다.
• 필요한 경우 침해된 컴퓨팅 리소스를 중지합니다.
• 포렌식 분석을 위해 영향을 받는 가상 머신과 영구 디스크를 백업하는 것이 좋습니다. 자세한 내용은 Compute Engine 문서의 데이터 보호 옵션을 참고하세요.
• 필요한 경우 영향을 받는 컴퓨팅 리소스를 삭제합니다.
• 추가 조사를 위해 Mandiant와 같은 이슈 대응 서비스를 사용하는 것이 좋습니다.

또한 이 페이지의 다음 섹션에 있는 권장사항을 고려하세요.

멀웨어

• 멀웨어 삽입을 허용하는 활동 및 취약점을 추적하려면 침해된 컴퓨팅 리소스와 연결된 감사 로그와 syslog를 확인하세요.
• 방화벽 규칙을 업데이트하거나 Cloud Armor를 사용하여 악성 IP 주소를 차단합니다. Cloud Armor를 통합 서비스로 사용 설정하는 것이 좋습니다. 데이터 볼륨에 따라 Cloud Armor 비용이 크게 증가할 수 있습니다. 자세한 내용은 Cloud Armor 가격 책정을 참고하세요.
• 이미지의 액세스와 사용을 제어하려면 보안 VM을 사용하고 신뢰할 수 있는 이미지 정책을 설정합니다.

암호화폐 채굴 위협

애플리케이션이 마이너 애플리케이션이며 프로세스가 계속 실행 중이면 프로세스를 종료합니다. 컴퓨팅 리소스의 스토리지에서 애플리케이션의 실행 가능한 바이너리를 찾고 삭제합니다.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.