应对网络威胁发现结果

本文档提供了一些非正式指导信息，可帮助您应对网络中可疑活动的发现结果。建议的步骤可能不适用于所有发现结果，并且可能会影响您的运营。在采取任何行动之前，您应先调查发现结果；评估收集到的信息；并决定如何应对。

本文档中的技术不能保证对您之前、当前或未来面对的任何威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因，请参阅修复威胁。

准备工作

1. 查看发现结果。 记下受影响的资源和检测到的网络连接。如果存在，请使用 VirusTotal 提供的威胁情报查看发现结果中的失陷指标。

2. 如需详细了解您正在调查的发现结果，请在威胁发现结果索引中搜索该发现结果。

一般建议

• 与受影响资源的所有者联系。
• 调查可能遭入侵的计算资源，并移除所有发现的恶意软件。
• 如有必要，请停止遭入侵的计算资源。
• 如需进行取证分析，请考虑备份受影响的虚拟机和永久性磁盘。如需了解详情，请参阅 Compute Engine 文档中的数据保护选项。
• 如有必要，请删除受影响的计算资源。
• 如需进一步调查，请考虑使用 Mandiant 等突发事件响应服务。

此外，请考虑本页面后续部分中的建议。

恶意软件

• 如需跟踪可以插入恶意软件的活动和漏洞，请检查与遭入侵的计算资源关联的审核日志和系统日志。
• 通过更新防火墙规则或使用 Cloud Armor 阻止恶意 IP 地址。考虑将 Cloud Armor 作为集成式服务启用。 如果数据量很大，Cloud Armor 的费用可能会非常高。如需了解详情，请参阅 Cloud Armor 价格。
• 如需控制对映像的访问和使用，请使用安全强化型虚拟机并设置可信映像政策。

加密货币挖矿威胁

如果您确定该应用是挖矿应用，并且其进程仍在运行，请终止该进程。在计算资源的存储空间中找到应用的可执行二进制文件，并将其删除。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看发现结果。
• 了解生成威胁发现结果的服务。