回應網路威脅調查結果

本文件提供非正式指南，說明如何因應網路中發現的可疑活動。建議步驟可能不適用於所有發現項目，且可能會影響作業。採取任何行動前，請先調查結果、評估收集到的資訊，然後決定如何回應。

我們無法保證本文所述技術可有效防範您先前、目前或未來面臨的任何威脅。如要瞭解 Security Command Center 為何不提供官方威脅補救指南，請參閱「補救威脅」。

事前準備

1. 查看調查結果。 請注意受影響的資源和偵測到的網路連線。如有發現，請使用 VirusTotal 的威脅情報，查看調查結果中的入侵指標。

2. 如要進一步瞭解您正在調查的發現項目，請在威脅發現項目索引中搜尋該發現項目。

一般建議

• 與受影響資源的擁有者聯絡。
• 調查可能遭入侵的運算資源，並移除所有發現的惡意軟體。
• 如有必要，請停止遭入侵的運算資源。
• 如要進行鑑識分析，請考慮備份受影響的虛擬機器和永久磁碟。詳情請參閱 Compute Engine 說明文件中的資料保護選項。
• 視需要刪除受影響的運算資源。
• 如要進一步調查，請考慮使用事件應變服務，例如 Mandiant。

此外，也請參考本頁面後續章節的建議。

惡意軟體

• 如要追蹤允許插入惡意軟體的活動和安全漏洞，請檢查與遭入侵的運算資源相關聯的稽核記錄和系統記錄。
• 如要封鎖惡意 IP 位址，請更新防火牆規則或使用 Cloud Armor。建議啟用 Cloud Armor 做為整合式服務。 視資料量而定，Cloud Armor 費用可能相當高昂。詳情請參閱 Cloud Armor 定價。
• 如要控管映像檔的存取權和使用權，請使用受防護的 VM 並設定可信映像檔政策。

加密貨幣挖礦威脅

如果判斷應用程式為挖礦應用程式，且程序仍在執行中，請終止程序。在運算資源的儲存空間中找出應用程式的可執行檔二進位檔，然後刪除。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。