Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas nos seus recursos do Cloud Run. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue as descobertas, avalie as informações coletadas e decida como responder.
Antes de começar
- Analise a descoberta. Anote o contêiner afetado e os binários, processos ou bibliotecas detectados.
- Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.
Recomendações gerais
- Entre em contato com o proprietário do recurso afetado.
- Confira os registros do serviço, job ou pool de trabalhadores do Cloud Run potencialmente comprometido.
- Para análise forense, colete e faça backup dos registros do recurso afetado do Cloud Run.
- Para mais investigações, use serviços de resposta a incidentes como Mandiant.
Considere excluir qualquer um dos seguintes recursos afetados do Cloud Run:
- Exclua o serviço afetado.
- Reverta para uma revisão de serviço anterior ou implante uma revisão nova e mais segura e, em seguida, exclua a revisão afetada.
- Exclua o job afetado.
- Exclua o pool de trabalhadores afetado.
- Reverta para uma revisão de pool de trabalhadores anterior ou implante uma revisão nova e mais segura e, em seguida, exclua a revisão afetada.
Script malicioso ou código Python executado
Se o script ou código Python estava fazendo mudanças intencionais no contêiner, implante uma revisão no serviço que tem todas as mudanças pretendidas. Não confie em um script para fazer mudanças depois que o contêiner for implantado.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.