Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Auf Compute Engine-Bedrohungsbefunde reagieren

Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf verdächtige Aktivitäten in Ihren Compute Engine-Ressourcen reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die erhobenen Informationen bewerten und entscheiden, wie Sie reagieren möchten.

Hinweis

Ergebnis überprüfen Notieren Sie sich die betroffene Compute Engine-Instanz, die erkannte E‑Mail-Adresse des Hauptkontos und die IP-Adresse des Aufrufers (falls vorhanden). Prüfen Sie die Ergebnisse auch auf Kompromittierungsindikatoren (IP-Adresse, Domain, Datei-Hash oder Signatur).
Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, sehen Sie im Index der Bedrohungsergebnisse nach.

Allgemeine Empfehlungen

Wenden Sie sich an den Inhaber der betroffenen Ressource.
Untersuchen Sie die potenziell manipulierte Instanz und entfernen Sie erkannte Malware.
Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.
Für die forensische Analyse sollten Sie die betroffenen virtuellen Maschinen und nichtflüchtigen Speicher sichern. Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Datenschutzoptionen.
Löschen Sie bei Bedarf die VM-Instanz.
Wenn das Ergebnis eine E-Mail-Adresse des Prinzipals und eine IP-Adresse des Aufrufers enthält, prüfen Sie andere Audit-Logs, die mit diesem Prinzipal oder dieser IP-Adresse verknüpft sind, auf anomale Aktivitäten. Deaktivieren Sie das zugehörige Konto oder schränken Sie seine Berechtigungen ein, falls es manipuliert wurde.
Für weitere Untersuchungen sollten Sie Incident Response-Dienste wie Mandiant in Betracht ziehen.

Beachten Sie außerdem die Empfehlungen in den nachfolgenden Abschnitten auf dieser Seite.

SSH-Bedrohungen

Deaktivieren Sie den SSH-Zugriff auf die VM. Informationen zum Deaktivieren von SSH-Schlüsseln finden Sie unter SSH-Schlüssel von VMs einschränken. Diese Aktion kann den autorisierten Zugriff auf die VM unterbrechen. Berücksichtigen Sie daher die Anforderungen Ihrer Organisation, bevor Sie fortfahren.
Verwenden Sie die SSH-Authentifizierung nur mit autorisierten Schlüsseln.
Blockieren Sie schädliche IP-Adressen, indem Sie Firewallregeln aktualisieren oder Cloud Armor verwenden. Erwägen Sie, Cloud Armor als integrierten Dienst zu aktivieren. Abhängig vom Datenvolumen können die Cloud Armor-Kosten erheblich sein. Weitere Informationen finden Sie unter Cloud Armor-Preise.

Laterale Bewegungen in Compute Engine-Instanzen

Erwägen Sie die Verwendung von Secure Boot für Ihre Compute Engine-VM-Instanzen.
Erwägen Sie, das potenziell manipulierte Dienstkonto zu löschen und alle Dienstkontoschlüssel für das potenziell manipulierte Projekt zu rotieren und zu löschen. Nach dem Löschen verlieren Anwendungen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff. Bevor Sie fortfahren, sollte Ihr Sicherheitsteam alle betroffenen Anwendungen identifizieren und mit den Anwendungsbesitzern zusammenarbeiten, um die Geschäftskontinuität sicherzustellen.
Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer. Ressourcen löschen, die nicht mit autorisierten Konten erstellt wurden.
Auf Benachrichtigungen von Cloud Customer Care reagieren

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren