En este documento, se ofrece orientación informal sobre cómo puedes responder a los hallazgos de actividades sospechosas en tus recursos de Compute Engine. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.
Antes de comenzar
- Revisa el hallazgo. Anota la instancia de Compute Engine afectada, la dirección de correo electrónico principal detectada y la dirección IP del llamador (si está presente). También revisa el hallazgo para detectar indicadores de vulneración (IP, dominio, hash de archivo o firma).
- Para obtener más información sobre el hallazgo que estás investigando, búscalo en el índice de hallazgos de amenazas.
Recomendaciones generales
- Comunícate con el propietario del recurso afectado.
- Investiga la instancia potencialmente comprometida y quita cualquier malware que se haya descubierto.
- Si es necesario, detén la instancia comprometida y reemplázala por una nueva.
- Para el análisis forense, considera crear copias de seguridad de las máquinas virtuales y los discos persistentes afectados. Para obtener más información, consulta Opciones de protección de datos en la documentación de Compute Engine.
- Si es necesario, borra la instancia de VM.
- Si el hallazgo incluye un correo electrónico principal y una IP de la persona que llama, revisa otros registros de auditoría asociados a esa principal o dirección IP para detectar actividad anómala. Si es necesario, inhabilita o reduce los privilegios de la cuenta asociada si se vio comprometida.
- Para hacer una investigación más exhaustiva, considera usar servicios de respuesta ante incidentes, como Mandiant.
Además, ten en cuenta las recomendaciones de las secciones posteriores de esta página.
Amenazas de SSH
- Considera inhabilitar el acceso SSH a la VM. Para obtener información sobre cómo inhabilitar las claves SSH, consulta Restringe las claves SSH de las VMs. Esta acción puede interrumpir el acceso autorizado a la VM, por lo que debes considerar las necesidades de tu organización antes de continuar.
- Usa la autenticación SSH solo con claves autorizadas.
- Actualiza las reglas de firewall o usa Cloud Armor para bloquear las direcciones IP maliciosas. Considera habilitar Cloud Armor como un servicio integrado. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Para obtener más información, consulta los precios de Cloud Armor.
Movimientos laterales en instancias de Compute Engine
Considera usar el arranque seguro para tus instancias de VM de Compute Engine.
Considera borrar la cuenta de servicio que podría estar vulnerada, además de rotar y borrar todas las claves de acceso de la cuenta de servicio del proyecto que podría estar vulnerado. Después de la eliminación, las aplicaciones que usan la cuenta de servicio para la autenticación perderán el acceso. Antes de continuar, tu equipo de seguridad debe identificar todas las aplicaciones afectadas y trabajar con los propietarios de estas para garantizar la continuidad empresarial.
Trabaja con tu equipo de seguridad para identificar recursos desconocidos, incluidas las instancias de Compute Engine, las instantáneas, las cuentas de servicio y los usuarios de IAM. Borra los recursos que se crearon con cuentas no autorizadas.
Responde a las notificaciones de la Atención al cliente de Cloud.
¿Qué sigue?
- Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
- Consulta el Índice de hallazgos de amenazas.
- Aprende a revisar un hallazgo con la consola de Google Cloud .
- Obtén información sobre los servicios que generan hallazgos de amenazas.