Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rispondere ai risultati delle minacce di Compute Engine

Questo documento offre indicazioni informali su come rispondere ai risultati delle attività sospette nelle risorse Compute Engine. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.

Prima di iniziare

Esamina il risultato. Prendi nota dell'istanza Compute Engine interessata e dell'indirizzo email principale e dell'indirizzo IP del chiamante rilevati (se presenti). Esamina anche il risultato per verificare la presenza di indicatori di compromissione (IP, dominio, hash del file o firma).
Per saperne di più sul risultato che stai esaminando, cercalo nell'indice dei risultati delle minacce.

Consigli generali

Contatta il proprietario della risorsa interessata.
Esamina l'istanza potenzialmente compromessa e rimuovi eventuali malware rilevati.
Se necessario, arresta l'istanza compromessa e sostituiscila con una nuova istanza.
Per l'analisi forense, valuta la possibilità di eseguire il backup delle macchine virtuali e dei dischi permanenti interessati. Per ulteriori informazioni, consulta Opzioni di protezione dei dati nella documentazione di Compute Engine.
Se necessario, elimina l'istanza VM.
Se il risultato include un indirizzo email principale e un IP del chiamante, esamina altri audit log associati a quell'indirizzo principale o IP per verificare la presenza di attività anomale. Se necessario, disattiva o riduci i privilegi dell'account associato se è stato compromesso.
Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.

Inoltre, prendi in considerazione i consigli riportati nelle sezioni successive di questa pagina.

Minacce SSH

Valuta la possibilità di disattivare l'accesso SSH alla VM. Per informazioni sulla disattivazione delle chiavi SSH, consulta Limita le chiavi SSH dalle VM. Questa azione può interrompere l'accesso autorizzato alla VM, quindi valuta le esigenze della tua organizzazione prima di procedere.
Utilizza l'autenticazione SSH solo con le chiavi autorizzate.
Blocca gli indirizzi IP dannosi aggiornando le regole firewall o utilizzando Cloud Armor. Valuta la possibilità di attivare Cloud Armor come servizio integrato. A seconda del volume di dati, i costi di Cloud Armor possono essere significativi. Per ulteriori informazioni, consulta i prezzi di Cloud Armor.

Movimenti laterali nelle istanze Compute Engine

Valuta la possibilità di utilizzare l'avvio protetto per le istanze VM di Compute Engine.
Valuta la possibilità di eliminare il service account potenzialmente compromesso di ruotare ed eliminare tutte le chiavi di accesso del account di servizio per il progetto potenzialmente compromesso. Dopo l'eliminazione, le applicazioni che utilizzano il service account per l'autenticazione perdono l'accesso. Prima di procedere, il tuo team di sicurezza deve identificare tutte le applicazioni interessate e collaborare con i proprietari delle applicazioni per garantire la continuità operativa.
Collabora con il tuo team di sicurezza per identificare le risorse sconosciute, tra cui istanze Compute Engine, snapshot, service account e utenti IAM. Elimina le risorse non create con account autorizzati.
Rispondi a eventuali notifiche dell'assistenza clienti Google Cloud.

Passaggi successivi

Scopri come utilizzare i risultati delle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la Google Cloud console.
Scopri i servizi che generano risultati delle minacce.