本文提供非正式的指引,說明如何回應 Compute Engine 資源中發現的可疑活動。建議採取的步驟可能不適用於所有發現項目,也可能影響您的作業。採取任何行動前,請先調查發現項目、評估收集到的資訊,然後決定如何回應。
事前準備
- 查看調查結果。請記下受影響的 Compute Engine 執行個體,以及偵測到的主體電子郵件地址和呼叫端 IP 位址 (如有)。此外,請查看是否有遭入侵的指標 (IP、網域、檔案雜湊或簽章)。
- 如要進一步瞭解您正在調查的發現項目,請在威脅發現項目索引中搜尋該項目。
一般建議
- 與受影響資源的擁有者聯絡。
- 調查可能遭入侵的執行個體,並移除發現的惡意軟體。
- 如有必要,請停止遭入侵的執行個體,然後換成新的執行個體。
- 如要進行鑑識分析,請考慮備份受影響的虛擬機器和永久磁碟。詳情請參閱 Compute Engine 說明文件中的「資料保護選項」。
- 視需要刪除 VM 執行個體。
- 如果發現項目包含主體電子郵件地址和呼叫者 IP,請查看與該主體或 IP 位址相關的其他稽核記錄,確認是否有異常活動。如有必要,請停用相關聯帳戶或降低其權限,以免帳戶遭盜用。
- 如要進一步調查,請考慮使用事件應變服務,例如 Mandiant。
此外,請考慮本頁面後續章節中的建議。
SSH 威脅
- 請考慮停用 VM 的 SSH 存取權。如要瞭解如何停用 SSH 金鑰,請參閱「限制 VM 的 SSH 金鑰」。這項操作可能會中斷 VM 的授權存取權,因此請先考量貴機構的需求,再繼續操作。
- 請只使用授權金鑰進行 SSH 驗證。
- 更新防火牆規則或使用 Cloud Armor,封鎖惡意 IP 位址。建議啟用 Cloud Armor 做為整合式服務。視資料量而定,Cloud Armor 費用可能相當高。詳情請參閱 Cloud Armor 定價。
Compute Engine 執行個體中的橫向移動
考慮為 Compute Engine VM 執行個體使用安全啟動。
請考慮刪除可能遭入侵的服務帳戶,並輪替及刪除可能遭入侵專案的所有服務帳戶存取金鑰。刪除後,使用服務帳戶進行驗證的應用程式將無法存取。繼續操作前,您的安全團隊應找出所有受影響的應用程式,並與應用程式擁有者合作,確保業務持續運作。
與安全團隊合作找出不熟悉的資源,包括 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。刪除未透過授權帳戶建立的資源。
回覆 Cloud Customer Care 的任何通知。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。