Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Auf Ergebnisse zu Netzwerkbedrohungen reagieren

Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf Ergebnisse zu verdächtigen Aktivitäten in Ihrem Netzwerk reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die erhobenen Informationen bewerten und entscheiden, wie Sie reagieren möchten.

Hinweis

Ergebnis überprüfen. Notieren Sie sich die betroffene Ressource und die erkannten Netzwerkverbindungen. Prüfen Sie gegebenenfalls die Kompromittierungsindikatoren im Ergebnis mit der Threat Intelligence von VirusTotal.
Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, sehen Sie im Index der Bedrohungsergebnisse nach.

Allgemeine Empfehlungen

Wenden Sie sich an den Inhaber der betroffenen Ressource.
Untersuchen Sie die potenziell kompromittierte Compute-Ressource und entfernen Sie erkannte Malware.
Beenden Sie gegebenenfalls die kompromittierte Compute-Ressource.
Für die forensische Analyse sollten Sie die betroffenen virtuellen Maschinen und nichtflüchtigen Speicher sichern. Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Datenschutzoptionen.
Löschen Sie gegebenenfalls die betroffene Compute-Ressource.
Für weitere Untersuchungen können Sie Dienste für Incident Response wie Mandiant verwenden.

Beachten Sie außerdem die Empfehlungen in den nachfolgenden Abschnitten auf dieser Seite.

Malware

Prüfen Sie Audit-Logs und Syslogs, die mit der kompromittierten Compute-Ressource verknüpft sind, um Aktivitäten und Sicherheitslücken zu verfolgen, die das Einfügen von Malware ermöglichen.
Blockieren Sie schädliche IP-Adressen, indem Sie Firewallregeln aktualisieren oder Cloud Armor verwenden. Sie können Cloud Armor als integrierten Dienst aktivieren. Abhängig vom Datenvolumen können die Cloud Armor-Kosten beträchtlich sein. Weitere Informationen finden Sie unter Cloud Armor – Preise.
Verwenden Sie Shielded VM und richten Sie Richtlinien für vertrauenswürdige Images ein, um den Zugriff und die Verwendung von Images zu steuern.

Bedrohungen durch das Mining von Kryptowährungen

Wenn Sie feststellen, dass es sich bei der Anwendung um eine Mining-Anwendung handelt und ihr Prozess noch ausgeführt wird, beenden Sie den Prozess. Suchen Sie die ausführbare Binärdatei der Anwendung im Speicher der Compute-Ressource und löschen Sie sie.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsergebnisse generieren