Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cómo responder a los resultados de amenazas de red

En este documento, se ofrece orientación informal sobre cómo responder a los hallazgos de actividades sospechosas en tu red. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.

Antes de comenzar

Revisa el hallazgo. Anota el recurso afectado y las conexiones de red detectadas. Si están presentes, revisa los indicadores de compromiso en el hallazgo con la inteligencia contra amenazas de VirusTotal.
Para obtener más información sobre el hallazgo que estás investigando, búscalo en el índice de hallazgos de amenazas.

Recomendaciones generales

Comunícate con el propietario del recurso afectado.
Investiga el recurso de procesamiento potencialmente comprometido y quita cualquier malware que se haya descubierto.
Si es necesario, detén el recurso de procesamiento comprometido.
Para el análisis forense, considera crear copias de seguridad de las máquinas virtuales y los discos persistentes afectados. Para obtener más información, consulta Opciones de protección de datos en la documentación de Compute Engine.
Si es necesario, borra el recurso de procesamiento afectado.
Para hacer una investigación más exhaustiva, considera usar servicios de respuesta ante incidentes, como Mandiant.

Además, ten en cuenta las recomendaciones de las secciones posteriores de esta página.

Software malicioso

Para hacer un seguimiento de la actividad y las vulnerabilidades que permitieron la inserción de malware, comprueba los registros de auditoría y los registros de sistema asociados con el recurso de procesamiento comprometido.
Actualiza las reglas de firewall o usa Cloud Armor para bloquear las direcciones IP maliciosas. Considera habilitar Cloud Armor como un servicio integrado. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Para obtener más información, consulta los precios de Cloud Armor.
Para controlar el acceso y el uso de imágenes, usa la VM protegida y configura políticas de imágenes confiables.

Amenazas de minería de criptomonedas

Si determinas que la aplicación es de minería y su proceso aún se está ejecutando, finalízalo. Busca el archivo binario ejecutable de la aplicación en el almacenamiento del recurso de procesamiento y bórralo.

¿Qué sigue?

Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de hallazgos de amenazas.
Aprende a revisar un hallazgo con la consola de Google Cloud .
Obtén información sobre los servicios que generan hallazgos de amenazas.