Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rispondere ai risultati delle minacce di rete

Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nella tua rete. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.

Prima di iniziare

Rivedi il risultato. Prendi nota della risorsa interessata e delle connessioni di rete rilevate. Se presente, esamina gli indicatori di compromissione nel risultato con la threat intelligence di VirusTotal.
Per scoprire di più sul risultato che stai esaminando, cercalo nell'indice dei risultati delle minacce.

Consigli generali

Contatta il proprietario della risorsa interessata.
Esamina la risorsa di calcolo potenzialmente compromessa e rimuovi eventuali malware rilevati.
Se necessario, arresta la risorsa di calcolo compromessa.
Per l'analisi forense, valuta la possibilità di eseguire il backup delle macchine virtuali e dei dischi permanenti interessati. Per ulteriori informazioni, consulta Opzioni di protezione dei dati nella documentazione di Compute Engine.
Se necessario, elimina la risorsa di computing interessata.
Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.

Inoltre, considera i consigli riportati nelle sezioni successive di questa pagina.

Malware

Per rilevare l'attività e le vulnerabilità che hanno consentito l'inserimento di malware, controlla i log di controllo e i log di sistema associati alla risorsa di calcolo compromessa.
Blocca gli indirizzi IP dannosi aggiornando le regole firewall o utilizzando Cloud Armor. Valuta la possibilità di attivare Cloud Armor come servizio integrato. A seconda del volume di dati, i costi di Cloud Armor possono essere significativi. Per maggiori informazioni, consulta Prezzi di Cloud Armor.
Per controllare l'accesso e l'utilizzo delle immagini, utilizza Shielded VM e configura policy per immagini attendibili.

Minacce legate al mining di criptovalute

Se determini che l'applicazione è un'applicazione di mining e il relativo processo è ancora in esecuzione, termina il processo. Individua il file binario eseguibile dell'applicazione nello spazio di archiviazione della risorsa di calcolo ed eliminalo.

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri i servizi che generano risultati di minacce.