本文提供非正式的指引,說明如何因應網路中發現的可疑活動。建議步驟可能不適用於所有發現,且可能會影響作業。採取任何行動前,請先調查結果、評估收集到的資訊,然後決定如何回應。
事前準備
查看調查結果。請注意受影響的資源和偵測到的網路連線。如果有的話,請使用 VirusTotal 的威脅情報,查看發現項目中的入侵指標。
如要進一步瞭解您正在調查的發現項目,請在威脅發現項目索引中搜尋該項目。
一般建議
- 與受影響資源的擁有者聯絡。
- 調查可能遭入侵的運算資源,並移除所有發現的惡意軟體。
- 視需要停止遭入侵的運算資源。
- 如要進行鑑識分析,請考慮備份受影響的虛擬機器和永久磁碟。詳情請參閱 Compute Engine 說明文件中的「資料保護選項」。
- 如有必要,請刪除受影響的運算資源。
- 如要進一步調查,請考慮使用事件應變服務,例如 Mandiant。
此外,請考慮本頁面後續章節中的建議。
惡意軟體
- 如要追蹤允許插入惡意軟體的活動和安全漏洞,請檢查與遭入侵的運算資源相關聯的稽核記錄和系統記錄。
- 更新防火牆規則或使用 Cloud Armor,封鎖惡意 IP 位址。建議啟用 Cloud Armor 做為整合式服務。視資料量而定,Cloud Armor 費用可能相當高。詳情請參閱 Cloud Armor 定價。
- 如要控管映像檔的存取權和使用權,請使用Shielded VM 並設定可信映像檔政策。
加密貨幣挖礦威脅
如果判斷應用程式為挖礦應用程式,且程序仍在執行中,請終止程序。在運算資源的儲存空間中找出應用程式的可執行二進位檔,然後刪除。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。