Security Command Center מבצע מעקב ללא סוכן ומבוסס-יומן אחרי משאבי Compute Engine. המלצות לתגובה לאיומים האלה מפורטות במאמר בנושא תגובה לממצאים של איומים ב-Compute Engine.
סוגי ממצאים של ניטור ללא סוכן
הזיהויים הבאים של ניטור ללא סוכן זמינים ב-זיהוי איומים במכונות וירטואליות:
-
Defense Evasion: Rootkit -
Defense Evasion: Unexpected ftrace handler -
Defense Evasion: Unexpected interrupt handler -
Defense Evasion: Unexpected kernel modules -
Defense Evasion: Unexpected kernel read-only data modification -
Defense Evasion: Unexpected kprobe handler -
Defense Evasion: Unexpected processes in runqueue -
Defense Evasion: Unexpected system call handler -
Execution: cryptocurrency mining combined detection -
Execution: Cryptocurrency Mining Hash Match -
Execution: Cryptocurrency Mining YARA Rule -
Malware: Malicious file on disk -
Malware: Malicious file on disk (YARA)
סוגי ממצאים שמבוססים על יומנים
הזיהויים הבאים שמבוססים על יומנים זמינים ב-Event Threat Detection:
-
Brute force SSH -
Impact: Managed Instance Group Autoscaling Set To Maximum -
Lateral Movement: Modified Boot Disk Attached to Instance -
Lateral Movement: OS Patch Execution From Service Account -
Persistence: GCE Admin Added SSH Key -
Persistence: GCE Admin Added Startup Script -
Persistence: Global Startup Script Added -
Privilege Escalation: Global Shutdown Script Added
הזיהויים הבאים שמבוססים על יומנים זמינים ב-Sensitive Actions Service:
המאמרים הבאים
- מידע נוסף על זיהוי איומים במכונות וירטואליות
- מידע נוסף על Event Threat Detection
- מידע נוסף על שירות הפעולות הרגישות
- איך מגיבים לאיומים ב-Compute Engine
- אפשר לעיין באינדקס של ממצאי איומים.