Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das deteções de ameaças disponíveis, consulte o Índice de deteções de ameaças.
Vista geral
A Deteção de ameaças do motor do agente observou um processo que gerou inesperadamente um processo de shell filho. Este evento pode indicar que um atacante está a tentar abusar de comandos e scripts de shell.
A deteção de ameaças do motor do agente é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Reveja os detalhes da descoberta
Abra a descoberta
Unexpected Child Shellconforme indicado em Rever descobertas. Reveja os detalhes nos separadores Resumo e JSON.No separador Resumo, reveja as informações nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
- Processo principal: o processo que criou inesperadamente o processo de shell secundário
- Processo secundário: o processo de shell secundário
- Argumentos: os argumentos fornecidos ao ficheiro binário do processo de shell secundário
- Variáveis de ambiente: as variáveis de ambiente do ficheiro binário do processo de shell secundário
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
ReasoningEngine)
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
- Links relacionados, especialmente o seguinte campo:
- Indicador do VirusTotal: link para a página de análise do VirusTotal
- O que foi detetado, especialmente os seguintes campos:
No separador JSON, tenha em atenção os seguintes campos:
processes: uma matriz que contém todos os processos relacionados com a descoberta. Esta matriz inclui o processo de shell secundário e o processo principal.resource:project_display_name: nome do projeto que contém os recursos.
Procure conclusões relacionadas que ocorreram numa altura semelhante para o agente de IA afetado. Estas conclusões podem indicar que esta atividade foi maliciosa, em vez de uma falha no seguimento das práticas recomendadas.
Reveja as definições do agente de IA afetado.
Verifique os registos do agente de IA afetado.
Investigue métodos de ataque e resposta
- Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Command and Scripting Interpreter: Unix Shell.
- Verifique o valor hash SHA-256 do ficheiro binário denunciado como malicioso no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre ficheiros, URLs, domínios e endereços IP potencialmente maliciosos.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a investigação da MITRE e a análise do VirusTotal.
Implemente a sua resposta
Para recomendações de respostas, consulte o artigo Responda a conclusões de ameaças de IA.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.