本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
Agent Engine Threat Detection 觀察到某個程序意外產生子殼層程序。這項事件可能表示攻擊者試圖濫用殼層指令和指令碼。
Agent Engine Threat Detection 是這項發現項目的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
查看發現項目詳細資料
按照「查看發現項目」一文的指示,開啟
Unexpected Child Shell發現項目。查看「摘要」和「JSON」分頁中的詳細資料。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,尤其是下列欄位:
- 父項程序:意外建立子殼層程序的程序
- 子項程序:子項殼層程序
- 引數:提供給子項殼層程序二進位的引數
- 環境變數:子項殼層程序二進位的環境變數
- 受影響的資源,尤其是下列欄位:
- 資源完整名稱:受影響 AI 代理程式的完整資源名稱 (
ReasoningEngine資源)
- 資源完整名稱:受影響 AI 代理程式的完整資源名稱 (
- 相關連結,尤其是以下欄位:
- VirusTotal 指標:連結至 VirusTotal 分析頁面
- 偵測到的內容,尤其是下列欄位:
在「JSON」分頁中,請注意下列欄位:
processes:包含與發現項目相關的所有程序的陣列。這個陣列包含子項殼層程序和父項程序。resource:project_display_name:包含資產的專案名稱。
找出受影響 AI 代理程式在類似時間發生的相關發現項目。這類發現結果可能表示該活動是惡意活動,而非未遵循最佳做法。
檢查受影響 AI 代理程式的設定。
查看受影響 AI 代理程式的記錄。
研究攻擊和回應方法
- 查看這類發現項目的 MITRE ATT&CK 框架項目:命令和指令碼解譯器:Unix Shell。
- 在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值,方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
- 如要制定回應計畫,請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。
實作回覆內容
如需回應建議,請參閱「回應 AI 威脅發現結果」。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅調查結果的服務。