Impacto: imagem de expiração de backup e DR do Google Cloud

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Um usuário potencialmente mal-intencionado solicitou a exclusão de uma imagem de backup.

O Event Threat Detection é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Etapa 1: verificar os detalhes da descoberta

1. Abra a descoberta Inhibit System Recovery: Google Cloud Backup and DR expire image, conforme detalhado em Analisar uma descoberta. O painel de detalhes da descoberta é aberto na guia Resumo.
2. Na guia Resumo, confira as informações nas seções abaixo:
   • O que foi detectado, especialmente os seguintes campos:
     • Nome da política: o nome de uma única política, que define a frequência, a programação e o tempo de retenção do backup
     • Nome do modelo: o nome de um conjunto de políticas que definem a frequência, a programação e o tempo de retenção do backup
     • Nome do perfil: especifica o destino de armazenamento para backups de dados de aplicativo e VM.
     • Assunto principal: um usuário que executou uma ação com sucesso
   • Recurso afetado
     • Nome de exibição do recurso: o projeto do qual a imagem de backup foi excluída.
   • Links relacionados, principalmente os seguintes campos:
     • Método MITRE ATTACK: link para a documentação do MITRE ATT&CK
     • URI do Logging: link para abrir a Análise de registros

Etapa 2: pesquisar métodos de ataque e resposta

Entre em contato com o proprietário da conta de serviço no campo E-mail do principal. Confirme se o proprietário legítimo realizou a ação.

Etapa 3: implementar a resposta

1. No projeto em que a ação foi realizada, acesse o console de gerenciamento.
2. Navegue até a guia Monitor e selecione Jobs para conferir o status do job de exclusão de backup.
3. Se um job de exclusão não for autorizado, acesse as permissões do IAM para conferir os usuários com acesso aos dados de backup.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.