Impacto: política de eliminação da cópia de segurança e RD do Google Cloud

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Os registos de auditoria são examinados para detetar a eliminação de uma política. Uma política define como é feita uma cópia de segurança e onde é armazenada.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra a Impact: Google Cloud Backup and DR delete policy descoberta, conforme detalhado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo.
  2. No separador Resumo, reveja as informações nas seguintes secções:
    • O que foi detetado, especialmente os seguintes campos:
      • Nome da política: o nome de uma única política, que define a frequência, a programação e o tempo de retenção da cópia de segurança
      • Sujeito principal: um utilizador que executou com êxito uma ação
    • Recurso afetado
      • Nome a apresentar do recurso: o projeto no qual a política foi eliminada
    • Links relacionados, especialmente os seguintes campos:
      • Método MITRE ATTACK: link para a documentação do MITRE ATT&CK
      • URI de registo: link para abrir o Explorador de registos.

Passo 2: pesquise métodos de ataque e resposta

Contacte o proprietário da conta de serviço no campo Email principal. Confirmar se o proprietário legítimo realizou a ação.

Passo 3: implemente a sua resposta

  1. No projeto onde a ação foi tomada, navegue para a consola de gestão.
  2. No separador Gestor de apps, selecione a aplicação afetada e reveja as definições de políticas aplicadas a essa aplicação.

O que se segue?