Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.
Panoramica
Il malware viene rilevato esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini e indirizzi IP di comando e controllo noti.
Event Threat Detection è l'origine di questo risultato.
Come rispondere
Per rispondere a questo risultato:
Passaggio 1: esamina i dettagli del risultato
Apri il risultato
Malware: Cryptomining Bad Domain, come indicato in Esaminare i risultati. Si apre il riquadro dei dettagli del risultato nella scheda Riepilogo.Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:
- Che cosa è stato rilevato, in particolare i seguenti campi:
- Dominio indicatore: il dominio che ha attivato il risultato.
- Risorsa interessata, in particolare i seguenti campi:
- Nome completo della risorsa: il nome completo della risorsa dell'istanza di Compute Engine interessata.
- Nome completo del progetto: il nome completo della risorsa del progetto che contiene il risultato.
- Link correlati, in particolare i seguenti campi:
- URI Cloud Logging: link alle voci di logging.
- Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
- Risultati correlati: link a eventuali risultati correlati.
- Indicatore VirusTotal: link alla pagina di analisi di VirusTotal.
- Flow Analyzer: link alla funzionalità Flow Analyzer di Network Intelligence Center. Questo campo viene visualizzato solo quando i log di flusso VPC sono abilitati.
Fai clic sulla scheda JSON e prendi nota del seguente campo:
evidence:sourceLogId:projectID: l'ID del progetto in cui è stato rilevato il problema.
properties:InstanceDetails: l'indirizzo della risorsa per l'istanza di Compute Engine.
- Che cosa è stato rilevato, in particolare i seguenti campi:
Passaggio 2: esamina le autorizzazioni e le impostazioni
Nella Google Cloud console, vai alla pagina Dashboard.
Seleziona il progetto specificato nella riga Nome completo del progetto nella scheda Riepilogo.
Vai alla scheda Risorse e fai clic su Compute Engine.
Fai clic sull'istanza VM che corrisponde al nome e alla zona in Nome completo della risorsa. Esamina i dettagli dell'istanza, incluse le impostazioni di rete e di accesso.
Nel riquadro di navigazione, fai clic su Rete VPC, quindi su Firewall. Rimuovi o disattiva le regole firewall eccessivamente permissive.
Passaggio 3: controlla i log
- Nella scheda Riepilogo del riquadro dei dettagli del risultato, fai clic sul link URI Cloud Logging per aprire Esplora log.
Nella pagina che viene caricata, trova i log di flusso VPC relativi all'indirizzo IP in IP di origine utilizzando il seguente filtro:
logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")Sostituisci quanto segue:
PROJECT_IDcon il progetto elencato inprojectId.SOURCE_IPcon l'indirizzo IP elencato nella riga IP di origine nella scheda Riepilogo dei dettagli del risultato.
Passaggio 4: controlla Flow Analyzer
Per eseguire la seguente procedura, devi abilitare i log di flusso VPC.
- Assicurati di aver eseguito l'upgrade del bucket di log per utilizzare Observability Analytics. Per istruzioni, consulta Eseguire l'upgrade di un bucket per utilizzare Analisi dei log. L'upgrade non comporta costi aggiuntivi.
Nella Google Cloud console, vai alla pagina Flow Analyzer:
Puoi accedere a Flow Analyzer anche tramite il link URL di Flow Analyzer nella sezione Link correlati della scheda Riepilogo del riquadro Dettagli del risultato.
Per esaminare ulteriormente le informazioni relative al risultato di Event Threat Detection, utilizza il selettore dell'intervallo di tempo nella barra delle azioni per modificare il periodo di tempo. Il periodo di tempo deve riflettere il momento in cui il risultato è stato segnalato per la prima volta. Ad esempio, se il risultato è stato segnalato nelle ultime 2 ore, puoi impostare il periodo di tempo su Ultime 6 ore. In questo modo, il periodo di tempo in Flow Analyzer include il momento in cui è stato segnalato il risultato.
Filtra Flow Analyzer per visualizzare i risultati appropriati per l'indirizzo IP associato al risultato IP dannoso:
- Dal menu Filtro nella riga Origine della sezione Query , seleziona IP.
Nel campo Valore, inserisci l'indirizzo IP associato al risultato e fai clic su Esegui nuova query.
Se Flow Analyzer non mostra risultati per l'indirizzo IP, cancella il filtro dalla riga Origine ed esegui di nuovo la query con lo stesso filtro nella riga Destinazione.
Analizza i risultati. Per ulteriori informazioni su un flusso specifico, fai clic su Dettagli nella tabella Tutti i flussi di dati per aprire il riquadro Dettagli del flusso.
Passaggio 5: ricerca i metodi di attacco e risposta
- Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Risoluzione dinamica e Comando e controllo.
- Esamina i risultati correlati facendo clic sul link in Risultati correlati nella riga Risultati correlati nella scheda Riepilogo dei dettagli del risultato. I risultati correlati sono dello stesso tipo di risultato e della stessa istanza e rete.
- Controlla gli URL e i domini contrassegnati su VirusTotal facendo clic sul link in Indicatore VirusTotal. VirusTotal è un servizio di proprietà di Alphabet che fornisce il contesto su file, URL, domini e indirizzi IP potenzialmente dannosi.
- Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.
Passaggio 6: implementa la risposta
Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.
- Contatta il proprietario del progetto contenente malware.
- Esamina l'istanza potenzialmente compromessa e rimuovi il malware rilevato. Per facilitare il rilevamento e la rimozione, utilizza una soluzione di rilevamento e risposta degli endpoint.
- Per monitorare le attività e le vulnerabilità che hanno consentito l'inserimento di malware, controlla i log di controllo e i log di sistema associati all'istanza compromessa.
- Se necessario, arresta l'istanza compromessa e sostituiscila con una nuova istanza.
-
Blocca gli indirizzi IP dannosi aggiornando le regole firewall o utilizzando Cloud Armor. A seconda del volume di dati, i costi di Cloud Armor possono essere significativi. Per ulteriori informazioni, consulta la guida ai prezzi di Cloud Armor.
Per abilitare Cloud Armor nella Google Cloud console, vai a la pagina Servizi integrati.
- Per controllare l'accesso e l'utilizzo delle immagini VM, utilizza Shielded VM e Trusted Images IAM policy.
Esempio di JSON del risultato
Di seguito è riportato un esempio di JSON del risultato.
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "state": "ACTIVE", "category": "Malware: Cryptomining Bad Domain", "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "cryptomining", "indicator": "domain", "ruleName": "bad_domain", "subRuleName": "cryptomining" }, "detectionPriority": "LOW", "affectedResources": [{ "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" }], "evidence": [{ "sourceLogId": { "projectId": "PROJECT_ID", "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1636566099", "nanos": 5.41483849E8 }, "insertId": "INSERT_ID" } }], "properties": { "domains": ["DOMAIN"], "instanceDetails": "/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "network": { "project": "PROJECT_ID", "location": "ZONE" }, "dnsContexts": [{ "authAnswer": true, "sourceIp": "SOURCE_IP_ADDRESS", "queryName": "DOMAIN", "queryType": "A", "responseCode": "NXDOMAIN" }], "vpc": { "vpcName": "default" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/techniques/T1496/" }, "virustotalIndicatorQueryUri": [{ "displayName": "VirusTotal Domain Link", "url": "https://www.virustotal.com/gui/domain/DOMAIN/detection" }], "cloudLoggingQueryUri": [{ "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-11-10T17:41:39.541483849Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project\u003dPROJECT_ID" }], "relatedFindingUri": { } } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2021-11-10T17:41:41.594Z", "createTime": "2021-11-10T17:41:42.014Z", "severity": "LOW", "workflowState": "NEW", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "THREAT", "indicator": { "domains": ["DOMAIN"] } }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectDisplayName": "PROJECT_ID", "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parentDisplayName": "PARENT_NAME", "type": "google.cloud.resourcemanager.Project", "displayName": "PROJECT_ID" } }
Passaggi successivi
- Scopri come utilizzare i risultati di minaccia in Security Command Center.
- Consulta l'indice dei risultati di minaccia.
- Scopri come esaminare un risultato tramite la Google Cloud console.
- Scopri i servizi che generano risultati di minaccia.