Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

התחמקות: גישה משרת proxy לאנונימיזציה

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

גישה אנומלית משרת proxy אנונימי מזוהה על ידי בדיקת יומני הביקורת של Cloud לגבי שינויים בשירות שמקורם בכתובת IP שמשויכת לרשת Tor. Google Cloud

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

פותחים ממצא של Evasion: Access from Anonymizing Proxy לפי ההוראות במאמר בדיקת ממצאים. תיפתח החלונית עם פרטי הממצאים, ותוצג הכרטיסייה סיכום.
בכרטיסייה Summary (סיכום) בחלונית הפרטים של הממצא, בודקים את הערכים שמפורטים בקטעים הבאים:
- מה זוהה, במיוחד השדות הבאים:
  - כתובת אימייל ראשית: החשבון שביצע את השינויים (יכול להיות שזה חשבון שנפרץ).
  - ‫IP: כתובת ה-IP של שרת ה-Proxy שממנו מתבצעים השינויים.
- מקור המידע שהושפע
- קישורים רלוונטיים, במיוחד השדות הבאים:
  - ‫Cloud Logging URI: קישור לרשומות ב-Logging.
  - שיטת MITRE ATT&CK: קישור למסמך של MITRE ATT&CK.
  - ממצאים קשורים: קישורים לממצאים קשורים.
אופציונלי: לוחצים על הכרטיסייה JSON כדי לראות שדות נוספים של הממצא.

שלב 2: מחקר על שיטות התקפה ותגובה

כדאי לעיין ברשומה של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Proxy: Multi-hop Proxy.
פונים לבעל החשבון בשדה principalEmail. צריך לאשר אם הפעולה בוצעה על ידי הבעלים הלגיטימיים.
כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם מחקר של MITRE.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים