Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Akses yang tidak normal dari proxy anonim terdeteksi dengan memeriksa Cloud Audit Logs untuk modifikasi layanan Google Cloud yang berasal dari alamat IP yang terkait dengan jaringan Tor.
Event Threat Detection adalah sumber temuan ini.
Cara merespons
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Evasion: Access from Anonymizing Proxy, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Summary. Pada tab Ringkasan di panel detail temuan, tinjau nilai yang tercantum di bagian berikut:
- Apa yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan (akun yang berpotensi disusupi).
- IP: Alamat IP proxy tempat perubahan dilakukan.
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- Cloud Logging URI: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Apa yang terdeteksi, terutama kolom berikut:
Anda juga dapat mengklik tab JSON untuk melihat kolom temuan tambahan.
Langkah 2: Meneliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Proxy: Multi-hop Proxy.
- Hubungi pemilik akun di kolom
principalEmail. Konfirmasi apakah tindakan dilakukan oleh pemilik yang sah. - Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.
Contoh JSON temuan
Berikut adalah contoh JSON temuan.
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "state": "ACTIVE", "category": "Evasion: Access from Anonymizing Proxy", "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "proxy_access" }, "detectionPriority": "MEDIUM", "affectedResources": [{ "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" }], "evidence": [{ "sourceLogId": { "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1633625631", "nanos": 1.78978E8 }, "insertId": "INSERT_ID" } }], "properties": { "changeFromBadIp": { "principalEmail": "PRINCIPAL_EMAIL", "ip": "SOURCE_IP_ADDRESS" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/techniques/T1090/003/" }, "cloudLoggingQueryUri": [{ "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-10-07T16:53:51.178978Z%22%0AinsertId%3D%22-INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\u003d" }] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2021-10-07T16:53:53.875Z", "createTime": "2021-10-07T16:53:54.411Z", "severity": "MEDIUM", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "THREAT" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectDisplayName": "PROJECT_ID", "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parentDisplayName": "PARENT_NAME", "type": "google.cloud.resourcemanager.Project", "displayName": "PROJECT_ID" } }
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.