Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Akses anomali dari proxy anonim terdeteksi dengan memeriksa Cloud Audit Logs untuk Google Cloud modifikasi layanan yang berasal dari alamat IP yang terkait dengan jaringan Tor.
Event Threat Detection adalah sumber temuan ini.
Cara merespons
Untuk merespons temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Evasion: Access from Anonymizing Proxy, seperti yang diarahkan dalam Meninjau temuan. Panel untuk detail temuan akan terbuka, menampilkan tab Ringkasan. Di tab Ringkasan panel detail temuan, tinjau nilai yang tercantum di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Email utama: akun yang melakukan perubahan (akun yang berpotensi disusupi).
- IP: Alamat IP proxy tempat perubahan dilakukan.
- Resource yang terpengaruh
- Link terkait, terutama kolom berikut:
- URI Cloud Logging: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
- Yang terdeteksi, terutama kolom berikut:
Secara opsional, klik tab JSON untuk melihat kolom temuan tambahan.
Langkah 2: Teliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Proxy: Multi-hop Proxy.
- Hubungi pemilik akun di kolom
principalEmail. Konfirmasi apakah tindakan tersebut dilakukan oleh pemilik yang sah. - Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.
Contoh JSON temuan
Berikut adalah contoh JSON temuan.
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "state": "ACTIVE", "category": "Evasion: Access from Anonymizing Proxy", "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "technique": "persistence", "indicator": "audit_log", "ruleName": "proxy_access" }, "detectionPriority": "MEDIUM", "affectedResources": [{ "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" }], "evidence": [{ "sourceLogId": { "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1633625631", "nanos": 1.78978E8 }, "insertId": "INSERT_ID" } }], "properties": { "changeFromBadIp": { "principalEmail": "PRINCIPAL_EMAIL", "ip": "SOURCE_IP_ADDRESS" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/techniques/T1090/003/" }, "cloudLoggingQueryUri": [{ "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-10-07T16:53:51.178978Z%22%0AinsertId%3D%22-INSERT_ID%22%0Aresource.labels.project_id%3D%22%22?project\u003d" }] } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2021-10-07T16:53:53.875Z", "createTime": "2021-10-07T16:53:54.411Z", "severity": "MEDIUM", "workflowState": "NEW", "canonicalName": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "THREAT" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectDisplayName": "PROJECT_ID", "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parentDisplayName": "PARENT_NAME", "type": "google.cloud.resourcemanager.Project", "displayName": "PROJECT_ID" } }
Langkah berikutnya
- Pelajari cara menggunakan temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui Google Cloud konsol.
- Pelajari tentang layanan yang menghasilkan temuan ancaman.