Esta página foi traduzida pela API Cloud Translation.

Evasão: acesso a partir de um proxy de anonimização

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

O acesso anómalo a partir de um proxy anónimo é detetado através da análise dos registos de auditoria da nuvem para Google Cloud modificações de serviços com origem num endereço IP associado à rede Tor.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

Abra uma Evasion: Access from Anonymizing Proxydescoberta, conforme indicado em Rever descobertas. É aberto o painel de detalhes da descoberta, que apresenta o separador Resumo.
No separador Resumo do painel de detalhes da deteção, reveja os valores indicados nas seguintes secções:
- O que foi detetado, especialmente os seguintes campos:
  - Email principal: a conta que fez as alterações (uma conta potencialmente comprometida).
  - IP: o endereço IP do proxy a partir do qual as alterações são realizadas.
- Recurso afetado
- Links relacionados, especialmente os seguintes campos:
  - URI do Cloud Logging: link para as entradas do Logging.
  - Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
  - Resultados relacionados: links para resultados relacionados.
Opcionalmente, clique no separador JSON para ver campos de resultados adicionais.

Passo 2: pesquise métodos de ataque e resposta

Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Proxy: proxy de vários saltos.
Contacte o proprietário da conta no campo principalEmail. Confirme se a ação foi realizada pelo proprietário legítimo.
Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.