Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Program biner yang disertakan dalam image container asli dieksekusi. Biner diubah selama runtime container dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Penyerang biasanya menginstal alat eksploitasi dan malware setelah kompromi awal.
Deteksi Ancaman Cloud Run adalah sumber temuan ini.
Cara merespons
Untuk merespons temuan ini, lakukan hal berikut:
Meninjau detail temuan
Buka temuan
Execution: Modified Malicious Binary Executedseperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.Di tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang diubah
- Argumen: argumen yang diberikan saat program biner yang diubah dipanggil
- Container: nama container yang terpengaruh
- URI Container: nama image container yang di-deploy
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource Cloud Run yang terpengaruh
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal
- Yang terdeteksi, terutama kolom berikut:
Cari temuan terkait yang terjadi pada waktu yang sama untuk container yang terpengaruh. Temuan tersebut mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.
Tinjau setelan container yang terpengaruh.
Periksa log untuk container yang terpengaruh.
Meneliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Transfer Alat Ingress dan API Native.
- Periksa nilai hash SHA-256 untuk program biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE dan analisis VirusTotal.
Menerapkan respons Anda
Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run findings.
Langkah berikutnya
- Pelajari cara menggunakan temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui Google Cloud konsol.
- Pelajari tentang layanan yang menghasilkan temuan ancaman.