Persistencia: Se agregó una secuencia de comandos de inicio del administrador de GCE

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

La clave de metadatos de instancia de Compute Engine startup-script o startup-script-url se cambió en una instancia que se creó hace más de siete días.

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los hallazgos.

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

  1. Verifica si el cambio lo hizo de manera intencional un miembro o si un adversario lo implementó para agregar un nuevo acceso a tu organización.

  2. Comprueba los registros con los siguientes filtros:

    protopayload.resource.labels.instance_id=INSTANCE_ID
protoPayload.serviceName="compute.googleapis.com"
((protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script" OR
protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script" ) OR
(protoPayload.metadata.instanceMetaData.addedMetadataKey : "startup-script-url" OR
protoPayload.metadata.instanceMetaData.modifiedMetadataKey : "startup-script-url" ))
logName="organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

    Reemplaza lo siguiente:

    • INSTANCE_ID: el gceInstanceId que se muestra en el hallazgo
    • ORGANIZATION_ID: Es el ID de tu organización

  3. Eventos de investigación que activan este hallazgo:

¿Qué sigue?