本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具在雲端資源中偵測到潛在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱威脅發現項目索引。
總覽
系統偵測到標頭或網址參數中的 Java Naming and Directory Interface (JNDI) 查閱時,就會產生這項發現項目。這些查閱可能表示有人嘗試利用 Log4Shell 漏洞攻擊。
Event Threat Detection 是這項發現項目的來源。
回應方式
如要回應這項發現項目,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看發現項目詳細資料」一文的說明,開啟
Initial Access: Log4j Compromise Attempt發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容
- 受影響的資源
- 相關連結,尤其是下列欄位:
- Cloud Logging URI:記錄項目連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
- 在調查結果的詳細資料檢視畫面中,按一下「JSON」分頁標籤。
請注意 JSON 中的下列欄位。
propertiesloadBalancerName:接收 JNDI 查閱的負載平衡器名稱requestUrl:HTTP 要求的請求網址。如果存在,這會包含 JNDI 查閱。- :傳送 HTTP 要求的使用者代理程式。如果存在,這會包含 JNDI 查閱。
requestUserAgent refererUrl:傳送 HTTP 要求的網頁網址。如果存在,這會包含 JNDI 查閱。
步驟 2:檢查記錄
- 在 Google Cloud 控制台中,按一下步驟 1「Cloud Logging URI」欄位中的連結,前往「Logs Explorer」。
在隨即載入的頁面中,檢查
httpRequest欄位是否有字串權杖 (例如${jndi:ldap://),這可能表示有人試圖進行攻擊。如需搜尋字串範例和查詢範例,請參閱 Logging 說明文件中的「CVE-2021-44228:偵測 Log4Shell 弱點」。
步驟 3:研究攻擊和應變方法
- 查看這類發現項目的 MITRE ATT&CK 框架項目: Exploit Public-Facing Application。
- 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。相關發現項目是指類型相同,且屬於相同執行個體和網路的發現項目。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 4:實作回應
下列應變計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方式。
- 升級至最新版 Log4j。
- 請按照 Google Cloud的建議,調查及回應「Apache Log4j」安全漏洞。
- 在「Apache Log4j 安全漏洞」中實作建議的緩解技術。
- 如果您使用 Google Cloud Armor,請將
cve-canary rule部署至新的或現有的 Cloud Armor 安全性政策。詳情請參閱「Google Cloud Armor 網路應用程式防火牆規則有助於降低 Apache Log4j 安全漏洞的風險」。
發現項目 JSON 範例
以下是發現項目 JSON 的範例。
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "state": "ACTIVE", "category": "Initial Access: Log4j Compromise Attempt", "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_ID" }, "detectionCategory": { "ruleName": "log4j_compromise_attempt" }, "detectionPriority": "LOW", "affectedResources": [{ "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" }], "evidence": [{ "sourceLogId": { "projectId": "PROJECT_ID", "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1639690492", "nanos": 9.13836E8 }, "insertId": "INSERT_ID" } }], "properties": { "loadBalancerName": "LOAD_BALANCER_NAME", "requestUrl": "REQUEST_URL?${jndi:ldap://google.com}" }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/techniques/T1190/" }, "cloudLoggingQueryUri": [{ "displayName": "Cloud Logging Query Link", "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-12-16T21:34:52.913836Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project\u003dPROJECT_ID" }], "relatedFindingUri": { } } }, "securityMarks": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks" }, "eventTime": "2021-12-16T21:34:52.913Z", "createTime": "2021-12-16T21:34:55.022Z", "severity": "LOW", "workflowState": "NEW", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "mute": "UNDEFINED", "findingClass": "THREAT" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectDisplayName": "PROJECT_ID", "parentName": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER", "parentDisplayName": "FOLDER_DISPLAY_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [{ "resourceFolder": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER", "resourceFolderDisplayName": "FOLDER_DISPLAY_NAME" }], "displayName": "PROJECT_ID" } }
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。