תנועה רוחבית: דיסק אתחול שעבר שינוי צורף למופע

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

יומני הביקורת נבדקים כדי לזהות תנועות חשודות של דיסקים בין משאבי מכונות ב-Compute Engine. דיסק אתחול שעבר שינוי אפשרי צורף ל-Compute Engine.

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

  1. פותחים את הממצא Lateral Movement: Modify Boot Disk Attaching to Instance, כמו שמתואר במאמר בדיקת ממצאים. חלונית הפרטים של הממצא נפתחת בכרטיסייה סיכום.

  2. בכרטיסייה סיכום, שימו לב לערכים של השדות הבאים.

    בקטע מה זוהה:

    • Principal email: חשבון השירות שביצע את הפעולה
    • שם השירות: שם ה-API של Google Cloud השירות שאליו הייתה לחשבון השירות גישה
    • שם השיטה: השיטה שהופעלה

שלב 2: מחקר על שיטות התקפה ותגובה

  1. כדי לבדוק את הפעילות של חשבון השירות המשויך, אפשר להשתמש בכלים לחשבונות שירות, כמו Activity Analyzer.
  2. פונים לבעלים של חשבון השירות בשדה Principal email. בודקים אם הבעלים החוקי ביצע את הפעולה.

שלב 3: מיישמים את התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

  • צריך לפנות לבעלים של הפרויקט שבו בוצעה הפעולה.
  • מומלץ להשתמש בהפעלה מאובטחת במכונות הווירטואליות של Compute Engine.
  • מומלץ למחוק את חשבון השירות שייתכן שנפרץ, לעדכן את כל מפתחות הגישה של חשבונות השירות בפרויקט שייתכן שנפרץ ולמחוק אותם. אחרי המחיקה, לאפליקציות שמשתמשות בחשבון השירות לצורך אימות לא תהיה יותר גישה. לפני שממשיכים, צוות האבטחה צריך לזהות את כל האפליקציות המושפעות ולעבוד עם בעלי האפליקציות כדי להבטיח את המשכיות העסקית.
  • כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מכונות ב-Compute Engine, תמונות מצב, חשבונות שירות ומשתמשי IAM. למחוק משאבים שלא נוצרו באמצעות חשבונות מורשים.
  • להשיב לכל ההתראות מ Google Cloud התמיכה.

המאמרים הבאים