Esta página foi traduzida pela API Cloud Translation.

Movimento lateral: disco de arranque modificado anexado à instância

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Os registos de auditoria são examinados para detetar movimentos suspeitos de discos entre recursos de instâncias do Compute Engine. Foi anexado um disco de arranque potencialmente modificado ao seu Compute Engine.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

Abra a descoberta Lateral Movement: Modify Boot Disk Attaching to Instance, conforme detalhado em Rever descobertas. O painel de detalhes da deteção é aberto no separador Resumo.
No separador Resumo, tome nota dos valores dos seguintes campos.

Em O que foi detetado:
- Email principal: a conta de serviço que executou a ação
- Nome do serviço: o nome da API do Google Cloud serviço acedido pela conta de serviço
- Nome do método: o método que foi chamado

Passo 2: pesquise métodos de ataque e resposta

Use ferramentas de conta de serviço, como o analisador de atividade, para investigar a atividade da conta de serviço associada.
Contacte o proprietário da conta de serviço no campo Email principal. Confirmar se o proprietário legítimo realizou a ação.

Passo 3: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

Contacte o proprietário do projeto onde a ação foi realizada.
Considere usar o Arranque seguro para as suas instâncias de VM do Compute Engine.
Considere eliminar a conta de serviço potencialmente comprometida e rodar e eliminar todas as chaves de acesso da conta de serviço para o projeto potencialmente comprometido. Após a eliminação, as aplicações que usam a conta de serviço para autenticação perdem o acesso. Antes de continuar, a sua equipa de segurança deve identificar todas as aplicações afetadas e trabalhar com os proprietários das aplicações para garantir a continuidade da empresa.
Colabore com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM. Elimine recursos que não foram criados com contas autorizadas.
Responda a todas as notificações do Google Cloud apoio técnico.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.