Attaques par force brute SSH

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Détection d'une attaque par force brute SSH réussie sur un hôte

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Brute Force: SSH, comme indiqué dans la section Examiner les résultats.

2. Dans l'onglet Résumé du panneau "Détails du résultat", examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :

     • Adresse IP de l'appelant : adresse IP qui a lancé l'attaque.
     • Nom d'utilisateur : compte auquel l'utilisateur s'est connecté.

   • Ressource concernée

   • Liens associés, en particulier les champs suivants :

     • URI Cloud Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les éventuels résultats associés.

3. Cliquez sur l'onglet JSON.

4. Dans le fichier JSON, notez les champs suivants.

   • sourceProperties :
     • evidence :
       • sourceLogId : ID de projet et code temporel permettant d'identifier l'entrée de journal
       • projectId : projet contenant le résultat.
     • properties :
       • attempts :
       • Attempts : nombre de tentatives de connexion.
         • username : compte qui s'est connecté.
         • vmName : nom de la machine virtuelle.
         • authResult : résultat de l'authentification SSH.

Étape 2 : Vérifier les autorisations et les paramètres

1. Dans la console Google Cloud , accédez à Tableau de bord.

   Accéder au tableau de bord

2. Sélectionnez le projet spécifié dans projectId.

3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

4. Cliquez sur l'instance de VM qui correspond au nom et à la zone dans vmName. Examinez les détails de l'instance, y compris les paramètres réseau et d'accès.

5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives sur le port 22.

Étape 3 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux en cliquant sur le lien URI Cloud Logging.
2. Sur la page qui s'affiche, recherchez les journaux de flux VPC associés à l'adresse IP indiquée sur la ligne Adresse e-mail du compte principal de l'onglet Résumé des détails du résultat à l'aide du filtre suivant :
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Étape 4 : Étudiez les méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides : comptes locaux.
2. Consultez les résultats associés en cliquant sur le lien Résultats associés indiqué dans la ligne Résultats associés de l'onglet Résumé des détails du résultat. Les résultats associés sont du même type, sur la même instance et sur le même réseau.
3. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 5 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

• Contactez le propriétaire du projet associé à la tentative de force brute réussie.
• Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés. Pour faciliter la détection et la suppression, utilisez une solution de détection et de réponse sur les points de terminaison.
• Envisagez de désactiver l'accès SSH à la VM. Pour en savoir plus sur la désactivation des clés SSH, consultez la section Restreindre des clés SSH sur des VM. Cette étape peut interrompre l'accès autorisé à la VM. Par conséquent, pensez aux besoins de votre organisation avant de l'appliquer.
• N'utilisez l'authentification SSH qu'avec des clés autorisées.

• Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou à l'aide de Cloud Armor. Selon le volume de données concerné, les coûts associés à Cloud Armor peuvent être importants. Pour en savoir plus, consultez le guide des tarifs de Cloud Armor.

  Pour activer Cloud Armor dans la console Google Cloud , accédez à la page Services intégrés.

  Accéder à la page "Services intégrés"

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.