Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Deteksi brute force SSH yang berhasil pada host.
Event Threat Detection adalah sumber temuan ini.
Cara merespons
Untuk merespons temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
- Buka temuan
Brute Force: SSH, seperti yang diarahkan dalam Meninjau temuan. Di tab Ringkasan panel detail temuan, tinjau informasi di bagian berikut:
Yang terdeteksi, terutama kolom berikut:
- IP Pemanggil: alamat IP yang meluncurkan serangan.
- Nama pengguna: akun yang login.
Resource yang terpengaruh
Link terkait, terutama kolom berikut:
- URI Cloud Logging: link ke entri Logging.
- Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
- Temuan terkait: link ke temuan terkait.
Klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
sourceProperties:evidence:sourceLogId: project ID dan stempel waktu untuk mengidentifikasi entri logprojectId: project yang berisi temuan
properties:attempts:Attempts: jumlah upaya loginusername: akun yang loginvmName: nama virtual machineauthResult: hasil autentikasi SSH
Langkah 2: Tinjau izin dan setelan
Di Google Cloud konsol, buka Dasbor.
Pilih project yang ditentukan di
projectId.Buka kartu Resource , lalu klik Compute Engine.
Klik instance VM yang cocok dengan nama dan zona di
vmName. Tinjau detail instance, termasuk setelan jaringan dan akses.Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif di port 22.
Langkah 3: Periksa log
- Di Google Cloud konsol, buka Logs Explorer dengan mengklik link di URI Cloud Logging.
- Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan alamat IP
yang tercantum di baris Email utama di tab
Ringkasan detail temuan menggunakan filter berikut:
logName="projects/projectId/logs/syslog"labels."compute.googleapis.com/resource_name"="vmName"
Langkah 4: Metode penelitian serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Akun Valid: Akun Lokal.
- Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait di tab Ringkasan detail temuan. Temuan terkait adalah jenis temuan yang sama dan instance serta jaringan yang sama.
- Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.
Langkah 5: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
- Hubungi pemilik project dengan upaya brute force yang berhasil.
- Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
- Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk mengetahui informasi tentang cara menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Langkah ini dapat mengganggu akses resmi ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
- Hanya gunakan autentikasi SSH dengan kunci resmi.
-
Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Bergantung pada volume data, biaya Cloud Armor dapat signifikan. Lihat panduan harga Cloud Armor untuk mengetahui informasi selengkapnya.
Untuk mengaktifkan Cloud Armor di Google Cloud konsol, buka halaman Layanan Terintegrasi.
Contoh JSON temuan
Berikut adalah contoh JSON temuan.
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "state": "ACTIVE", "category": "Brute Force: SSH", "sourceProperties": { "evidence": [ { "sourceLogId": { "projectId": "PROJECT_ID", "timestamp": { "nanos": 0.0, "seconds": "65" }, "insertId": "INSERT_ID", "resourceContainer": "projects/PROJECT_ID" } } ], "properties": { "projectId": "PROJECT_ID", "zone": "us-west1-a", "instanceId": "INSTANCE_ID", "attempts": [ { "sourceIp": "SOURCE_IP_ADDRESS", "username": "PROJECT_ID", "vmName": "INSTANCE_ID", "authResult": "SUCCESS" }, { "sourceIp": "SOURCE_IP_ADDRESS", "username": "PROJECT_ID", "vmName": "INSTANCE_ID", "authResult": "FAIL" }, { "sourceIp": "SOURCE_IP_ADDRESS", "username": "PROJECT_ID", "vmName": "INSTANCE_ID", "authResult": "FAIL" } ] }, "detectionPriority": "HIGH", "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_ID" }, "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/techniques/T1078/003/" } }, "detectionCategory": { "technique": "brute_force", "indicator": "flow_log", "ruleName": "ssh_brute_force" }, "affectedResources": [ { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" } ] }, "severity": "HIGH", "eventTime": "1970-01-01T00:00:00Z", "createTime": "1970-01-01T00:00:00Z" } }
Langkah berikutnya
- Pelajari cara menggunakan temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui Google Cloud konsol.
- Pelajari tentang layanan yang menghasilkan temuan ancaman.