Força bruta: SSH

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Detecção da força bruta do SSH em um host

O Event Threat Detection é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Brute Force: SSH, conforme direcionado em Como verificar descobertas.

2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:

     • IP do autor da chamada: é o endereço IP que iniciou o ataque.
     • Nome de usuário: a conta que fez login.

   • Recurso afetado

   • Links relacionados, principalmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. Clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • sourceProperties:
     • evidence:
       • sourceLogId: o ID do projeto e o carimbo de data/hora para identificar a entrada de registro
       • projectId: o projeto que contém a descoberta;
     • properties:
       • attempts:
       • Attempts: o número de tentativas de login;
         • username: a conta que fez login;
         • vmName: o nome da instância da máquina virtual
         • authResult: o resultado da autenticação SSH;

Etapa 2: verificar permissões e configurações

1. No console Google Cloud , acesse o Painel.

   Ir para o Painel

2. Selecione o projeto especificado em projectId.

3. Acesse o card Recursos e clique em Compute Engine.

4. Clique na instância de VM que corresponde ao nome e à zona em vmName. Verifique os detalhes da instância, incluindo as configurações de rede e acesso.

5. No painel de navegação, clique em Rede VPC e em Firewall. Remova ou desative regras de firewall excessivamente permissivas na porta 22.

Etapa 3: verificar os registros

1. No console Google Cloud , acesse Análise de registros clicando no link em URI do Cloud Logging.
2. Na página carregada, localize os registros de fluxo de VPC relacionados ao endereço IP listado na linha E-mail principal na guia Resumo da descoberta usando o seguinte filtro:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas locais.
2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta e a mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto pertence com a tentativa de força bruta bem-sucedida.
• Investigue a instância possivelmente comprometida e remova qualquer malware descoberto. Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.
• Considere desativar o acesso SSH à VM. Para saber mais sobre como desativar chaves SSH, consulte Restringir chaves SSH de VMs. Essa etapa pode interromper o acesso autorizado à VM. Portanto, considere as necessidades da organização antes de continuar.
• Use a autenticação SSH apenas com chaves autorizadas.

• Bloqueie os endereços IP maliciosos atualizando as regras de firewall ou usando o Cloud Armor. Dependendo do volume de dados, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.

  Para ativar o Cloud Armor no console do Google Cloud , acesse a página Serviços integrados.

  Acessar serviços integrados

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.