本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具在雲端資源中偵測到潛在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱威脅發現項目索引。
總覽
偵測到主機上的 SSH 暴力破解攻擊成功。
Event Threat Detection 是這項發現項目的來源。
回應方式
如要回應這項發現項目,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
- 按照「查看發現項目」一文的說明,開啟
Brute Force: SSH發現項目。 在調查結果詳細資料面板的「摘要」分頁中,查看下列各節的資訊:
偵測到的內容,尤其是下列欄位:
- 呼叫端 IP:發動攻擊的 IP 位址。
- 使用者名稱:登入的帳戶。
受影響的資源
相關連結,尤其是下列欄位:
- Cloud Logging URI:記錄項目連結。
- MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
- 相關發現項目:任何相關發現項目的連結。
按一下「JSON」分頁標籤。
請注意 JSON 中的下列欄位。
sourceProperties:evidence:sourceLogId:專案 ID 和時間戳記,用於識別記錄項目projectId:包含發現項目的專案
properties:attempts:Attempts:嘗試登入次數username:登入的帳戶vmName:虛擬機器的名稱authResult:SSH 驗證結果
步驟 2:檢查權限和設定
前往 Google Cloud 控制台的「資訊主頁」。
選取
projectId中指定的專案。前往「資源」資訊卡,然後點選「Compute Engine」。
按一下與
vmName中名稱和區域相符的 VM 執行個體。查看執行個體詳細資料,包括網路和存取設定。在導覽窗格中,依序點選「虛擬私有雲網路」和「防火牆」。 移除或停用通訊埠 22 上過於寬鬆的防火牆規則。
步驟 3:檢查記錄
- 前往 Google Cloud 控制台的「Logs Explorer」(記錄檔探索工具),方法是點選「Cloud Logging URI」(Cloud Logging URI) 中的連結。
- 在載入的頁面上,使用下列篩選器,找出與「摘要」分頁中「主體電子郵件」列所列 IP 位址相關的虛擬私有雲流量記錄:
logName="projects/projectId/logs/syslog"labels."compute.googleapis.com/resource_name"="vmName"
步驟 4:研究攻擊和應變方法
- 查看這類發現項目的 MITRE ATT&CK 架構項目: 有效帳戶:本機帳戶。
- 在發現項目詳細資料的「摘要」分頁中,按一下「相關發現項目」資料列的「相關發現項目」連結,即可查看相關發現項目。相關發現項目是指相同發現項目類型,以及相同執行個體和網路的發現項目。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
步驟 5:實作回應
下列應變計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方式。
- 與專案擁有者聯絡,告知對方專案遭到暴力破解。
- 調查可能遭入侵的執行個體,並移除發現的任何惡意軟體。如要協助偵測及移除,請使用端點偵測及回應解決方案。
- 考慮停用 VM 的 SSH 存取權。如要瞭解如何停用 SSH 金鑰,請參閱「限制 VM 的 SSH 金鑰」。 這個步驟可能會中斷 VM 的授權存取權,因此請先考量貴機構的需求,再繼續操作。
- 請只使用 授權金鑰進行 SSH 驗證。
-
更新防火牆規則或使用 Cloud Armor,封鎖惡意 IP 位址。視資料量而定,Cloud Armor 費用可能相當高昂。詳情請參閱 Cloud Armor 定價指南。
如要在 Google Cloud 控制台中啟用 Cloud Armor,請前往「Integrated Services」頁面。
發現項目 JSON 範例
以下是發現項目 JSON 的範例。
{ "finding": { "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "state": "ACTIVE", "category": "Brute Force: SSH", "sourceProperties": { "evidence": [ { "sourceLogId": { "projectId": "PROJECT_ID", "timestamp": { "nanos": 0.0, "seconds": "65" }, "insertId": "INSERT_ID", "resourceContainer": "projects/PROJECT_ID" } } ], "properties": { "projectId": "PROJECT_ID", "zone": "us-west1-a", "instanceId": "INSTANCE_ID", "attempts": [ { "sourceIp": "SOURCE_IP_ADDRESS", "username": "PROJECT_ID", "vmName": "INSTANCE_ID", "authResult": "SUCCESS" }, { "sourceIp": "SOURCE_IP_ADDRESS", "username": "PROJECT_ID", "vmName": "INSTANCE_ID", "authResult": "FAIL" }, { "sourceIp": "SOURCE_IP_ADDRESS", "username": "PROJECT_ID", "vmName": "INSTANCE_ID", "authResult": "FAIL" } ] }, "detectionPriority": "HIGH", "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_ID" }, "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/techniques/T1078/003/" } }, "detectionCategory": { "technique": "brute_force", "indicator": "flow_log", "ruleName": "ssh_brute_force" }, "affectedResources": [ { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" } ] }, "severity": "HIGH", "eventTime": "1970-01-01T00:00:00Z", "createTime": "1970-01-01T00:00:00Z" } }
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。