本文提供非正式的指引,說明如何因應 Cloud Run 資源中發現的可疑活動。建議採取的步驟可能不適用於所有發現事項,且可能會影響您的作業。採取任何行動前,請先調查發現事項、評估收集到的資訊,然後決定如何因應。
事前準備
一般建議
- 與受影響資源的擁有者聯絡。
- 查看記錄,瞭解可能遭入侵的 Cloud Run 服務、工作或工作者集區。
- 如要進行鑑識分析,請從受影響的 Cloud Run 資源收集並備份記錄。
- 如要進一步調查,請考慮使用事件應變服務,例如 Mandiant。
請考慮刪除下列任何受影響的 Cloud Run 資源:
- 刪除受影響的服務。
- 復原至先前的服務修訂版本,或部署新的安全修訂版本,然後刪除受影響的修訂版本。
- 刪除受影響的工作。
- 刪除受影響的工作站集區。
- 復原至先前的工作站集區修訂版本,或部署新的安全修訂版本,然後刪除受影響的修訂版本。
執行惡意指令碼或 Python 程式碼
如果指令碼或 Python 程式碼要對容器進行預期變更,請部署修訂版本至服務,其中包含所有預期變更。容器部署後,請勿依賴指令碼進行變更。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。