Auf Cloud Run-Bedrohungsbefunde reagieren

Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf verdächtige Aktivitäten in Ihren Cloud Run-Ressourcen reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die erhobenen Informationen bewerten und entscheiden, wie Sie reagieren möchten.

Die Techniken in diesem Dokument sind nicht zwangsläufig gegen frühere, aktuelle oder zukünftige Bedrohungen wirksam. Unter Bedrohungen beheben erfahren Sie, warum Security Command Center keine offizielle Korrekturmaßnahme für Bedrohungen bietet.

Hinweis

1. Ergebnis überprüfen. Notieren Sie sich den betroffenen Container und die erkannten Binärdateien, Prozesse oder Bibliotheken.
2. Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, sehen Sie im Index der Bedrohungsergebnisse nach.

Allgemeine Empfehlungen

• Wenden Sie sich an den Inhaber der betroffenen Ressource.
• Sehen Sie sich die Logs an für den potenziell kompromittierten Cloud Run-Dienst, ‑Job oder ‑Worker-Pool.
• Erheben und sichern Sie die Logs aus der betroffenen Cloud Run-Ressource für die forensische Analyse.
• Für weitere Untersuchungen können Sie Incident Response-Dienste wie Mandiant verwenden.

• Löschen Sie gegebenenfalls eine der folgenden betroffenen Cloud Run-Ressourcen:

  • Betroffenen Dienst löschen
  • Rollback zu einer vorherigen Dienstversion durchführen oder eine neue, sicherere Version bereitstellen und dann die betroffene Version löschen.
  • Betroffenen Job löschen.
  • Betroffenen Worker-Pool löschen
  • Rollback zu einer vorherigen Worker-Pool-Version durchführen oder eine neue, sicherere Version bereitstellen und dann die betroffene Version löschen.

Schadhaftes Skript oder Python-Code ausgeführt

Wenn das Skript oder der Python-Code beabsichtigte Änderungen am Container vorgenommen hat, stellen Sie eine Version für den Dienst bereit, die alle beabsichtigten Änderungen enthält. Verlassen Sie sich nicht darauf, dass ein Skript Änderungen vornimmt, nachdem der Container bereitgestellt wurde.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren