Répondre aux résultats de détection des menaces Cloud Run

Ce document fournit des conseils informels sur la façon de réagir aux activités suspectes détectées dans vos ressources Cloud Run. Les procédures recommandées peuvent ne pas convenir pour tous les résultats et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous avez recueillies et décider de votre plan d'action.

L'efficacité des techniques décrites dans ce document contre les menaces passées, actuelles ou futures n'est pas garantie. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour l'éradication des menaces, consultez Corriger les menaces.

Avant de commencer

1. Examinez le résultat. Notez le conteneur concerné et les binaires, processus ou bibliothèques détectés.
2. Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des menaces constatées.

Recommandations générales

• Contactez le propriétaire de la ressource concernée.
• Affichez les journaux du service, du job ou du pool de nœuds de calcul Cloud Run potentiellement compromis.
• Pour l'analyse forensique, collectez et sauvegardez les journaux de la ressource Cloud Run concernée.
• Pour approfondir l'enquête, envisagez d'utiliser des services de réponse aux incidents tels que Mandiant.

• Envisagez de supprimer l'une des ressources Cloud Run concernées suivantes :

  • Supprimez le service concerné.
  • Effectuez un rollback vers une révision précédente du service ou déployez une révision plus sécurisée, puis supprimez la révision concernée.
  • Supprimez le job concerné.
  • Supprimez le pool de nœuds de calcul concerné.
  • Effectuez un rollback vers une révision précédente du pool de nœuds de calcul ou déployez une révision plus sécurisée, puis supprimez la révision concernée.

Exécution d'un script ou d'un code Python malveillant

Si le script ou le code Python apportait des modifications prévues au conteneur, déployez une révision du service qui inclut toutes les modifications prévues. Ne comptez pas sur un script pour apporter des modifications après le déploiement du conteneur.

Étape suivante

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.