במאמר הזה מוסבר איך להגיב לממצאים של פעילויות חשודות במשאבי Cloud Run. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, כדאי לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.
אין ערובה לכך שהטכניקות שמתוארות במסמך הזה יהיו יעילות נגד איומים קודמים, נוכחיים או עתידיים שתיתקלו בהם. כדי להבין למה Security Command Center לא מספק הנחיות רשמיות לטיפול באיומים, אפשר לעיין במאמר בנושא טיפול באיומים.
לפני שמתחילים
- בדיקת הממצא. שימו לב לקונטיינר שנפגע ולקבצים הבינאריים, לתהליכים או לספריות שזוהו.
- כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.
המלצות כלליות
- פונים לבעלים של המשאב המושפע.
- צפייה ביומנים של שירות או משימה ב-Cloud Run שאולי נפרצו.
- לצורך ניתוח משפטי, אוספים את היומנים מהשירות או מהמשימה המושפעים ומגבים אותם.
- לצורך חקירה נוספת, מומלץ להשתמש בשירותי תגובה לאירועים כמו Mandiant.
- מומלץ למחוק את שירות Cloud Run או את עדכון השירות שהושפעו מהחשיפה:
- כדי למחוק את השירות, אפשר לעיין במאמר בנושא מחיקת שירותים קיימים.
- כדי למחוק את הגרסה של השירות, חוזרים לגרסה קודמת או פורסים גרסה חדשה ומאובטחת יותר. לאחר מכן, מוחקים את הגרסה המושפעת.
- כדאי למחוק את משימת Cloud Run הרלוונטית.
הופעל סקריפט זדוני או קוד Python
אם הסקריפט או קוד Python ביצעו שינויים מכוונים במאגר התגים, פורסים עדכון לשירות עם כל השינויים המכוונים. אל תסתמכו על סקריפט כדי לבצע שינויים אחרי פריסת הקונטיינר.
המאמרים הבאים
- איך עובדים עם ממצאי איומים ב-Security Command Center
- אפשר לעיין באינדקס של ממצאי איומים.
- איך בודקים ממצא דרך מסוף Google Cloud .
- מידע על השירותים שמפיקים ממצאים לגבי איומים