Merespons temuan ancaman Cloud Run

Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di resource Cloud Run Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan; menilai informasi yang Anda kumpulkan; dan memutuskan cara meresponsnya.

Teknik dalam dokumen ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.

Sebelum memulai

1. Tinjau temuan. Catat penampung yang terpengaruh dan biner, proses, atau pustaka yang terdeteksi.
2. Untuk mempelajari lebih lanjut temuan yang sedang Anda selidiki, telusuri temuan tersebut di indeks Temuan ancaman.

Rekomendasi umum

• Hubungi pemilik resource yang terpengaruh.
• Lihat log untuk layanan, tugas, atau kumpulan pekerja Cloud Run yang berpotensi disusupi.
• Untuk analisis forensik, kumpulkan dan cadangkan log dari resource Cloud Run yang terpengaruh.
• Untuk penyelidikan lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

• Pertimbangkan untuk menghapus salah satu resource Cloud Run yang terpengaruh berikut:

  • Hapus layanan yang terpengaruh.
  • Roll back ke revisi layanan sebelumnya, atau deploy revisi baru yang lebih aman, lalu hapus revisi yang terpengaruh.
  • Hapus tugas yang terpengaruh.
  • Hapus kumpulan pekerja yang terpengaruh.
  • Roll back ke revisi kumpulan pekerja sebelumnya, atau deploy revisi baru yang lebih aman, lalu hapus revisi yang terpengaruh.

Skrip atau kode Python berbahaya dieksekusi

Jika skrip atau kode Python membuat perubahan yang diinginkan pada penampung, deploy revisi ke layanan yang memiliki semua perubahan yang diinginkan. Jangan mengandalkan skrip untuk membuat perubahan setelah penampung di-deploy.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.