Rispondere ai risultati delle minacce di Cloud Run

Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nelle risorse Cloud Run. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.

Non è garantito che le tecniche descritte in questo documento siano efficaci contro minacce precedenti, attuali o future che potresti affrontare. Per capire perché Security Command Center non fornisce indicazioni ufficiali per la correzione delle minacce, vedi Correzione delle minacce.

Prima di iniziare

1. Rivedi il risultato. Prendi nota del contenitore interessato e dei file binari, dei processi o delle librerie rilevati.
2. Per scoprire di più sul risultato che stai esaminando, cercalo nell'indice dei risultati delle minacce.

Consigli generali

• Contatta il proprietario della risorsa interessata.
• Visualizza i log del servizio, del job o del pool di worker Cloud Run potenzialmente compromesso.
• Per l'analisi forense, raccogli ed esegui il backup dei log dalla risorsa Cloud Run interessata.
• Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.

• Valuta la possibilità di eliminare una delle seguenti risorse Cloud Run interessate:

  • Elimina il servizio interessato.
  • Esegui il rollback a una revisione precedente del servizio o esegui il deployment di una revisione nuova e più sicura, quindi elimina la revisione interessata.
  • Elimina il job interessato.
  • Elimina il worker pool interessato.
  • Esegui il rollback a una revisione precedente del pool di nodi di lavoro o implementa una revisione nuova e più sicura, quindi elimina la revisione interessata.

Esecuzione di script dannoso o codice Python

Se lo script o il codice Python apportava modifiche previste al contenitore, implementa una revisione al servizio che contiene tutte le modifiche previste. Non fare affidamento su uno script per apportare modifiche dopo il deployment del contenitore.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri i servizi che generano risultati di minacce.