Este documento oferece orientações informais sobre como pode responder às conclusões de atividades suspeitas nos seus recursos do Cloud Run. Os passos recomendados podem não ser adequados para todas as conclusões e podem afetar as suas operações. Antes de tomar qualquer medida, deve investigar as conclusões, avaliar as informações que recolhe e decidir como responder.
Não é garantido que as técnicas neste documento sejam eficazes contra ameaças anteriores, atuais ou futuras que enfrenta. Para compreender por que motivo o Security Command Center não fornece orientações de remediação oficiais para ameaças, consulte o artigo Remediar ameaças.
Antes de começar
- Reveja a conclusão. Tome nota do contentor afetado e dos ficheiros binários, processos ou bibliotecas detetados.
- Para saber mais acerca da descoberta que está a investigar, pesquise a descoberta no índice de descobertas de ameaças.
Recomendações gerais
- Contacte o proprietário do recurso afetado.
- Veja os registos do serviço ou da tarefa do Cloud Run potencialmente comprometidos.
- Para análise forense, recolha e faça uma cópia de segurança dos registos do serviço ou da tarefa afetada.
- Para uma investigação mais detalhada, considere usar serviços de resposta a incidentes, como o Mandiant.
- Considere eliminar o serviço do Cloud Run ou a revisão do serviço afetados:
- Para eliminar o serviço, consulte o artigo Elimine serviços existentes.
- Para eliminar a revisão do serviço, reverta para uma revisão anterior ou implemente uma revisão nova e mais segura. Em seguida, elimine a revisão afetada.
- Considere eliminar a tarefa do Cloud Run afetada.
Script malicioso ou código Python executado
Se o script ou o código Python estiver a fazer alterações pretendidas ao contentor, implemente uma revisão no serviço que tenha todas as alterações pretendidas. Não confie num script para fazer alterações depois de o contentor ser implementado.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.