Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas nos seus recursos do Cloud Run. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue as descobertas, avalie as informações coletadas e decida como responder.
Não há garantias de que as técnicas neste documento sejam eficientes contra ameaças anteriores, atuais ou futuras. Para entender por que o Security Command Center não fornece orientações oficiais para a correção de ameaças, consulte Como corrigir ameaças.
Antes de começar
- Analise a descoberta. Observe o contêiner afetado e os binários, processos ou bibliotecas detectados.
- Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.
Recomendações gerais
- Entre em contato com o proprietário do recurso afetado.
- Confira os registros do serviço, job ou pool de trabalhadores do Cloud Run que podem ter sido comprometidos.
- Para análise forense, colete e faça backup dos registros do recurso afetado do Cloud Run.
- Para mais investigações, use serviços de resposta a incidentes, como a Mandiant.
Considere excluir qualquer um dos seguintes recursos afetados do Cloud Run:
- Exclua o serviço afetado.
- Reverta para uma revisão anterior do serviço ou implante uma revisão nova e mais segura e exclua a revisão afetada.
- Exclua o job afetado.
- Exclua o pool de workers afetado.
- Reverta para uma revisão anterior do pool de workers ou implante uma revisão nova e mais segura e exclua a revisão afetada.
Script malicioso ou código Python executado
Se o script ou o código Python estiver fazendo as mudanças pretendidas no contêiner, implante uma revisão no serviço que tem todas as mudanças pretendidas. Não dependa de um script para fazer mudanças depois que o contêiner for implantado.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.