Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menanggapi temuan ancaman Compute Engine

Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di resource Compute Engine Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan tersebut, menilai informasi yang Anda kumpulkan, dan memutuskan cara meresponsnya.

Sebelum memulai

Tinjau temuan. Catat instance Compute Engine yang terpengaruh dan email utama yang terdeteksi serta alamat IP pemanggil (jika ada). Tinjau juga temuan untuk mengetahui indikator kompromi (IP, domain, hash file, atau tanda tangan).
Untuk mempelajari lebih lanjut temuan yang sedang Anda selidiki, telusuri temuan tersebut di indeks Temuan ancaman.

Rekomendasi umum

Hubungi pemilik resource yang terpengaruh.
Selidiki instance yang berpotensi disusupi dan hapus semua malware yang ditemukan.
Jika perlu, hentikan instance yang terkompromi dan ganti dengan instance baru.
Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk yang terpengaruh. Untuk mengetahui informasi selengkapnya, lihat Opsi perlindungan data dalam dokumentasi Compute Engine.
Jika perlu, hapus instance VM.
Jika temuan mencakup email utama dan IP pemanggil, tinjau log audit lainnya yang terkait dengan alamat IP atau email utama tersebut untuk mengetahui apakah ada aktivitas yang tidak biasa. Jika perlu, nonaktifkan atau kurangi hak istimewa akun terkait jika akun tersebut telah disusupi.
Untuk penyelidikan lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Selain itu, pertimbangkan rekomendasi di bagian selanjutnya di halaman ini.

Ancaman SSH

Pertimbangkan untuk menonaktifkan akses SSH ke VM. Untuk mengetahui informasi tentang menonaktifkan kunci SSH, lihat Membatasi kunci SSH dari VM. Tindakan ini dapat mengganggu akses yang sah ke VM, jadi pertimbangkan kebutuhan organisasi Anda sebelum melanjutkan.
Hanya gunakan autentikasi SSH dengan kunci yang sah.
Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Pertimbangkan untuk mengaktifkan Cloud Armor sebagai layanan terintegrasi. Bergantung pada volume data, biaya Cloud Armor bisa signifikan. Untuk mengetahui informasi selengkapnya, lihat Harga Cloud Armor.

Perpindahan lateral di instance Compute Engine

Pertimbangkan untuk menggunakan Boot Aman untuk instance VM Compute Engine Anda.
Pertimbangkan untuk menghapus akun layanan yang berpotensi disusupi, serta mengganti dan menghapus semua kunci akses akun layanan untuk project yang berpotensi disusupi. Setelah penghapusan, aplikasi yang menggunakan akun layanan untuk autentikasi akan kehilangan akses. Sebelum melanjutkan, tim keamanan Anda harus mengidentifikasi semua aplikasi yang terpengaruh dan bekerja sama dengan pemilik aplikasi untuk memastikan kelangsungan bisnis.
Bekerjasamalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Compute Engine, snapshot, akun layanan, dan pengguna IAM. Menghapus resource yang tidak dibuat dengan akun yang sah.
Merespons notifikasi apa pun dari Cloud Customer Care.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.