Ce document fournit des conseils informels sur la façon de réagir aux activités suspectes détectées dans vos ressources Compute Engine. Les procédures recommandées peuvent ne pas convenir pour tous les résultats et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous avez recueillies et décider de votre plan d'action.
Avant de commencer
- Examinez le résultat. Notez l'instance Compute Engine concernée, l'adresse e-mail du compte principal détecté et l'adresse IP de l'appelant (le cas échéant). Examinez également le résultat pour identifier les indicateurs de compromission (adresse IP, domaine, hachage de fichier ou signature).
- Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des menaces constatées.
Recommandations générales
- Contactez le propriétaire de la ressource concernée.
- Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés.
- Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
- Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants concernés. Pour en savoir plus, consultez Options de protection des données dans la documentation Compute Engine.
- Si nécessaire, supprimez l'instance de VM.
- Si le résultat inclut une adresse e-mail principale et une adresse IP de l'appelant, examinez les autres journaux d'audit associés à ce principal ou à cette adresse IP pour détecter toute activité anormale. Si nécessaire, désactivez ou réduisez les droits du compte associé s'il a été piraté.
- Pour approfondir l'enquête, envisagez d'utiliser des services de réponse aux incidents tels que Mandiant.
Tenez également compte des recommandations des sections suivantes de cette page.
Menaces SSH
- Envisagez de désactiver l'accès SSH à la VM. Pour en savoir plus sur la désactivation des clés SSH, consultez Restreindre des clés SSH sur des VM. Cette action peut interrompre l'accès autorisé à la VM. Par conséquent, pensez aux besoins de votre organisation avant de l'appliquer.
- N'utilisez l'authentification SSH qu'avec des clés autorisées.
- Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou à l'aide de Cloud Armor. Envisagez d'activer Cloud Armor en tant que service intégré. Selon le volume de données concerné, les coûts associés à Cloud Armor peuvent être importants. Pour en savoir plus, consultez les tarifs de Cloud Armor.
Mouvements latéraux dans les instances Compute Engine
Envisagez d'utiliser le démarrage sécurisé pour vos instances de VM Compute Engine.
Envisagez de supprimer le compte de service potentiellement compromis et d'alterner toutes les clés d'accès au compte de service du projet potentiellement compromis afin de les supprimer. Après la suppression, les applications qui utilisent le compte de service pour l'authentification perdront l'accès. Avant de procéder, votre équipe de sécurité doit identifier toutes les applications concernées et contacter leurs propriétaires pour assurer la continuité des opérations.
Avec votre équipe de sécurité, identifiez les ressources inconnues, y compris les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM. Supprimez les ressources qui n'ont pas été créées avec des comptes autorisés.
Répondez aux notifications de Cloud Customer Care.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.