Ce document fournit des conseils informels sur la façon de réagir aux activités suspectes détectées sur votre réseau. Les procédures recommandées peuvent ne pas convenir pour tous les résultats et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous avez recueillies et décider de votre plan d'action.
L'efficacité des techniques décrites dans ce document contre les menaces passées, actuelles ou futures n'est pas garantie. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour l'éradication des menaces, consultez Corriger les menaces.
Avant de commencer
Examinez le résultat. Notez la ressource concernée et les connexions réseau détectées. Si elles sont disponibles, examinez les indicateurs de compromission dans le résultat avec les renseignements sur les menaces de VirusTotal.
Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des menaces constatées.
Recommandations générales
- Contactez le propriétaire de la ressource concernée.
- Examinez la ressource de calcul potentiellement compromise et supprimez tous les logiciels malveillants détectés.
- Si nécessaire, arrêtez la ressource de calcul compromise.
- Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants concernés. Pour en savoir plus, consultez Options de protection des données dans la documentation Compute Engine.
- Si nécessaire, supprimez la ressource de calcul concernée.
- Pour approfondir l'enquête, envisagez d'utiliser des services de réponse aux incidents tels que Mandiant.
Tenez également compte des recommandations des sections suivantes de cette page.
Logiciels malveillants
- Pour suivre l'activité et les failles ayant permis l'insertion de logiciels malveillants, consultez les journaux d'audit et les journaux syslog associés à la ressource de calcul compromise.
- Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou à l'aide de Cloud Armor. Envisagez d'activer Cloud Armor en tant que service intégré. Selon le volume de données concerné, les coûts associés à Cloud Armor peuvent être importants. Pour en savoir plus, consultez les tarifs de Cloud Armor.
- Pour contrôler l'accès aux images et leur utilisation, utilisez la VM protégée et configurez des règlements relatifs aux images de confiance.
Menaces liées au minage de cryptomonnaies
Si vous considérez que l'application est une application de minage et que son processus est toujours en cours d'exécution, arrêtez-le. Recherchez le fichier binaire exécutable de l'application dans le stockage de la ressource de calcul, puis supprimez-le.
Étapes suivantes
- Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
- Consultez l'index des résultats de détection de menace.
- Découvrez comment examiner un résultat dans la console Google Cloud .
- Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.