תגובה לממצאים של איומים ברשת

במסמך הזה מופיעות הנחיות לא רשמיות לגבי דרכים להגיב לממצאים של פעילויות חשודות ברשת שלכם. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, כדאי לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.

אין ערובה לכך שהטכניקות שמתוארות במסמך הזה יהיו יעילות נגד איומים קודמים, נוכחיים או עתידיים שתיתקלו בהם. כדי להבין למה Security Command Center לא מספק הנחיות רשמיות לטיפול באיומים, אפשר לעיין במאמר בנושא טיפול באיומים.

לפני שמתחילים

  1. בדיקת הממצא. שימו לב למשאב המושפע ולחיבורי הרשת שזוהו. אם יש כאלה, בודקים את סימני הפריצה בממצא באמצעות מודיעין איומי סייבר מ-VirusTotal.

  2. כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.

המלצות כלליות

  • פונים לבעלים של המשאב המושפע.
  • בודקים את משאב המחשוב שנפרץ ומסירים את התוכנה הזדונית שנמצאה.
  • אם צריך, מפסיקים את משאב החישוב שנפרץ.
  • לצורך ניתוח משפטי, מומלץ לגבות את המכונות הווירטואליות ואת הדיסקים של אחסון מתמיד שהושפעו. מידע נוסף מופיע במאמר אפשרויות להגנה על נתונים במאמרי העזרה של Compute Engine.
  • אם צריך, מוחקים את משאב המחשוב המושפע.
  • כדי לבצע חקירה נוספת, אפשר להשתמש בשירותים לתגובה לאירועים כמו Mandiant.

בנוסף, כדאי לעיין בהמלצות שבקטעים הבאים בדף הזה.

תוכנה זדונית

איומים שקשורים לכריית מטבעות וירטואליים

אם קובעים שהאפליקציה היא אפליקציית כרייה והתהליך שלה עדיין פועל, צריך להפסיק את התהליך. מאתרים את הקובץ הבינארי של האפליקציה שניתן להפעלה באחסון של משאב החישוב ומוחקים אותו.

המאמרים הבאים