Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas na sua rede. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue as descobertas, avalie as informações coletadas e decida como responder.
Antes de começar
Analise a descoberta. Anote o recurso afetado e as conexões de rede detectadas. Se houver, analise os indicadores de comprometimento na descoberta com inteligência contra ameaças do VirusTotal.
Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.
Recomendações gerais
- Entre em contato com o proprietário do recurso afetado.
- Investigue o recurso de computação possivelmente comprometido e remova qualquer malware descoberto.
- Se necessário, interrompa o recurso de computação comprometido.
- Para análise forense, faça backup das máquinas virtuais e dos discos permanentes afetados. Para mais informações, consulte Opções de proteção de dados na documentação do Compute Engine.
- Se necessário, exclua o recurso de computação afetado.
- Para mais investigações, use serviços de resposta a incidentes, como a Mandiant.
Além disso, considere as recomendações nas seções subsequentes desta página.
Malware
- Para monitorar atividades e vulnerabilidades que permitiram a inserção de malware, verifique os registros de auditoria e os syslogs associados ao recurso de computação comprometido.
- Bloqueie os endereços IP mal-intencionados atualizando regras de firewall ou usando o Cloud Armor. Considere ativar o Cloud Armor como um serviço integrado. Dependendo do volume de dados, os custos do Cloud Armor podem ser significativos. Para mais informações, consulte Preços do Cloud Armor.
- Para controlar o acesso e o uso de imagens, use a VM protegida e configure políticas de imagem confiáveis.
Ameaças de mineração de criptomoedas
Se você determinar que o aplicativo é de mineração e o processo ainda está em execução, encerre o processo. Localize o binário executável do aplicativo no armazenamento do recurso de computação e exclua-o.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.