Esta página foi traduzida pela API Cloud Translation.

Responda às conclusões de ameaças de rede

Este documento oferece orientações informais sobre como pode responder a conclusões de atividades suspeitas na sua rede. Os passos recomendados podem não ser adequados para todas as conclusões e podem afetar as suas operações. Antes de tomar qualquer medida, deve investigar as conclusões, avaliar as informações que recolhe e decidir como responder.

Não é garantido que as técnicas neste documento sejam eficazes contra ameaças anteriores, atuais ou futuras que enfrenta. Para compreender por que motivo o Security Command Center não fornece orientações de remediação oficiais para ameaças, consulte o artigo Remediar ameaças.

Antes de começar

Reveja a conclusão. Tome nota do recurso afetado e das ligações de rede detetadas. Se estiverem presentes, reveja os indicadores de comprometimento na descoberta com informações sobre ameaças do VirusTotal.
Para saber mais acerca da descoberta que está a investigar, pesquise a descoberta no índice de descobertas de ameaças.

Recomendações gerais

Contacte o proprietário do recurso afetado.
Investigue o recurso de computação potencialmente comprometido e remova qualquer software malicioso descoberto.
Se necessário, pare o recurso de computação comprometido.
Para análise forense, pondere fazer uma cópia de segurança das máquinas virtuais afetadas e dos discos persistentes. Para mais informações, consulte as Opções de proteção de dados na documentação do Compute Engine.
Se necessário, elimine o recurso de computação afetado.
Para uma investigação mais aprofundada, considere usar serviços de resposta a incidentes, como o Mandiant.

Além disso, considere as recomendações nas secções seguintes desta página.

Software malicioso

Para acompanhar a atividade e as vulnerabilidades que permitiram a inserção de software malicioso, verifique os registos de auditoria e os registos do sistema associados ao recurso de computação comprometido.
Bloqueie endereços IP maliciosos atualizando as regras da firewall ou usando o Cloud Armor. Considere ativar o Cloud Armor como um serviço integrado. Consoante o volume de dados, os custos do Cloud Armor podem ser significativos. Para mais informações, consulte os preços do Cloud Armor.
Para controlar o acesso e a utilização de imagens, use a VM protegida e configure as políticas de imagens fidedignas.

Ameaças de mineração de criptomoedas

Se determinar que a aplicação é uma aplicação de mineração e o respetivo processo ainda estiver em execução, termine o processo. Localize o ficheiro binário executável da aplicação no armazenamento do recurso de computação e elimine-o.

O que se segue?

Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
Consulte o índice de resultados de ameaças.
Saiba como rever uma descoberta através da Google Cloud consola.
Saiba mais sobre os serviços que geram resultados de ameaças.