GCP Compute Engineでインシデントが起きた時の対応メモ
#準備
ログはbigqueryに送っておくと幸せになれる。標準機能だと一部のログは7日/30日がStackdriver Loggingの保持期間。
インシデントが起きたあとでログをbigqueryに送るのは面倒です・・・
ログをローカルにDLする方法
yumano$ gcloud logging read [フィルタ] --format=json --limit=100000 > output.json
#初動
スナップショットを取る 絶対だぞ!忘れるなよ!!
#調査用隔離VPCを作成
ingress ssh src:アクセス元IPアドレス port:22
egress all deny
ブラウザSSHを利用する場合、接続元はGCPのIPアドレスになるのですよ。
SSH KEYが手元にある場合は普通に自分のIPアドレスを設定すればよいです。
#調査
ログを取得する。一括して抜き取るにはこれが便利
https://github.com/Recruit-CSIRT/LinuxTriage
$ sudo bash rcsirt-linux_triage.sh
ブラウザSSHを利用する場合、オプションからファイルのアップロード/ダウンロードできるので便利。
ダウンロードがうまくできない場合はACLをちゃんと見直そう!
特にフォレンジック対象からファイルを持ってくる時はrootで操作していることが多いので、
chown yumano:yumano evidence.zip とかやっとく必要があり、
#GCPのIPを確認
公開SPFを用いて確認
https://support.google.com/a/answer/60764?hl=ja