Cette page a été traduite par l'API Cloud Translation.

Présentation de Virtual Machine Threat Detection

Cette page présente Virtual Machine Threat Detection.

Présentation

Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, permet de détecter les menaces grâce à une instrumentation au niveau de l'hyperviseur et à une analyse des disques persistants. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Les résultats de VM Threat Detection sont des menaces sévères que nous vous recommandons de corriger immédiatement. Vous pouvez afficher les résultats de VM Threat Detection dans Security Command Center.

Pour les organisations inscrites à Security Command Center Premium, les analyses de VM Threat Detection sont automatiquement activées. Si nécessaire, vous pouvez désactiver le service et/ou l'activer au niveau du projet. Pour en savoir plus, consultez l'article Activer ou désactiver VM Threat Detection.

Fonctionnement de VM Threat Detection

VM Threat Detection est un service géré qui analyse les projets Compute Engine et les instances de machines virtuelles (VM) activés pour détecter les applications potentiellement malveillantes exécutées sur les VM, telles que les logiciels de minage de cryptomonnaie et les rootkits en mode noyau.

La figure suivante est une illustration simplifiée de la manière dont le moteur d'analyse de VM Threat Detection ingère des métadonnées à partir de la mémoire de la VM invitée et écrit les résultats dans Security Command Center.

Chemin d'accès simplifié aux données de Virtual Machine Threat Detection

VM Threat Detection est intégré à l'hyperviseur de Google Cloud, une plate-forme sécurisée qui crée et gère toutes les VM Compute Engine.

VM Threat Detection effectue régulièrement des analyses à partir de l'hyperviseur dans la mémoire d'une VM invitée en cours d'exécution, sans suspendre les opérations de l'invité. Il analyse également régulièrement les clones de disque. Comme ce service fonctionne en dehors de l'instance de VM invitée, il ne nécessite pas d'agent invité ni de configuration spéciale du système d'exploitation invité. De plus, il résiste aux contre-mesures utilisées par les logiciels malveillants sophistiqués. Aucun cycle de processeur n'est utilisé dans la VM invitée, et la connectivité réseau n'est pas requise. Les équipes de sécurité n'ont pas besoin de mettre à jour les signatures ni de gérer le service.

Fonctionnement de la détection du minage de cryptomonnaie

Basé sur les règles de détection des menaces de Google Cloud, VM Threat Detection analyse des informations sur les logiciels exécutés sur les VM, y compris une liste de noms d'applications, l'utilisation du processeur par processus, les hachages de pages de mémoire, les compteurs de performances matérielles du processeur et des informations sur le code machine exécuté pour déterminer si une application correspond à des signatures de minage de cryptomonnaies connues. Dans la mesure du possible, VM Threat Detection détermine le processus en cours associé aux correspondances de signature détectées et inclut des informations sur ce processus dans le résultat.

Fonctionnement de la détection de rootkit en mode noyau

VM Threat Detection déduit le type de système d'exploitation exécuté sur la VM et utilise ces informations pour déterminer le code du noyau, les régions de données en lecture seule et d'autres structures de données du noyau en mémoire. VM Threat Detection applique diverses techniques pour déterminer si ces régions ont été altérées, en les comparant aux hachages précalculés attendus pour l'image du noyau et en vérifiant l'intégrité des structures de données importantes du noyau.

Fonctionnement de la détection des logiciels malveillants

VM Threat Detection extrait des clones de courte durée du disque persistant de votre VM, sans perturber vos charges de travail, et analyse les clones de disque. Ce service analyse les fichiers exécutables de la VM pour déterminer si certains fichiers correspondent à des signatures de logiciel malveillant connues. Le résultat généré contient des informations sur le fichier et les signatures de logiciels malveillants détectées.

Fréquence de recherche

Pour l'analyse de la mémoire, VM Threat Detection analyse chaque instance de VM immédiatement après sa création. De plus, VM Threat Detection analyse chaque instance de VM toutes les 30 minutes.

Pour la détection du minage de cryptomonnaie, VM Threat Detection génère un résultat par processus, par VM et par jour. Chaque résultat n'inclut que les menaces associées au processus identifié par le résultat. Si VM Threat Detection détecte les menaces, mais ne peut les associer à aucun processus, il regroupe pour chaque VM toutes kes menaces non associées dans un seul résultat qu'il émet une fois toutes les 24 heures. Pour les menaces qui durent plus de 24 heures, VM Threat Detection génère les nouveaux résultats toutes les 24 heures.
Pour la détection des rootkits en mode noyau, qui est en version preview, VM Threat Detection génère un résultat par catégorie et par VM tous les trois jours.

Pour l'analyse des disques persistants, qui détecte la présence de logiciels malveillants connus, VM Threat Detection analyse chaque instance de VM au moins une fois par jour.

Si vous activez le niveau Premium de Security Command Center, les analyses de VM Threat Detection sont automatiquement activées. Si nécessaire, vous pouvez désactiver le service et/ou l'activer au niveau du projet. Pour en savoir plus, consultez l'article Activer ou désactiver VM Threat Detection.

Résultats

Cette section décrit les résultats des menaces et des observations générées par VM Threat Detection.

Menaces constatées

VM Threat Detection propose les détections de menaces suivantes.

Résultats des menaces liées au minage de cryptomonnaie

VM Threat Detection détecte les catégories de résultats suivantes à l'aide de la correspondance de hachage ou de règles YARA.

Résultats des menaces de minage de cryptomonnaie de VM Threat Detection
Catégorie	Module	Description
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifie une menace détectée à la fois par les modules `CRYPTOMINING_HASH` et `CRYPTOMINING_YARA`. Pour en savoir plus, consultez la section Détections combinées.

Détection des menaces de rootkit en mode noyau

VM Threat Detection analyse l'intégrité du noyau lors de l'exécution afin de détecter les techniques d'évasion courantes utilisées par les logiciels malveillants.

Le module KERNEL_MEMORY_TAMPERING détecte les menaces en effectuant une comparaison de hachage sur le code du noyau et sur la mémoire de données en lecture seule du noyau d'une machine virtuelle.

Le module KERNEL_INTEGRITY_TAMPERING détecte les menaces en vérifiant l'intégrité des structures de données importantes du noyau.

Résultats des menaces du rootkit en mode noyau de VM Threat Detection
Catégorie	Module	Description
Altération de la mémoire du noyau
`Defense Evasion: Unexpected kernel code modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire du code du noyau sont présentes.
`Defense Evasion: Unexpected kernel read-only data modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Altération de l'intégrité du noyau
`Defense Evasion: Unexpected ftrace handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Les points `ftrace` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected interrupt handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des gestionnaires d'interruption qui ne se trouvent pas dans les régions de code de module ou de noyau attendues sont présents.
`Defense Evasion: Unexpected kernel modules`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des pages de code du noyau qui ne se trouvent pas dans les régions de code de module ou de noyau attendues existent.
`Defense Evasion: Unexpected kprobe handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Les points `kprobe` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected processes in runqueue`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des processus inattendus sont présents dans la file d'attente d'exécution du programmeur. Ces processus se trouvent dans la file d'attente d'exécution, mais pas dans la liste des tâches de processus.
`Defense Evasion: Unexpected system call handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des gestionnaires d'appels système qui ne se trouvent pas dans les régions attendues du code du noyau ou du module sont présents.
rootkit
`Defense Evasion: Rootkit`^Aperçu	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Une combinaison de signaux correspondant à un rootkit connu en mode noyau est présente. Pour recevoir des résultats de cette catégorie, assurez-vous que les deux modules sont activés.

Détection de menaces de logiciels malveillants

VM Threat Detection détecte les catégories de résultats suivantes en analysant le disque persistant d'une VM à la recherche de logiciels malveillants connus.

Détection des menaces de logiciels malveillants de VM Threat Detection
Catégorie	Module	Description
`Malware: Malicious file on disk (YARA)`	`MALWARE_DISK_SCAN_YARA`	Établit une correspondance pour les signatures utilisées par des logiciels malveillants connus.

Résultat des observations

VM Threat Detection génère le résultat d'observation suivant :

Résultat d'observation de VM Threat Detection
Nom de la catégorie	Nom de l'API	Résumé	Gravité
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection est désactivée. Tant que vous n'avez pas enable ce service, il ne peut pas analyser vos projets Compute Engine et vos instances de VM pour rechercher des applications indésirables. Ce résultat est défini sur `INACTIVE` après 30 jours. Après cela, ce résultat n'est plus généré.	Élevée

Limites

VM Threat Detection est compatible avec les instances de VM Compute Engine, avec les limitations suivantes :

Compatibilité limitée avec les VM Windows:
- Pour la détection du minage de cryptomonnaie, VM Threat Detection se concentre principalement sur les binaires Linux et couvre une couverture limitée des mineurs de cryptomonnaies exécutés sous Windows.
- Pour la détection des rootkits en mode noyau, qui est en version preview, VM Threat Detection n'est compatible qu'avec les systèmes d'exploitation Linux.
Aucune compatibilité pour les VM Compute Engine qui utilisent Confidential VM. Les instances Confidential VM utilisent la cryptographie pour protéger le contenu de la mémoire lors des transferts vers et hors du processeur. Ainsi, VM Threat Detection ne peut pas les analyser.
Limites de l'analyse de disque:
- Les disques persistants chiffrés avec des clés de chiffrement fournies par le client (CSEK) ou des clés de chiffrement gérées par le client (CMEK) ne sont pas compatibles.
- Seules les partitions vfat, ext2 et ext4 sont analysées.
VM Threat Detection nécessite que l'agent de service du centre de sécurité soit en mesure de répertorier les VM des projets et de cloner les disques sur des projets appartenant à Google. Certaines configurations de sécurité et de stratégie, telles que les périmètres VPC Service Controls et les contraintes liées aux règles d'administration, peuvent interférer avec ce type d'opérations. Dans ce cas, l'analyse de VM Threat Detection peut ne pas fonctionner.
VM Threat Detection s'appuie sur les fonctionnalités de l'hyperviseur Google Cloud et de Compute Engine. Ainsi, VM Threat Detection ne peut pas s'exécuter dans des environnements sur site ou dans d'autres environnements de cloud public.

Confidentialité et sécurité

VM Threat Detection accède aux clones de disque et à la mémoire d'une VM en cours d'exécution à des fins d'analyse. Le service analyse uniquement ce qui est nécessaire pour détecter les menaces.

Le contenu de la mémoire de la VM et des clones de disque sont utilisés comme entrées dans le pipeline d'analyse des risques de VM Threat Detection. Les données sont chiffrées en transit et traitées par des systèmes automatisés. Pendant leur traitement, les données sont protégées par les systèmes de contrôle de sécurité de Google Cloud.

À des fins de surveillance et de débogage, VM Threat Detection stocke des informations de diagnostic et statistiques de base concernant les projets protégés par le service.

VM Threat Detection analyse le contenu de la mémoire des VM et les clones de disque dans leurs régions respectives. Toutefois, les résultats et les métadonnées obtenus (tels que les numéros de projet et d'organisation) peuvent être stockés en dehors de ces régions.

Étapes suivantes

Découvrez comment utiliser VM Threat Detection.
Découvrez comment examiner les résultats de VM Threat Detection.