Questa pagina fornisce una panoramica di Virtual Machine Threat Detection.
Panoramica
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovaluta, rootkit in modalità kernel e malware in esecuzione degli ambienti cloud compromessi.
VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
I risultati di VM Threat Detection sono minacce ad alta gravità che ti consigliamo di correggere immediatamente. Puoi visualizzare i risultati di VM Threat Detection in Security Command Center.
Per le organizzazioni registrate a Security Command Center Premium: Le analisi di VM Threat Detection vengono abilitate automaticamente. Se necessario, puoi disattivare il servizio e/o abilitare il servizio a livello di progetto. Per ulteriori informazioni, consulta Abilitare o disabilitare VM Threat Detection.
Come funziona VM Threat Detection
VM Threat Detection è un servizio gestito che analizza i dati di Compute Engine abilitati a progetti e istanze di macchine virtuali (VM) per rilevare le applicazioni potenzialmente dannose in esecuzione in VM, come software di mining di criptovalute e rootkit in modalità kernel.
La figura seguente è un'illustrazione semplificata che mostra come Il motore di analisi di VM Threat Detection importa i metadati da Ospite VM memoria e scrive i risultati Security Command Center.
VM Threat Detection è integrato nell'hypervisor di Google Cloud, un servizio che crea e gestisce tutte le VM di Compute Engine.
VM Threat Detection esegue periodicamente scansioni dall'hypervisor al memoria di una VM guest in esecuzione senza mettere in pausa l'operazione. Inoltre, esegue scansioni periodiche dei cloni di dischi. Poiché questo servizio opera dall'esterno di Compute Engine, non richiede agenti guest o una configurazione speciale sistema operativo guest ed è resistente alle contromisure adottate malware più sofisticato. All'interno della VM guest e della rete non vengono utilizzati cicli della CPU la connettività non è richiesta. I team della sicurezza non devono aggiornare le firme per gestire il servizio.
Come funziona il rilevamento del mining di criptovaluta
Basato sulla tecnologia di Google Cloud di rilevamento delle minacce, VM Threat Detection analizza informazioni sul software in esecuzione sulle VM, tra cui un elenco di nomi, utilizzo della CPU per processo, hash di pagine di memoria, prestazioni hardware della CPU e informazioni sul codice macchina eseguito per determinare se qualsiasi applicazione corrisponde alle firme note di mining delle criptovalute. Se possibile, VM Threat Detection determina il processo in esecuzione associato alle corrispondenze della firma rilevate e include informazioni su questo processo nel risultato.
Come funziona il rilevamento dei rootkit in modalità kernel
VM Threat Detection deduce il tipo di sistema operativo in esecuzione sulla VM utilizza queste informazioni per determinare il codice kernel, le regioni di dati di sola lettura e con altre strutture di dati del kernel in memoria. VM Threat Detection applica tecniche per determinare se tali aree vengono manomesse, confrontandole con gli hash precalcolati previsti per l'immagine kernel e la verifica e l'integrità di importanti strutture di dati del kernel.
Come funziona il rilevamento del malware
VM Threat Detection accetta cloni di breve durata del disco permanente della tua VM, senza interrompere i carichi di lavoro e analizza i cloni di dischi. Questo servizio analizza i file eseguibili sulla VM per determinare se esistono corrispondenze firme del malware. Il risultato generato contiene informazioni sul file e le firme del malware rilevate.
Frequenza di ricerca
Per la scansione della memoria, VM Threat Detection analizza ogni istanza VM subito dopo viene creata un'istanza. Inoltre, VM Threat Detection analizza ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovaluta, VM Threat Detection ne genera uno per processo, VM e giorno. Ogni risultato include solo le minacce associate processo identificato dal risultato. Se VM Threat Detection trova le minacce ma non riesce ad associarle in qualsiasi processo, quindi, per ogni VM, VM Threat Detection raggruppa tutte le minacce non associate in un unico risultato che viene emessa una volta ogni 24 ore. Per le minacce che persistono per più di 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento del rootkit in modalità kernel, in anteprima, VM Threat Detection ne genera uno per categoria e per VM ogni tre giorni.
Per la scansione disco permanente, che rileva la presenza di malware noto, VM Threat Detection esegue la scansione di ogni istanza VM almeno una volta al giorno.
Se attivi il livello Premium di Security Command Center, Le analisi di VM Threat Detection vengono abilitate automaticamente. Se necessario, puoi disattivare il servizio e/o abilitare il servizio a livello di progetto. Per ulteriori informazioni, consulta Abilitare o disabilitare VM Threat Detection.
Risultati
Questa sezione descrive i risultati della minaccia e dell'osservazione che Viene generato VM Threat Detection.
Risultati della minaccia
VM Threat Detection rileva i seguenti tipi di minacce.
Risultati delle minacce di mining di criptovalute
VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.
| Categoria | Modulo | Descrizione |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Abbina gli hash di memoria dei programmi in esecuzione con gli hash di memoria noti di software di mining di criptovalute. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corrisponde ai pattern di memoria, come le costanti della prova del lavoro, che è noto per essere utilizzate da software di mining di criptovalute. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una minaccia rilevata sia dal
CRYPTOMINING_HASH e CRYPTOMINING_YARA moduli.
Per ulteriori informazioni, vedi
Rilevamenti combinati
|
Risultati delle minacce rootkit in modalità kernel
VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di evasione più comuni utilizzate dal malware.
KERNEL_MEMORY_TAMPERING
rileva le minacce facendo un confronto di hash sul
e la memoria dei dati di sola lettura del kernel di una macchina virtuale.
Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce controllando
e l'integrità di importanti strutture di dati del kernel.
| Categoria | Modulo | Descrizione |
|---|---|---|
| Manomissione della memoria del kernel | ||
Defense Evasion: Unexpected kernel code modificationAnteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria del codice kernel. |
Defense Evasion: Unexpected kernel read-only data modificationAnteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel. |
| Manomissione dell'integrità del kernel | ||
Defense Evasion: Unexpected ftrace handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti ftrace punti con callback che puntano a regioni che non si trovano
l'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected interrupt handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di interruzioni che non si trovano nelle regioni previste del kernel o del codice del modulo. |
Defense Evasion: Unexpected kernel modulesAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kprobe handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti kprobe punti con callback che puntano a regioni che non si trovano
l'intervallo di codice del kernel o del modulo previsto.
|
Defense Evasion: Unexpected processes in runqueueAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi sono in esecuzione ma non nell'elenco delle attività del processo. |
Defense Evasion: Unexpected system call handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di chiamate di sistema che non si trovano nelle regioni previste del kernel o del codice del modulo. |
| rootkit | ||
Defense Evasion: RootkitAnteprima
|
|
È presente una combinazione di indicatori che corrispondono a un rootkit in modalità kernel noto. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati. |
Risultati della minaccia di malware
VM Threat Detection rileva le seguenti categorie di risultati analizzando il disco permanente di una VM per il malware noto.
| Categoria | Modulo | Descrizione |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Corrisponde alle firme utilizzate dal malware noto. |
Risultato osservazione
VM Threat Detection genera il seguente risultato di osservazione:
| Nome categoria | Nome API | Riepilogo | Gravità |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
VM Threat Detection è disabilitato. Fino a quando enable questo servizio non può eseguire la scansione dei tuoi progetti e istanze VM per applicazioni indesiderate.
Questo risultato viene impostato su |
Alta |
Limitazioni
VM Threat Detection supporta Compute Engine Istanze VM, con le seguenti limitazioni:
Supporto limitato per le VM Windows:
Per il rilevamento del mining di criptovaluta, VM Threat Detection si concentra principalmente su file binari Linux e ha una copertura limitata di miner di criptovalute che vengono eseguiti su Windows.
Per il rilevamento dei rootkit in modalità kernel, in anteprima, VM Threat Detection supporta solo i sistemi operativi Linux.
Nessun supporto per le VM di Compute Engine che utilizzano Confidential VM. Le istanze Confidential VM usano la crittografia per proteggere i contenuti mentre si spostano all'interno e all'esterno della CPU. Di conseguenza, VM Threat Detection analizzarli.
Limitazioni della scansione dei dischi:
Dischi permanenti criptati con la crittografia fornita dal cliente chiavi (CSEK) o le chiavi di crittografia gestite dal cliente (CMEK) non siano supportati.
Vengono analizzate solo le partizioni
vfat,ext2eext4.
VM Threat Detection richiede il servizio Centro sicurezza di sicurezza per essere in grado di elencare le VM nei progetti e di clonare i dischi in un ambiente in modo programmatico a gestire i progetti. Alcune configurazioni di sicurezza e dei criteri, come Controlli di servizio VPC perimetri e criteri dell'organizzazione vincoli: può interferiscono con tali operazioni. In questo caso, l'analisi di VM Threat Detection potrebbe non funzionare.
VM Threat Detection si basa sulle funzionalità di Google Cloud hypervisor e Compute Engine. Pertanto, VM Threat Detection non può essere eseguito ambienti on-premise o in altri ambienti cloud pubblico.
Privacy e sicurezza
VM Threat Detection accede ai cloni dei dischi e alla memoria di una VM in esecuzione e analisi. Il servizio analizza solo ciò che è necessario per rilevare le minacce.
I contenuti della memoria delle VM e dei cloni dei dischi vengono utilizzati come input nella Pipeline di analisi del rischio di VM Threat Detection. I dati vengono criptati in transito elaborati da sistemi automatici. Durante l'elaborazione, i dati sono protetti da sistemi di controllo della sicurezza di Google Cloud.
Per il monitoraggio e il debug, VM Threat Detection archivia le informazioni diagnostiche e statistiche sui progetti protetti dal servizio.
VM Threat Detection analizza i contenuti della memoria delle VM e i cloni di dischi le rispettive regioni. Tuttavia, i risultati e i metadati risultanti (come progetto e organizzazione numeri) potrebbero essere archiviati al di fuori di quelle regioni.
Passaggi successivi
- Scopri come utilizzare VM Threat Detection.
- Scopri come esaminare i risultati di VM Threat Detection.