Cette page a été traduite par l'API Cloud Translation.

Présentation de Virtual Machine Threat Detection

Cette page présente Virtual Machine Threat Detection.

Présentation

Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, fournit détection des menaces via une instrumentation au niveau de l'hyperviseur et des disques persistants l'analyse. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode kernel et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Les résultats de VM Threat Detection sont des menaces sévères que nous vous recommandons de corriger immédiatement. Vous pouvez afficher les résultats de VM Threat Detection dans Security Command Center.

Pour les organisations inscrites à Security Command Center Premium, les analyses de VM Threat Detection sont automatiquement activées. Si nécessaire, vous pouvez désactiver le service et/ou l'activer au niveau du projet. Pour en savoir plus, consultez l'article Activer ou désactiver VM Threat Detection.

Fonctionnement de VM Threat Detection

VM Threat Detection est un service géré qui analyse les instances Compute Engine activées des projets et des instances de machines virtuelles (VM) pour détecter les applications potentiellement malveillantes. exécutés sur des VM, comme des logiciels de minage de cryptomonnaies et des rootkits en mode noyau.

La figure suivante est une illustration simplifiée de la manière dont le moteur d'analyse de VM Threat Detection ingère des métadonnées à partir de la mémoire de la VM invitée et écrit les résultats dans Security Command Center.

Chemin d'accès simplifié aux données de Virtual Machine Threat Detection

VM Threat Detection est intégré à l'hyperviseur de Google Cloud, une plate-forme sécurisée qui crée et gère toutes les VM Compute Engine.

VM Threat Detection effectue régulièrement des analyses à partir de l'hyperviseur la mémoire d'une VM invitée en cours d'exécution sans suspendre les opérations de l'invité. Il analyse également régulièrement les clones de disque. Comme ce service fonctionne depuis l'extérieur l'instance de VM invitée, elle ne nécessite pas d'agent invité ni de configuration spéciale le système d'exploitation invité, et il est résistant aux contre-mesures contre les logiciels malveillants sophistiqués. Aucun cycle de processeur n'est utilisé dans la VM invitée, la connectivité n'est pas requise. Les équipes de sécurité n'ont pas besoin de mettre à jour gérer le service.

Fonctionnement de la détection du minage de cryptomonnaie

Basé sur la suite Google Cloud de détection des menaces, VM Threat Detection analyse des informations sur les logiciels exécutés sur des VM, y compris une liste des applications noms, utilisation du processeur par processus, hachages des pages de mémoire, performances matérielles du processeur des compteurs et des informations sur le code machine exécuté pour déterminer n'importe quelle application correspond aux signatures de minage de cryptomonnaies connues. Dans la mesure du possible, VM Threat Detection détermine le processus en cours associé aux correspondances de signature détectées et inclut des informations sur ce processus dans le résultat.

Fonctionnement de la détection de rootkit en mode noyau

VM Threat Detection déduit le type de système d'exploitation exécuté sur la VM. utilise ces informations pour déterminer le code du noyau, les régions de données en lecture seule et d'autres structures de données du noyau en mémoire. La détection des menaces de VM applique diverses techniques pour déterminer si ces régions sont falsifiées, en les comparant à des hachages précalculés attendus pour l'image du noyau et en vérifiant l'intégrité des structures de données de noyau importantes.

Fonctionnement de la détection des logiciels malveillants

La détection des menaces sur les VM crée des clones éphémères du disque persistant de votre VM, sans perturber vos charges de travail, et analyse les clones de disque. Ce service analyse les fichiers exécutables sur la VM pour déterminer si des fichiers correspondent de signatures de logiciels malveillants. Le résultat généré contient des informations sur le fichier et les signatures de logiciels malveillants détectées.

Fréquence d'exploration

Pour l'analyse de la mémoire, VM Threat Detection analyse chaque instance de VM immédiatement après le est créée. De plus, VM Threat Detection analyse chaque instance de VM toutes les 30 minutes.

Pour la détection du minage de cryptomonnaie, VM Threat Detection en génère un résultats par processus, par VM et par jour. Chaque résultat n'inclut que les menaces associées qui est identifié par le résultat. Si VM Threat Detection détecte les menaces, mais ne peut les associer à aucun processus, il regroupe pour chaque VM toutes kes menaces non associées dans un seul résultat qu'il émet une fois toutes les 24 heures. Pour les menaces qui durent plus de 24 heures, VM Threat Detection génère les nouveaux résultats toutes les 24 heures.
Pour la détection des rootkits en mode kernel, qui est en version Preview, VM Threat Detection génère un résultat par catégorie et par VM toutes les trois jours.

Pour l'analyse des disques persistants, qui détecte la présence de logiciels malveillants connus, VM Threat Detection analyse chaque instance de VM au moins une fois par jour.

Si vous activez le niveau Premium de Security Command Center, Les analyses VM Threat Detection sont automatiquement activées. Si nécessaire, vous pouvez désactiver le service et/ou l'activer au niveau du projet. Pour en savoir plus, consultez l'article Activer ou désactiver VM Threat Detection.

Résultats

Cette section décrit les menaces et les observations généré par VM Threat Detection.

Menaces constatées

VM Threat Detection comporte les détections de menaces suivantes.

Résultats des menaces liées au minage de cryptomonnaie

VM Threat Detection détecte les catégories de résultats suivantes à l'aide de la correspondance de hachage ou de règles YARA.

Résultats des menaces de minage de cryptomonnaie de VM Threat Detection
Catégorie	Module	Description
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	Compare les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire connus du logiciel de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	Renvoie les modèles de mémoire, tels que les constantes de démonstration de faisabilité, connues pour être utilisées par les logiciels de minage de cryptomonnaie.
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	Identifie une menace détectée à la fois par les modules `CRYPTOMINING_HASH` et `CRYPTOMINING_YARA`. Pour plus d'informations, voir Détections combinées.

Détection des menaces de rootkit en mode noyau

VM Threat Detection analyse l'intégrité du noyau lors de l'exécution pour détecter les techniques d'évasion courantes utilisés par les logiciels malveillants.

KERNEL_MEMORY_TAMPERING détecte les menaces en effectuant une comparaison du hachage le code du noyau et la mémoire de données en lecture seule du noyau d’une machine virtuelle.

Le module KERNEL_INTEGRITY_TAMPERING détecte les menaces en vérifiant l’intégrité des structures de données du noyau importantes.

Résultats des menaces du rootkit en mode noyau de VM Threat Detection
Catégorie	Module	Description
Altération de la mémoire du noyau
`Defense Evasion: Unexpected kernel code modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire du code du noyau sont présentes.
`Defense Evasion: Unexpected kernel read-only data modification`^Aperçu	`KERNEL_MEMORY_TAMPERING`	Des modifications inattendues de la mémoire de données en lecture seule du noyau sont présentes.
Altération de l'intégrité du noyau
`Defense Evasion: Unexpected ftrace handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Les points `ftrace` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected interrupt handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des gestionnaires d'interruption qui ne se trouvent pas dans les régions de code de module ou de noyau attendues sont présents.
`Defense Evasion: Unexpected kernel modules`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des pages de code kernel qui ne se trouvent pas dans les régions de code kernel ou de module attendues sont présentes.
`Defense Evasion: Unexpected kprobe handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Les points `kprobe` sont présents avec des rappels pointant vers des régions qui ne se trouvent pas dans la plage de code du noyau ou du module attendue.
`Defense Evasion: Unexpected processes in runqueue`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des processus inattendus sont présents dans la file d'attente d'exécution du programmeur. De tels processus sont en cours d'exécution mais pas dans la liste des tâches du processus.
`Defense Evasion: Unexpected system call handler`^Aperçu	`KERNEL_INTEGRITY_TAMPERING`	Des gestionnaires d'appels système qui ne se trouvent pas dans les régions attendues du code du noyau ou du module sont présents.
rootkit
`Defense Evasion: Rootkit`^Aperçu	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	Une combinaison de signaux correspondant à un rootkit connu en mode noyau est présente. Pour recevoir les résultats de cette catégorie, assurez-vous que les deux modules sont activés.

Menaces de logiciels malveillants détectées

VM Threat Detection détecte les catégories de résultats suivantes en analysant le disque persistant d'une VM des logiciels malveillants connus.

Détection des menaces de logiciels malveillants de VM Threat Detection
Catégorie	Module	Description
`Malware: Malicious file on disk (YARA)`	`MALWARE_DISK_SCAN_YARA`	Établit une correspondance pour les signatures utilisées par des logiciels malveillants connus.

Résultat des observations

VM Threat Detection génère le résultat d'observation suivant :

Résultat d'observation de VM Threat Detection
Nom de la catégorie	Nom de l'API	Résumé	Gravité
`VMTD disabled`	`VMTD_DISABLED`	VM Threat Detection est désactivé. Tant que vous n'avez pas activé ce service, il ne peut pas analyser vos projets Compute Engine et vos instances de VM pour rechercher des applications indésirables. Ce résultat est défini sur `INACTIVE` après 30 jours. Après cela, ce résultat n'est plus généré.	Élevée

Limites

VM Threat Detection est compatible avec les instances de VM Compute Engine, avec les limitations suivantes :

Compatibilité limitée pour les VM Windows :
- Pour la détection du minage de cryptomonnaie, VM Threat Detection se concentre principalement sur les binaires Linux et a une couverture limitée des mineurs de cryptomonnaies exécutant sur Windows.
- Pour la détection des rootkits en mode kernel, qui est en version Preview, VM Threat Detection n'est compatible qu'avec les systèmes d'exploitation Linux.
Aucune compatibilité pour les VM Compute Engine qui utilisent Confidential VM. Les instances Confidential VM utilisent la cryptographie pour protéger le contenu de la mémoire lors des transferts vers et hors du processeur. Ainsi, VM Threat Detection ne peut pas les analyser.
Limites de l'analyse de disque:
- Disques persistants chiffrés avec un chiffrement fourni par le client clés (CSEK) ou les clés de chiffrement gérées par le client (CMEK) ne sont pas compatibles.
- Seules les partitions vfat, ext2 et ext4 sont analysées.
VM Threat Detection requiert le service du centre de sécurité d'agent en mesure de répertorier les VM des projets et de cloner les disques sur des appareils appartenant à Google projets. Certaines configurations de règles et de sécurité, telles que VPC Service Controls périmètres et les règles d'administration d'application, qui peuvent interfère avec de telles opérations. Dans ce cas, l'analyse de VM Threat Detection risquent de ne pas fonctionner.
VM Threat Detection s'appuie sur les fonctionnalités du Google Cloud et Compute Engine. Ainsi, VM Threat Detection ne peut pas s'exécuter sur site ou dans d'autres environnements de cloud public.

Confidentialité et sécurité

VM Threat Detection accède aux clones de disque et à la mémoire d'une VM en cours d'exécution pour l'analyse. Le service analyse uniquement ce qui est nécessaire pour détecter les menaces.

Le contenu de la mémoire de la VM et des clones de disque est utilisé comme entrées dans Pipeline d'analyse des risques de VM Threat Detection. Les données sont chiffrées en transit et traités par des systèmes automatisés. Lors du traitement, les données sont protégées par les systèmes de contrôle de sécurité de Google Cloud.

À des fins de surveillance et de débogage, VM Threat Detection stocke des informations de diagnostic et statistiques de base concernant les projets protégés par le service.

VM Threat Detection analyse le contenu de la mémoire des VM et les clones de disque dans leur dans leurs régions respectives. Toutefois, les résultats et les métadonnées obtenus (tels que les numéros de projet et d'organisation) peuvent être stockés en dehors de ces régions.

Étape suivante

Découvrez comment utiliser VM Threat Detection.
Découvrez comment examiner les résultats de VM Threat Detection.