Questa pagina fornisce una panoramica di Virtual Machine Threat Detection.
Panoramica
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, fornisce il rilevamento delle minacce tramite la strumentazione a livello di hypervisor e l'analisi del disco permanente. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.
VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
I risultati di VM Threat Detection sono minacce ad alta gravità che ti consigliamo di risolvere immediatamente. Puoi visualizzare i risultati di VM Threat Detection in Security Command Center.
Per le organizzazioni registrate a Security Command Center Premium, le analisi di VM Threat Detection vengono abilitate automaticamente. Se necessario, puoi disabilitare il servizio e/o abilitarlo a livello di progetto. Per ulteriori informazioni, consulta Abilitare o disabilitare VM Threat Detection.
Come funziona VM Threat Detection
VM Threat Detection è un servizio gestito che analizza i progetti Compute Engine e le istanze di macchine virtuali (VM) abilitati per rilevare applicazioni potenzialmente dannose in esecuzione nelle VM, come software per il mining di criptovalute e rootkit in modalità kernel.
La figura seguente è un'illustrazione semplificata che mostra come il motore di analisi di VM Threat Detection importa i metadati dalla memoria guest VM e scrive i risultati in Security Command Center.
VM Threat Detection è integrato nell'hypervisor di Google Cloud, una piattaforma sicura che crea e gestisce tutte le VM di Compute Engine.
VM Threat Detection esegue periodicamente scansioni dall'hypervisor alla memoria di una VM guest in esecuzione senza mettere in pausa le operazioni del guest. Inoltre, esegue periodicamente la scansione dei cloni dei dischi. Poiché questo servizio opera all'esterno dell'istanza VM guest, non richiede agenti guest o configurazioni speciali del sistema operativo guest ed è resistente alle contromisure utilizzate da malware sofisticati. Nella VM guest non vengono utilizzati cicli di CPU e non è richiesta la connettività di rete. I team di sicurezza non hanno bisogno di aggiornare le firme o gestire il servizio.
Come funziona il rilevamento del mining di criptovaluta
Basato sulle regole di rilevamento delle minacce di Google Cloud, VM Threat Detection analizza le informazioni sul software in esecuzione sulle VM, tra cui un elenco di nomi delle applicazioni, l'utilizzo della CPU per processo, hash delle pagine di memoria, contatori delle prestazioni dell'hardware della CPU e informazioni sul codice della macchina eseguita per determinare se un'applicazione corrisponde alle firme note per il mining di criptovalute. Quando possibile, VM Threat Detection determina quindi il processo in esecuzione associato alle corrispondenze della firma rilevata e include informazioni su questo processo nel risultato.
Come funziona il rilevamento dei rootkit in modalità kernel
VM Threat Detection deduce il tipo di sistema operativo in esecuzione sulla VM e utilizza queste informazioni per determinare il codice del kernel, le regioni di dati di sola lettura e altre strutture di dati del kernel in memoria. VM Threat Detection applica varie tecniche per determinare se queste regioni sono state manomesse, confrontandole con gli hash precalcolati previsti per l'immagine del kernel e verificando l'integrità delle importanti strutture di dati del kernel.
Come funziona il rilevamento del malware
VM Threat Detection esegue cloni a breve durata del disco permanente della VM, senza interrompere i carichi di lavoro, e analizza i cloni dei dischi. Questo servizio analizza i file eseguibili sulla VM per determinare se esistono file che corrispondono a firme di malware noti. Il risultato generato contiene informazioni sul file e sulle firme del malware rilevate.
Frequenza di ricerca
Per l'analisi della memoria, VM Threat Detection analizza ogni istanza VM immediatamente dopo la sua creazione. Inoltre, VM Threat Detection analizza ogni istanza VM ogni 30 minuti.
- Per il rilevamento del mining di criptovaluta, VM Threat Detection genera un rilevamento per processo, per VM, al giorno. Ogni risultato include solo le minacce associate al processo identificato dal risultato. Se VM Threat Detection rileva minacce ma non può associarle a nessun processo, per ogni VM VM Threat Detection raggruppa tutte le minacce non associate in un unico risultato che viene emesso una volta ogni 24 ore. Per qualsiasi minaccia che persiste oltre le 24 ore, VM Threat Detection genera nuovi risultati una volta ogni 24 ore.
- Per il rilevamento dei rootkit in modalità kernel, in anteprima, VM Threat Detection genera un risultato per categoria, per VM, ogni tre giorni.
Per l'analisi disco permanente, che rileva la presenza di malware noto, VM Threat Detection analizza ogni istanza VM almeno una volta al giorno.
Se attivi il livello Premium di Security Command Center, le analisi di VM Threat Detection vengono abilitate automaticamente. Se necessario, puoi disabilitare il servizio e/o abilitarlo a livello di progetto. Per ulteriori informazioni, consulta Abilitare o disabilitare VM Threat Detection.
Risultati
Questa sezione descrive i risultati sulle minacce e sull'osservazione generati da VM Threat Detection.
Risultati della minaccia
VM Threat Detection prevede i seguenti rilevamenti di minacce.
Risultati della minaccia di mining di criptovalute
VM Threat Detection rileva le seguenti categorie di risultati tramite la corrispondenza di hash o le regole YARA.
| Categoria | Modulo | Descrizione |
|---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
Corrisponde agli hash di memoria dei programmi in esecuzione con gli hash di memoria noti del software di mining di criptovalute. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
Corrisponde ai pattern di memoria, come le costanti proof of work, note per essere utilizzate da software di mining di criptovalute. |
Execution: Cryptocurrency Mining Combined Detection
|
|
Identifica una minaccia rilevata da entrambi i moduli CRYPTOMINING_HASH e CRYPTOMINING_YARA.
Per maggiori informazioni, consulta
Rilevamenti combinati.
|
Risultati delle minacce per rootkit in modalità kernel
VM Threat Detection analizza l'integrità del kernel in fase di esecuzione per rilevare le tecniche di evasione comuni utilizzate dal malware.
Il modulo KERNEL_MEMORY_TAMPERING rileva le minacce eseguendo un confronto hash sul codice del kernel e sulla memoria dei dati di sola lettura del kernel di una macchina virtuale.
Il modulo KERNEL_INTEGRITY_TAMPERING rileva le minacce verificando l'integrità delle importanti strutture di dati del kernel.
| Categoria | Modulo | Descrizione |
|---|---|---|
| Manomissione della memoria del kernel | ||
Defense Evasion: Unexpected kernel code modificationAnteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria del codice del kernel. |
Defense Evasion: Unexpected kernel read-only data modificationAnteprima
|
KERNEL_MEMORY_TAMPERING
|
Sono presenti modifiche impreviste della memoria dei dati di sola lettura del kernel. |
| Manomissione dell'integrità del kernel | ||
Defense Evasion: Unexpected ftrace handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
I punti ftrace sono presenti con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
|
Defense Evasion: Unexpected interrupt handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori di interrompi che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kernel modulesAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti pagine di codice del kernel che non si trovano nelle regioni di codice del kernel o del modulo previste. |
Defense Evasion: Unexpected kprobe handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
I punti kprobe sono presenti con callback che puntano a regioni che non rientrano nell'intervallo di codice previsto del kernel o del modulo.
|
Defense Evasion: Unexpected processes in runqueueAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti processi imprevisti nella coda di esecuzione dello scheduler. Questi processi si trovano nella coda di esecuzione, ma non nell'elenco delle attività dei processi. |
Defense Evasion: Unexpected system call handlerAnteprima
|
KERNEL_INTEGRITY_TAMPERING
|
Sono presenti gestori delle chiamate di sistema che non si trovano nelle regioni di codice del kernel o dei moduli previste. |
| rootkit | ||
Defense Evasion: RootkitAnteprima
|
|
È presente una combinazione di indicatori corrispondenti a un rootkit noto in modalità kernel. Per ricevere risultati di questa categoria, assicurati che entrambi i moduli siano abilitati. |
Risultati delle minacce malware
VM Threat Detection rileva le seguenti categorie di risultati analizzando il disco permanente di una VM per rilevare eventuali malware noti.
| Categoria | Modulo | Descrizione |
|---|---|---|
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Corrisponde alle firme usate dal malware noto. |
Risultato dell'osservazione
VM Threat Detection genera il seguente risultato di osservazione:
| Nome categoria | Nome API | Riepilogo | Gravità |
|---|---|---|---|
VMTD disabled
|
VMTD_DISABLED |
Il rilevamento delle minacce VM è disabilitato. Finché non lo enable, questo servizio non può analizzare i progetti Compute Engine e le istanze VM per trovare applicazioni indesiderate.
Questo risultato è impostato su |
Alta |
Limitazioni
VM Threat Detection supporta le istanze VM di Compute Engine, con le seguenti limitazioni:
Supporto limitato per le VM Windows:
Per il rilevamento del mining di criptovalute, VM Threat Detection è incentrato principalmente sui file binari di Linux e ha una copertura limitata di miner di criptovalute in esecuzione su Windows.
Per il rilevamento dei rootkit in modalità kernel, in anteprima, VM Threat Detection supporta solo i sistemi operativi Linux.
Nessun supporto per le VM di Compute Engine che utilizzano Confidential VM. Le istanze Confidential VM utilizzano la crittografia per proteggere i contenuti della memoria mentre si spostano all'interno e all'esterno della CPU. Pertanto, VM Threat Detection non può analizzarle.
Limitazioni della scansione del disco:
I dischi permanenti criptati con chiavi di crittografia fornite dal cliente non sono supportati.
Per questa anteprima, viene analizzato un solo disco per VM. Vengono analizzate solo le partizioni
vfat,ext2eext4.
VM Threat Detection richiede che l'agente di servizio del Centro sicurezza sia in grado di elencare le VM nei progetti e di clonare i dischi in progetti di proprietà di Google. Alcune configurazioni di criteri e sicurezza, come i perimetri dei Controlli di servizio VPC e i vincoli dei criteri dell'organizzazione, possono interferire con queste operazioni. In questo caso, l'analisi di VM Threat Detection potrebbe non funzionare.
VM Threat Detection si basa sulle funzionalità dell'hypervisor di Google Cloud e di Compute Engine. Pertanto, VM Threat Detection non può essere eseguito in ambienti on-premise o in altri ambienti cloud pubblico.
Privacy e sicurezza
VM Threat Detection accede ai cloni dei dischi e alla memoria di una VM in esecuzione per l'analisi. Il servizio analizza solo ciò che è necessario per rilevare le minacce.
I contenuti della memoria della VM e dei cloni dei dischi vengono utilizzati come input nella pipeline di analisi del rischio di VM Threat Detection. I dati vengono criptati in transito ed elaborati da sistemi automatici. Durante l'elaborazione, i dati sono protetti dai sistemi di controllo della sicurezza di Google Cloud.
A scopi di monitoraggio e debug, VM Threat Detection archivia informazioni diagnostiche e statistiche di base sui progetti protetti dal servizio.
VM Threat Detection esegue la scansione dei contenuti della memoria delle VM e dei cloni dei dischi nelle rispettive regioni. Tuttavia, i risultati e i metadati risultanti (come i numeri di progetto e dell'organizzazione) potrebbero essere archiviati al di fuori di queste regioni.
Passaggi successivi
- Scopri come utilizzare VM Threat Detection.
- Scopri come investigare i risultati di VM Threat Detection.