Virtual Machine Threat Detection の概要

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、Virtual Machine Threat Detection の概要について説明します。

概要

Virtual Machine Threat Detection は、Security Command Center Premium の組み込みサービスで、ハイパーバイザ レベルの計測を使用して脅威を検出します。VM Threat Detection は暗号通貨マイニング ソフトウェアを検出します。暗号通貨マイニング ソフトウェアは、不正使用されたクラウド環境にインストールされる最も一般的なタイプのソフトウェアです。

VM Threat Detection は、Security Command Center Premium の脅威検出スイートの一部であり、Event Threat DetectionContainer Threat Detection の既存の機能を補完するように設計されています。

VM Threat Detection で検出された脅威は重大度の高い脅威であるため、直ちに修正することをおすすめします。VM Threat Detection の検出結果は Security Command Center で確認できます。

VM Threat Detection の仕組み

VM Threat Detection は、有効な Compute Engine プロジェクトと VM インスタンスをスキャンし、VM 内で実行されている不要なアプリケーション(暗号通貨マイニング ソフトウェアなど)を検出するマネージド サービスです。

次の図は、VM Threat Detection の分析エンジンが VM ゲストメモリからメタデータを取り込み、検出結果を Security Command Center に書き込む方法を示す簡略図です。

Virtual Machine Threat Detection の簡素化されたデータパス
Virtual Machine Threat Detection の簡素化されたデータパス

VM Threat Detection は、すべての Compute Engine VM の作成と管理を行う安全なプラットフォームである Google Cloud のハイパーバイザに組み込まれています。

サービスは、ゲストのオペレーションを中断することなく、ハイパーバイザからゲスト VM のライブメモリを定期的にスキャンします。VM Threat Detection は、Google Cloud の脅威検出ルールに基づいて、VM 上で実行されているソフトウェアに関する情報を分析します。アプリケーション名のリスト、プロセスごとの CPU 使用率、メモリページのハッシュ、CPU ハードウェアのパフォーマンス カウンタ、実行されたマシンコードに関する情報などを分析し、アプリケーションが既知の暗号通貨マイニングのシグネチャと一致するかどうか判定します。可能な場合、VM Threat Detection は、検出されたシグネチャに関連する実行中のプロセスを特定し、そのプロセスに関する情報を検出結果に追加します。

VM Threat Detection は、ゲスト VM インスタンスの外部から動作するため、ゲスト エージェントやゲスト OS の特別な構成は必要ありません。また、高度なマルウェアによって使用される手法にも耐性があります。ゲスト VM 内で CPU サイクルは使用されません。ネットワーク接続も必要ありません。セキュリティ チームは、シグネチャの更新やサービスの管理を行う必要はありません。

VM Threat Detection は、Google Cloud のハイパーバイザの機能を利用しています。オンプレミス環境やその他のパブリック クラウド環境では実行できません。

VM Threat Detection は、インスタンスが作成された直後に各 VM インスタンスをスキャンします。また、VM Threat Detection は各 VM インスタンスを 30 分ごとにスキャンします。このサービスにより、各 VM のプロセスごとに、1 日に 1 つの検出結果が生成されます。各検出結果には、検出結果で特定されたプロセスに関連する脅威のみが含まれます。検出した脅威をプロセスに関連付けることができない場合、VM Threat Detection は、VM ごとに関連付けられていないすべての脅威を 1 つの検出結果にグループ化します。この検出結果は 24 時間ごとに発行されます。脅威が 24 時間を超えて存在している場合、VM Threat Detection は 24 時間ごとに 1 回新しい検出結果を生成します。

Security Command Center Premium に登録されている組織では、VM Threat Detection のスキャンが自動的に有効になります。必要であれば、サービスを無効にしたり、プロジェクト レベルで有効にすることができます。詳細については、VM Threat Detection を有効または無効にするをご覧ください。

検出

VM Threat Detection は脅威と観察の検出結果を生成します。

脅威の検出

VM Threat Detection には、次の暗号通貨マイニングの検出機能があります。

VM Threat Detection の脅威の検出
カテゴリ 検出技術 説明
Execution: Cryptocurrency Mining Hash Match ハッシュ マッチング 実行中のプログラムのメモリハッシュを、暗号通貨マイニング ソフトウェアの既知のメモリハッシュと照合します。
Execution: Cryptocurrency Mining YARA Rule YARA ルール 暗号通貨マイニング ソフトウェアによって使用されることが確認されているプルーフオブワーク定数などのメモリパターンと照合します。
Execution: Cryptocurrency Mining Combined Detection ハッシュ マッチング / YARA ルール 24 時間以内に検出された複数の検出結果のカテゴリを結合します。脅威は 1 つの検出結果にまとめられます。詳細については、複合検出をご覧ください。

観察

VM Threat Detection では、次のモニタリング検出結果が生成されます。

VM Threat Detection の検出結果
カテゴリ名 API 名 概要 重大度
VMTD disabled VMTD_DISABLED

組織で VM Threat Detection が無効になっています。有効にするまで、このサービスは Compute Engine プロジェクトと VM インスタンスをスキャンしません。不要なアプリケーションを検出することはできません。

この検出結果は、30 日後に INACTIVE に設定されます。その後、この検出結果が再度生成されることはありません。

サポートされているアセット

VM Threat Detection は Compute Engine VM インスタンスをサポートしますが、次の制限があります。

  • Windows VM の制限付きサポート。VM Threat Detection は主に Linux バイナリを対象としており、Windows で動作する暗号通貨マイナーのサポートは限定的です。
  • Confidential VMs を使用する Compute Engine VM に対するサポートはありません。Confidential VMs インスタンスは、暗号を使用して CPU に入出力されるメモリの内容を保護します。VM Threat Detection はこれらのデータをスキャンできません。

プライバシーとセキュリティ

VM Threat Detection はライブ VM メモリにアクセスして分析を行います。このサービスは、脅威の検出に必要なものだけを分析します。

VM のメモリ内容は、VM Threat Detection のリスク分析パイプラインの入力として使用されます。メモリデータは転送中に暗号化され、自動システムによって処理されます。処理中、データは Google Cloud のセキュリティ管理システムによって保護されます。

VM Threat Detection は、モニタリングとデバッグを目的として、サービスが保護するプロジェクトについて基本的な診断情報と統計情報を保存します。

VM Threat Detection は、それぞれのリージョンにある未加工の VM メモリの内容をスキャンします。ただし、検出結果とメタデータ(プロジェクト番号や組織番号など)がそれらのリージョンの外部に保存される可能性があります。

次のステップ