가상 머신 위협 감지 개요

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 Virtual Machine Threat Detection에 대해 간략히 설명합니다.

개요

Security Command Center 프리미엄의 기본 제공 서비스인 Virtual Machine Threat Detection는 하이퍼바이저 수준 계측을 통해 위협 감지를 제공합니다. VM Threat Detection은 손상된 클라우드 환경에 설치된 가장 일반적인 소프트웨어 유형 중 하나인 암호화폐 채굴 소프트웨어를 감지합니다.

VM Threat Detection은 Security Command Center 프리미엄의 위협 감지 제품군의 일부이며 Event Threat DetectionContainer Threat Detection의 기존 기능을 보완하도록 설계되었습니다.

VM Threat Detection 결과는 심각도가 높은 위협이며 즉시 수정하는 것이 좋습니다. Security Command Center에서 VM Threat Detection 발견 항목을 볼 수 있습니다.

VM Threat Detection 작동 방식

VM Threat Detection은 사용 설정된 Compute Engine 프로젝트와 VM 인스턴스를 스캔하여 VM에서 실행되는 암호화폐 채굴 소프트웨어 등의 원치 않는 애플리케이션을 감지하는 관리형 서비스입니다.

다음 그림은 VM Threat Detection 분석 엔진이 VM 게스트 메모리에서 메타데이터를 수집하여 Security Command Center에 항목을 작성하는 방법을 보여주는 간단한 그림입니다.

Virtual Machine Threat Detection의 간소화된 데이터 경로
Virtual Machine Threat Detection의 간소화된 데이터 경로

VM Threat Detection은 모든 Compute Engine VM을 만들고 관리하는 보안 플랫폼인 Google Cloud 하이퍼바이저에 내장되어 있습니다.

이 서비스는 게스트 작업을 일시 중지하지 않고 하이퍼바이저에서 게스트 VM의 라이브 메모리에 대한 스캔을 주기적으로 수행합니다. Google Cloud의 위협 감지 규칙을 기반으로 하는 VM Threat Detection에서는 애플리케이션 이름, 프로세스별 CPU 사용량, 메모리 페이지 해시, CPU 하드웨어 성능 카운터, 애플리케이션이 알려진 암호화폐 채굴 서명과 일치하는지 여부를 결정하는 실행 머신 코드에 대한 정보의 목록을 포함해 VM에서 실행 중인 소프트웨어에 대한 정보를 분석합니다. 가능한 경우 VM Threat Detection에서 감지된 서명 일치와 연결된 실행 중인 프로세스를 파악하고 발견 항목에 해당 프로세스에 대한 정보를 포함합니다.

VM Threat Detection은 게스트 VM 인스턴스 외부에서 작동하므로 이 서비스에는 게스트 에이전트나 게스트 OS의 특수 구성이 필요하지 않으며 정교한 멀웨어에서 사용하는 대응책에 저항할 수 있습니다. 게스트 VM 내부에서 CPU 주기가 사용되지 않으며 네트워크 연결이 필요하지 않습니다. 보안팀에서 서명을 업데이트하거나 서비스를 관리할 필요가 없습니다.

VM Threat Detection은 Google Cloud 하이퍼바이저의 기능에 의존합니다. 온프레미스 환경 및 다른 퍼블릭 클라우드 환경에서는 실행할 수 없습니다.

VM Threat Detection은 인스턴스가 생성된 직후 각 VM 인스턴스를 스캔합니다. 또한 VM Threat Detection은는 30분마다 각 VM 인스턴스를 스캔합니다. 이 서비스는 일별, VM별, 프로세스별로 하나의 발견 항목을 생성합니다. 각 발견 항목에는 발견 항목으로 식별된 프로세스와 관련된 위협만 포함됩니다. VM Threat Detection이 위협을 발견했지만 어떠한 프로세스와도 이를 연결할 수 없는 경우 VM Threat Detection은 각 VM에 대해 연결되지 않은 모든 위협을 24시간마다 한 번씩 하나의 발견 항목으로 그룹화하여 생성합니다. 24시간 이상 지속되는 위협의 경우 VM Threat Detection이 24시간마다 한 번씩 새 발견 항목을 생성합니다.

Security Command Center 프리미엄에 등록된 조직의 경우 VM Threat Detection 스캔이 자동으로 사용 설정됩니다. 필요한 경우 프로젝트 수준에서 서비스를 중지하거나 사용 설정할 수 있습니다. 자세한 내용은 VM Threat Detection 사용 설정 또는 중지를 참조하세요.

발견 항목

VM Threat Detection은 위협 및 관찰 발견 항목을 생성합니다.

위협 감지

VM Threat Detection에는 다음과 같은 암호화폐 채굴 감지가 있습니다.

VM Threat Detection 위협 발견 항목
카테고리 감지 기법 설명
Execution: Cryptocurrency Mining Hash Match 해시 일치 실행 중인 프로그램의 메모리 해시를 암호화폐 채굴 소프트웨어의 알려진 메모리 해시와 일치합니다.
Execution: Cryptocurrency Mining YARA Rule YARA 규칙 암호화폐 채굴 소프트웨어에서 사용하는 것으로 알려진 개념 증명 상수와 같은 메모리 패턴과 일치합니다.
Execution: Cryptocurrency Mining Combined Detection 해시 일치/YARA 규칙 24시간 이내에 감지된 여러 카테고리의 결과를 결합합니다. 위협이 단일 발견 항목으로 집계됩니다. 자세한 내용은 결합 감지를 참조하세요.

관찰

VM Threat Detection은 다음과 같은 관찰 발견 항목을 생성합니다.

VM Threat Detection 관찰 발견 항목
카테고리 이름 API 이름 요약 심각도
VMTD disabled VMTD_DISABLED

조직에서 VM Threat Detection이 사용 중지되었습니다. 서비스를 사용 설정하기 전까지 이 서비스는 Compute Engine 프로젝트와 VM 인스턴스에서 원치 않는 애플리케이션을 검사할 수 없습니다.

이 발견 항목은 30일 후 INACTIVE로 설정됩니다. 이후에는 이 발견 항목이 다시 생성되지 않습니다.

높음

지원되는 애셋

VM Threat Detection은 Compute Engine VM 인스턴스를 지원하며 다음과 같은 제한사항이 있습니다.

  • Windows VM을 제한적으로 지원합니다. VM Threat Detection은 주로 Linux 바이너리에 중점을 두며 Windows에서 실행되는 암호화폐 채굴자에 대한 적용 범위가 제한적입니다.
  • 컨피덴셜 VM을 사용하는 Compute Engine VM은 지원되지 않습니다. 컨피덴셜 VM 인스턴스는 암호화를 사용하여 CPU 안팎으로 이동하는 메모리의 콘텐츠를 보호합니다. 따라서 VM Threat Detection에서 이를 스캔할 수 없습니다.

개인정보 보호 및 보안

VM Threat Detection은 분석을 위해 라이브 VM 메모리에 액세스합니다. 이 서비스는 위협을 감지하는 데 필요한 항목만 분석합니다.

VM 메모리 콘텐츠는 VM Threat Detection의 위험 분석 파이프라인에서 입력으로 사용됩니다. 메모리 데이터는 전송 중에 암호화되고 자동화된 시스템에 의해 처리됩니다. 처리 중에는 데이터가 Google Cloud의 보안 제어 시스템에 의해 보호됩니다.

VM Threat Detection은 모니터링 및 디버깅을 위해 서비스에서 보호하는 프로젝트에 대한 기본 진단 및 통계 정보를 저장합니다.

VM Threat Detection은 각 리전의 원시 VM 메모리 콘텐츠를 스캔합니다. 하지만 결과 발견 항목 및 메타데이터(예: 프로젝트 및 조직 번호)는 이러한 리전 외부에 저장될 수 있습니다.

다음 단계