Visão geral da detecção de ameaças de máquinas virtuais

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, você encontra uma visão geral da detecção de ameaças à máquina virtual.

Visão geral

A Virtual Machine Threat Detection, um serviço integrado do Security Command Center Premium, oferece detecção de ameaças por meio de instrumentação no nível do hipervisor. A VM Threat Detection detecta o software de mineração de criptomoeda, que está entre os tipos mais comuns de software instalado em ambientes de nuvem comprometidos.

A VM Threat Detection faz parte do pacote de detecção de ameaças do Security Command Center Premium e foi projetada para complementar os recursos atuais do Event Threat Detection e do Container Threat Detection.

As descobertas da VM Threat Detection são ameaças de alta gravidade. Recomendamos corrigi-las imediatamente. Você pode ver as descobertas da VM Threat Detection no Security Command Center.

Como funciona a VM Threat Detection

A VM Threat Detection é um serviço gerenciado que verifica projetos ativados do Compute Engine e instâncias de VM para detectar aplicativos indesejados, como software de mineração de criptomoeda, em execução em VMs.

A figura a seguir é uma ilustração simplificada que mostra como o mecanismo de análise do VM Threat Detection processa metadados da memória de convidado da VM e grava as descobertas no Security Command Center.

Caminho de dados simplificado para a VM Threat Detection
Caminho de dados simplificado para a VM Threat Detection

A VM Threat Detection é integrada ao hipervisor do Google Cloud, uma plataforma segura que cria e gerencia todas as VMs do Compute Engine.

O serviço realiza periodicamente verificações do hipervisor na memória ativa da VM convidada sem pausar a operação do convidado. Com base nas regras de detecção de ameaças do Google Cloud, o VM Threat Detection analisa informações sobre software em execução nas VMs, incluindo uma lista de nomes de aplicativos, uso de CPU por processo, hashes de páginas de memória, contadores de desempenho de hardware da CPU e informações sobre código de máquina executado para determinar se o aplicativo corresponde a assinaturas de criptomineração conhecidas. Quando possível, a VM Threat Detection determina o processo de execução associado à correspondência com a assinatura detectada e inclui informações sobre esse processo na descoberta.

Como a VM Threat Detection opera de fora da instância da VM convidada, o serviço não exige agentes convidados ou configuração especial do SO convidado e é resistente a contramedidas usadas por malware sofisticado. Nenhum ciclo de CPU é usado na VM convidada, e a conectividade de rede não é necessária. As equipes de segurança não precisam atualizar assinaturas nem gerenciar o serviço.

A VM Threat Detection depende dos recursos do hipervisor do Google Cloud: Não é possível executá-la em ambientes locais e em outros ambientes de nuvem pública.

A VM Threat Detection verifica cada instância de VM imediatamente após a criação. Além disso, a VM Threat Detection verifica cada instância de VM a cada 30 minutos. Esse serviço gera uma descoberta por processo, por VM e por dia. Cada descoberta inclui apenas as ameaças associadas ao processo identificado pela descoberta. Se o VM Threat Detection encontrar ameaças, mas não conseguir associá-las a nenhum processo, para cada VM, o VM Threat Detection agrupará todas as ameaças não associadas em uma única descoberta que será emitida uma vez para cada uma por cada período de 24 horas. Para quaisquer ameaças que persistem por mais de 24 horas, o VM Threat Detection gera novas descobertas a cada 24 horas.

Para organizações inscritas no Security Command Center Premium, as verificações do VM Threat Detection são ativadas automaticamente. Se necessário, desative o serviço e/ou ative-o no nível do projeto. Para mais informações, consulte Ativar ou desativar a detecção de ameaças da VM.

Descobertas

A VM Threat Detection gera descobertas de ameaças e observação.

Detecção de ameaças

A VM Threat Detection tem as seguintes detecções de mineração de criptomoedas:

Descobertas de ameaças da VM Threat Detection
Categoria Técnica de detecção Descrição
Execution: Cryptocurrency Mining Hash Match Correspondência de hash Corresponde os hashes de memória da execução de programas a hashes de memória conhecidos de software de mineração de criptomoeda.
Execution: Cryptocurrency Mining YARA Rule Regras YARA Corresponde aos padrões de memória, como constantes de prova de trabalho, conhecidas por serem usadas por software de mineração de criptomoeda.
Execution: Cryptocurrency Mining Combined Detection Regras de correspondência de hash/YARA Combina várias categorias de descobertas detectadas em um período de 24 horas. As ameaças são reunidas em uma única descoberta. Para mais informações, consulte Detecções combinadas.

Observação

A VM Threat Detection gera a seguinte descoberta:

Descoberta da observação da VM Threat Detection
Nome da categoria Nome da API Resumo Gravidade
VMTD disabled VMTD_DISABLED

O VM Threat Detection está desativado para sua organização. Até que você o ative, esse serviço não poderá verificar seus projetos do Compute Engine e instâncias de VM em busca de aplicativos indesejados.

Esta descoberta é definida como INACTIVE após 30 dias. Depois disso, essa descoberta não é gerada novamente.

Alto

Recursos compatíveis

A VM Threat Detection é compatível com instâncias de VM do Compute Engine, com as seguintes limitações:

  • Suporte limitado para VMs do Windows. A VM Threat Detection se concentra principalmente em binários do Linux e tem cobertura limitada de mineiros de criptomoedas executados no Windows.
  • Sem suporte para VMs do Compute Engine que usam VM confidencial. As instâncias de VM confidenciais usam criptografia para proteger o conteúdo da memória à medida que ela entra e sai da CPU. Assim, a VM Threat Detection não pode verificá-las.

Privacidade e segurança

A VM Threat Detection acessa memória de VM em tempo real para análise. O serviço analisa apenas o que é necessário para detectar ameaças.

O conteúdo da memória da VM é usado como entradas no pipeline de análise de risco da VM Threat Detection. Os dados da memória são criptografados em trânsito e processados por sistemas automatizados. Durante o processamento, os dados são protegidos pelos sistemas de controle de segurança do Google Cloud.

Para fins de monitoramento e depuração, a VM Threat Detection armazena informações básicas de diagnóstico e estatísticas sobre projetos protegidos pelo serviço.

A VM Threat Detection verifica o conteúdo bruto da memória da VM nas respectivas regiões. No entanto, os resultados e metadados (como números de projeto e de organização) podem ser armazenados fora dessas regiões.

A seguir