Cette page décrit les bonnes pratiques à suivre des attaques de minage de cryptomonnaie sur des machines virtuelles Compute Engine (VM) dans votre environnement Google Cloud.
Ces bonnes pratiques constituent également les critères d'éligibilité pour Programme de protection contre le minage de cryptomonnaie de Google Cloud. Pour en savoir plus sur le programme, consultez la présentation du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Activer le niveau Premium ou Enterprise de Security Command Center pour votre organisation
L'activation du niveau Premium ou Enterprise de Security Command Center est essentiel pour détecter les attaques de minage de cryptomonnaie Google Cloud.
Dans les niveaux Premium et Entreprise, deux services de détection des menaces essentielles pour détecter les attaques de minage de cryptomonnaie: Event Threat Detection et VM Threat Detection.
Les attaques de minage de cryptomonnaie peuvent se produire sur n'importe quelle VM de n'importe quel projet au sein de votre organisation, ce qui active Security Command Center Premium ou Enterprise pour l'intégralité de votre organisation avec Event Threat Detection et VM Threat Detection activés est à la fois une bonne pratique et une exigence de Security Command Center Programme de protection contre le minage de cryptomonnaie.
Pour en savoir plus, consultez Présentation de l'activation de Security Command Center.
Activer les principaux services de détection des menaces sur tous les projets
Activer les services Event Threat Detection et VM Threat Detection de Security Command Center sur tous les projets de votre organisation.
Ensemble, Event Threat Detection et VM Threat Detection détectent les événements pouvant mener à une attaque de minage de cryptomonnaie (événements de phase 0) et les événements qui indiquent qu'une attaque est en cours (événements de phase 1). Les événements spécifiques que ces services de détection détectent sont décrits dans les sections suivantes.
Pour en savoir plus, consultez les ressources suivantes :
Activer la détection d'événements de l'étape 0
Les événements de l'étape 0 se produisent dans votre environnement, qui précèdent souvent ou sont la première étape des attaques courantes de minage de cryptomonnaie.
Event Threat Detection, un service de détection disponible avec Security Command Center Premium ou Enterprise émet des résultats pour vous alerter en cas de détection pour certains événements de phase 0.
Si vous pouvez détecter et résoudre ces problèmes rapidement, vous pouvez empêcher de nombreuses attaques de minage de cryptomonnaie avant d’engendrer des coûts importants.
Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter à ces événements:
- Account_Has_Leaked_Credentials: Un résultat dans cette catégorie indique qu'une clé de compte de service a été divulguées sur GitHub. L'obtention d'identifiants de compte de service précurseurs des attaques de minage de cryptomonnaie.
- Evasion: Access from Anonymizing Proxy (Evasion : accès à partir d'un proxy d'anonymisation) : Un résultat dans cette catégorie indique qu'une modification Le service Google Cloud provenait d'un proxy anonyme, comme Nœud de sortie Tor.
- Accès initial: action sur un compte de service inactif: Un résultat dans cette catégorie indique qu'un compte de service inactif ont pris des mesures dans votre environnement. Security Command Center utilise Policy Intelligence pour détecter les comptes dormants
Activer la détection des événements de l'étape 1
Les événements de l'étape 1 indiquent qu'une application de minage de cryptomonnaie s'exécute dans votre environnement Google Cloud.
Event Threat Detection et VM Threat Detection présentent tous deux des problèmes liés à Security Command Center pour vous alerter lorsqu'ils détectent certains événements de phase 1.
Examinez ces résultats et corrigez-les immédiatement pour éviter que les coûts importants associés à la consommation des ressources les applications de minage de cryptomonnaie.
Un résultat dans l’une des catégories suivantes indique qu’un de minage de cryptomonnaie s'exécute sur une VM dans l'un des projets votre environnement Google Cloud:
- Exécution: règle de minage de cryptomonnaie YARA: Les résultats de cette catégorie indiquent que VM Threat Detection a détecté de mémoire, telle qu'une constante de preuve de travail, qui est utilisé par de minage de cryptomonnaie.
- Execution: Cryptomining Hash Match (Exécution : Cryptomining Hash Match) : Les résultats de cette catégorie indiquent que VM Threat Detection a été détectée un hachage de mémoire qui est utilisé par une application de minage de cryptomonnaie.
- Exécution: détection combinée: Les résultats de cette catégorie indiquent que VM Threat Detection a été détectée à la fois un schéma de mémoire et un hachage de mémoire utilisés par un minage de cryptomonnaie application.
- Logiciel malveillant: adresse IP incorrecte: Les résultats de cette catégorie indiquent qu'Event Threat Detection a été détecté une connexion à une adresse IP connue pour être utilisée par les applications de minage de cryptomonnaie.
- Logiciel malveillant: domaine incorrect: Les résultats de cette catégorie indiquent qu'Event Threat Detection a été détecté une connexion à un domaine connu pour être utilisé par les applications de minage de cryptomonnaie.
Activer la journalisation Cloud DNS
Pour détecter les appels passés par des applications de minage de cryptomonnaie à des domaines malveillants connus, activer Cloud DNS Logging ; Event Threat Detection traite Cloud DNS consigne les journaux et génère des résultats lorsqu'il détecte la résolution d'un problème connu pour être utilisé pour les pools de minage de cryptomonnaie.
Intégrez vos produits SIEM et SOAR à Security Command Center
Intégrez Security Command Center à vos outils existants d'opérations de sécurité. tels que vos produits SIEM ou SOAR, pour trier les données Résultats de Security Command Center pour les événements de phase 0 et 1 qui indiquent les attaques de minage de cryptomonnaies potentielles ou réelles.
Si votre équipe de sécurité n'utilise pas de produit SIEM ou SOAR, elle doit Familiarisez-vous avec l'utilisation des résultats de Security Command Center. dans la console Google Cloud et comment configurer les notifications de résultats et les exportations à l'aide de Pub/Sub ou des API Security Command Center pour acheminer les résultats pour les attaques de minage de cryptomonnaie.
Pour les résultats spécifiques que vous devez exporter vers vos opérations de sécurité consultez la section Activer les principaux services de détection des menaces sur tous les projets.
Pour en savoir plus sur l'intégration des produits SIEM et SOAR à Security Command Center, consultez la page Configurer des intégrations SIEM et SOAR.
Pour en savoir plus sur la configuration des notifications ou des exportations de résultats, consultez les les informations suivantes:
- Activer les notifications par e-mail et par chat en temps réel
- Activer les notifications de résultats pour Pub/Sub
Désigner vos contacts essentiels pour les notifications de sécurité
Pour que votre entreprise puisse réagir le plus rapidement possible les notifications de Google, spécifier à Google Cloud quelles équipes dans votre entreprise, comme la sécurité informatique ou la sécurité des opérations, doit recevoir des notifications de sécurité. Lorsque vous spécifiez une équipe, vous devez indiquer son votre adresse e-mail dans les contacts essentiels.
Pour garantir une diffusion fiable de ces notifications au fil du temps, nous d'encourager les équipes à configurer l'envoi à une liste de diffusion, un groupe ou tout autre mécanisme qui assure la cohérence de la livraison et de la distribution à l'équipe responsable de votre organisation. Nous vous recommandons Ne pas spécifier les adresses e-mail des individus comme contacts essentiels car la communication peut être interrompue si les personnes changent équipes ou quitter l'entreprise.
Après avoir configuré vos contacts essentiels, assurez-vous que la boîte de réception est surveillée en permanence par vos équipes de sécurité. Surveillance continue est une bonne pratique essentielle, car les attaquants de minage de cryptomonnaie lorsqu'elles attendent de vous que vous soyez moins vigilant, le week-end, les jours fériés et la nuit.
désigner vos contacts essentiels pour la sécurité, puis l'adresse e-mail des contacts essentiels, sont à la fois une bonne pratique et une exigence de Security Command Center Programme de protection contre le minage de cryptomonnaie.
Gérer les autorisations IAM requises
Vos équipes de sécurité et Security Command Center lui-même nécessitent une autorisation pour accéder aux ressources de l'environnement Google Cloud. Vous gérez via Identity and Access Management (IAM).
Il est recommandé et, dans le cas de Security Command Center, vous devez maintenir ou préserver rôles et autorisations nécessaires pour détecter le minage de cryptomonnaie et y répondre contre les attaques.
Pour obtenir des informations générales sur IAM dans Google Cloud, consultez la page Présentation d'IAM.
Autorisations requises par vos équipes de sécurité
Pour pouvoir afficher les résultats de Security Command Center et répondre immédiatement à une attaque de minage de cryptomonnaie ou à un autre problème de sécurité sur Google Cloud, les comptes utilisateur Google Cloud le personnel de sécurité doit être autorisé à l'avance pour répondre, corriger et examiner les problèmes qui pourraient survenir.
Sur Google Cloud, vous pouvez gérer l'authentification et l'autorisation à l'aide de rôles et d'autorisations IAM.
Rôles requis pour utiliser Security Command Center
Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin utiliser Security Command Center, consultez la page Contrôle des accès avec IAM.
Rôles requis pour utiliser d'autres services Google Cloud
Pour enquêter correctement sur une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que Rôles Compute Engine permettant d'afficher et de gérer l'instance de VM concernée et la des applications qui s'y exécutent.
Selon l’endroit où l’investigation d’une attaque mène, vous pourriez avoir besoin d'autres rôles, tels que les rôles de réseau Compute Engine, ou les rôles Cloud Logging.
Vous devez également disposer des autorisations IAM appropriées pour créer gérer vos contacts essentiels pour des raisons de sécurité. Pour plus d'informations sur les rôles IAM requis gérer les contacts de sécurité, consultez la section Rôles requis.
Autorisations requises par Security Command Center
Lorsque vous activez Security Command Center, Google Cloud crée un compte de service utilisé par Security Command Center pour l'authentification et l'autorisation lors des analyses et du traitement journaux. Pendant le processus d'activation, vous confirmez les autorisations sont accordées au compte de service.
Veillez à ne pas supprimer ni modifier ce compte de service, ses rôles ou ses autorisations.
Confirmer la mise en œuvre des bonnes pratiques de détection du minage de cryptomonnaie
Vous pouvez déterminer si votre organisation implémente les meilleurs pour détecter le minage de cryptomonnaie, en exécutant un script qui vérifie les métadonnées de votre organisation. Le script est disponible sur GitHub.
Pour examiner le README et télécharger le script, consultez
Script de validation des bonnes pratiques de détection du minage de cryptomonnaie SCC.