Best Practices für die Erkennung von Kryptomining

Auf dieser Seite werden Best Practices zur Erkennung Cryptomining-Angriffe (Cryptomining) auf Compute Engine virtuell Maschinen (VMs) in Ihrer Google Cloud-Umgebung.

Diese Best Practices dienen auch als Teilnahmevoraussetzungen Google Cloud Cryptomining-Schutzprogramm Weitere Informationen zum Programm Weitere Informationen finden Sie in der Übersicht zum Cryptomining-Schutzprogramm von Security Command Center.

Premium- oder Enterprise-Stufe von Security Command Center für Ihre Organisation aktivieren

Die Aktivierung der Premium- oder Enterprise-Stufe von Security Command Center ist ein grundlegendes Element der Erkennung von Cryptomining-Angriffen auf Google Cloud

In der Premium- und der Enterprise-Stufe werden zwei Dienste zur Bedrohungserkennung angeboten, wichtig für die Erkennung von Cryptomining-Angriffen: Event Threat Detection und VM Threat Detection.

Da Cryptomining-Angriffe auf jede VM in jedem Projekt innerhalb Ihres Organisation, Aktivierung von Security Command Center Premium oder Enterprise für Ihr gesamtes Organisation mit aktivierter Event Threat Detection und VM Threat Detection ist sowohl eine Best Practice als auch eine Voraussetzung für das Security Command Center. Cryptomining-Schutzprogramm

Weitere Informationen finden Sie unter Security Command Center aktivieren – Übersicht.

Dienste für die Bedrohungserkennung in allen Projekten aktivieren

Dienste Event Threat Detection und VM Threat Detection aktivieren Security Command Center für alle Projekte in Ihrer Organisation.

Event Threat Detection und VM Threat Detection erkennen gemeinsam Ereignisse, die zu einem Cryptomining-Angriff führen können (stage-0-Ereignisse) und Ereignisse die darauf hinweisen, dass ein Angriff ausgeführt wird (Ereignisse der Phase 1). Die spezifischen Ereignisse Erkennungsdienste werden in den folgenden Abschnitten beschrieben.

Hier finden Sie weitere Informationen:

• Übersicht über Event Threat Detection
• Übersicht über VM Threat Detection

Erkennung von Phase-0-Ereignissen aktivieren

Phase-0-Ereignisse sind Ereignisse in Ihrer Umgebung, die häufig vor oder der erste Schritt gängiger Cryptomining-Angriffe.

Event Threat Detection, ein mit Security Command Center verfügbarer Erkennungsdienst Premium- oder Enterprise-Versionen erhalten eine Benachrichtigung, wenn Phase-0-Ereignisse.

Wenn Sie diese Probleme schnell erkennen und beheben können, viele Cryptomining-Angriffe, bevor Ihnen erhebliche Kosten entstehen.

Event Threat Detection verwendet die folgenden Ergebniskategorien, um Sie zu benachrichtigen zu diesen Terminen:

• Account_Has_Leaked_Credentials: Ein Ergebnis in dieser Kategorie gibt an, dass ein Dienstkontoschlüssel auf GitHub geleakt wurde. Es ist üblich, Anmeldedaten für Dienstkonten Vorläufer von Cryptomining-Angriffen.
• Umgehung: Zugriff durch Anonymisierungsproxy: Ein Ergebnis in dieser Kategorie weist darauf hin, dass eine Änderung eines Der Google Cloud-Dienst stammt von einem anonymen Proxy, z. B. einem Zum Verlassen des Knotens.
• Anfänglicher Zugriff: Aktion für inaktive Dienstkontoaktion: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein inaktives Dienstkonto in Ihrer Umgebung Maßnahmen ergriffen haben. Security Command Center verwendet Policy Intelligence zur Erkennung inaktiver Konten

Ereigniserkennung für Phase 1 aktivieren

Stage-1-Ereignisse sind Ereignisse, die darauf hinweisen, dass eine Cryptomining-Anwendung das Programm in Ihrer Google Cloud-Umgebung ausgeführt wird.

Security Command Center-Problem bei Event Threat Detection und VM Threat Detection erhalten, damit Sie benachrichtigt werden, wenn bestimmte Ereignisse der Phase 1 erkannt werden.

Untersuchen und beheben Sie diese Ergebnisse sofort, um zu vermeiden, erheblichen Kosten, die mit dem Ressourcenverbrauch Kryptomining-Anwendungen.

Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass ein wird die Cryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud-Umgebung:

• Ausführung: YARA-Regel für Kryptomining: Die Ergebnisse in dieser Kategorie deuten darauf hin, dass VM Threat Detection ein z. B. eine Proof-of-Work-Konstante, die von einem Cryptomining-Anwendung.
• Ausführung: Cryptomining-Hash-Übereinstimmung: Ergebnisse in dieser Kategorie deuten darauf hin, dass VM Threat Detection erkannt wurde Speicher-Hash, der von einer Cryptomining-Anwendung verwendet wird.
• Ausführung: Kombinierte Erkennung: Ergebnisse in dieser Kategorie deuten darauf hin, dass VM Threat Detection erkannt wurde ein Speichermuster und einen Arbeitsspeicher-Hash, die von einem Cryptomining .
• Malware: Schlechte IP-Adresse: Ergebnisse in dieser Kategorie deuten darauf hin, dass Event Threat Detection erkannt wurde eine Verbindung zu oder ein Lookup von einer IP-Adresse, die bekanntermaßen verwendet wird durch Cryptomining-Anwendungen.
• Malware: Ungültige Domain: Ergebnisse in dieser Kategorie deuten darauf hin, dass Event Threat Detection erkannt wurde eine Verbindung zu einer Domain, die bekanntermaßen von Kryptomining-Anwendungen.

Cloud DNS-Logging aktivieren

Um Aufrufe von Cryptomining-Anwendungen an bekannte ungültige Domains zu erkennen, Aktivieren Sie Cloud DNS Logging. Event Threat Detection verarbeitet die Cloud DNS protokolliert und gibt Ergebnisse aus, wenn die Auflösung eines Domain, die bekanntermaßen für Cryptomining-Pools verwendet wird.

SIEM- und SOAR-Produkte in Security Command Center einbinden

Binden Sie Security Command Center in Ihre vorhandenen Security Operations-Tools ein, wie SIEM- oder SOAR-Produkte, um Probleme zu erkennen und zu beheben. Security Command Center-Ergebnisse für Ereignisse der Phase 0 und 1, die darauf hinweisen potenzielle oder tatsächliche Cryptomining-Angriffe.

Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss es sich mit der Arbeit mit Security Command Center-Ergebnissen vertraut machen in der Google Cloud Console und wie Sie Ergebnisbenachrichtigungen einrichten und Exporte mithilfe von Pub/Sub oder den Security Command Center APIs Ergebnisse für Kryptomining-Angriffe.

Für die spezifischen Ergebnisse, die Sie in Ihre Sicherheitsvorgänge exportieren müssen Weitere Informationen finden Sie unter Key Threat Detection-Dienste in allen Projekten aktivieren.

Informationen zur Einbindung von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIEM- und SOAR-Integrationen einrichten.

Informationen zum Einrichten von Ergebnisbenachrichtigungen oder -exporten finden Sie unter folgende Informationen:

• E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
• Ergebnisbenachrichtigungen für Pub/Sub aktivieren

Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen

Damit Ihr Unternehmen so schnell wie möglich auf Sicherheitsfragen reagieren kann von Google erhalten möchten, geben Sie an, welche Teams z. B. die IT-Sicherheit oder die Betriebssicherheit, Sicherheitsbenachrichtigungen erhalten. Wenn Sie ein Team angeben, geben Sie E-Mail-Adresse in Wichtige Kontakte.

Um eine zuverlässige Zustellung dieser Benachrichtigungen über einen längeren Zeitraum sicherzustellen, empfehlen Sie Ihren Teams dringend, die Zustellung an eine Mailingliste, oder ein anderer Mechanismus, der die Konsistenz der Bereitstellung und Verteilung an das zuständige Team in Ihrem Unternehmen. Wir empfehlen Ihnen, dürfen die E-Mail-Adressen von Einzelpersonen nicht als wichtige Kontakte angeben. da die Kommunikation unterbrochen werden kann, wenn sich die Personen oder das Unternehmen verlassen.

Prüfen Sie nach dem Einrichten Ihrer wichtigen Kontakte, ob der E-Mail-Posteingang werden kontinuierlich von Ihren Sicherheitsteams überwacht. Kontinuierliches Monitoring ist eine wichtige Best Practice, da Angreifer häufig Kryptomining-Angriffe, bei denen davon auszugehen ist, dass Sie weniger wachsam sind, z. B. an Wochenenden, Feiertagen und nachts.

Sie legen wichtige Kontakte für die Sicherheit fest. die E-Mail-Adresse der wichtigen Kontakte überwachen, eine Best Practice und Anforderung für das Security Command Center Cryptomining-Schutzprogramm

Erforderliche IAM-Berechtigungen beibehalten

Ihre Sicherheitsteams und das Security Command Center selbst benötigen eine Autorisierung um auf Ressourcen in der Google Cloud-Umgebung zuzugreifen. Von dir verwaltet Authentifizierung und Autorisierung mithilfe von Identity and Access Management (IAM).

Als Best Practice und, im Fall von Security Command Center, ist ein grundlegender müssen Sie die IAM-Einstellungen Rollen und Berechtigungen, die erforderlich sind, um Kryptomining zu erkennen und darauf zu reagieren .

Allgemeine Informationen zu IAM in Google Cloud Siehe IAM-Übersicht.

Autorisierungen, die von Ihren Sicherheitsteams benötigt werden

Um Security Command Center-Ergebnisse ansehen und sofort reagieren zu können auf einen Kryptomining-Angriff oder ein anderes Sicherheitsproblem in Google Cloud die Google Cloud-Nutzerkonten Ihrer muss das Sicherheitspersonal vorab autorisiert werden, zu beheben und die auftretenden Probleme zu untersuchen.

In Google Cloud können Sie die Authentifizierung und Autorisierung folgendermaßen verwalten: mithilfe von IAM-Rollen und -Berechtigungen.

Für die Arbeit mit Security Command Center erforderliche Rollen

Informationen zu den IAM-Rollen, die Nutzer benötigen Informationen zur Verwendung von Security Command Center finden Sie unter Zugriffssteuerung mit IAM.

Für die Arbeit mit anderen Google Cloud-Diensten erforderliche Rollen

Zur ordnungsgemäßen Untersuchung eines Kryptomining-Angriffs andere IAM-Rollen wie Compute Engine-Rollen mit denen Sie die betroffene VM-Instanz und den die darauf ausgeführt werden.

Je nachdem, wohin die Untersuchung eines Angriffs führt, andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.

Außerdem benötigen Sie die entsprechenden IAM-Berechtigungen, „Wichtige Kontakte“ aus Sicherheitsgründen verwalten. Weitere Informationen IAM-Rollen, die für die Informationen zum Verwalten von Sicherheitskontakten finden Sie unter Erforderliche Rollen.

Für Security Command Center erforderliche Autorisierungen

Wenn Sie Security Command Center aktivieren, ein Dienstkonto erstellt, das von Security Command Center verwendet wird zur Authentifizierung und Autorisierung bei Scans und Verarbeitung Logs. Bei der Aktivierung bestätigen Sie die Berechtigungen, die dem Dienstkonto zugewiesen sind.

Entfernen oder ändern Sie weder dieses Dienstkonto noch seine Rollen oder Berechtigungen.

Implementierung der Best Practices für die Kryptomining-Erkennung bestätigen

So können Sie sehen, ob Ihre Organisation Erkennung von Cryptomining durch Ausführen eines Skripts, das die Ihrer Organisation an. Das Skript ist auf GitHub verfügbar.

Informationen zum Überprüfen der README und zum Herunterladen des Skripts finden Sie unter Script für die Validierung von Best Practices für die SCC-Cryptomining-Erkennung.