Best Practices für die Kryptomining-Erkennung

Auf dieser Seite werden Best Practices zum Erkennen von Kryptowährungs-Mining-Angriffen auf Compute Engine-VMs in Ihrer Google Cloud Umgebung beschrieben.

Diese Best Practices dienen auch als Teilnahmevoraussetzungen für dasGoogle Cloud Cryptomining Protection Program. Weitere Informationen zum Programm finden Sie in der Übersicht über das Programm zum Schutz vor Cryptomining im Security Command Center.

Premium- oder Enterprise-Stufe von Security Command Center für Ihre Organisation aktivieren

Die Aktivierung der Premium- oder Enterprise-Stufe von Security Command Center ist eine Grundvoraussetzung für die Erkennung von Kryptomining-Angriffen aufGoogle Cloud.

Zwei Bedrohungserkennungsdienste der Premium- und Enterprise-Stufen sind entscheidend für die Erkennung von Kryptomining-Angriffen: Event Threat Detection und VM Threat Detection.

Da Kryptomining-Angriffe auf jeder VM in jedem Projekt innerhalb Ihrer Organisation auftreten können, ist die Aktivierung von Security Command Center Premium oder Enterprise für Ihre gesamte Organisation mit aktivierter Event Threat Detection und VM Threat Detection sowohl eine Best Practice als auch eine Anforderung des Security Command Center Cryptomining Protection-Programms.

Weitere Informationen finden Sie unter Security Command Center aktivieren oder Security Command Center Enterprise-Stufe aktivieren.

Dienste zur Erkennung wichtiger Bedrohungen in allen Projekten aktivieren

Aktivieren Sie die Dienste „Event Threat Detection“ und „VM Threat Detection“ von Security Command Center für alle Projekte in Ihrer Organisation.

Zusammen erkennen Event Threat Detection und VM Threat Detection Ereignisse, die zu einem Cryptomining-Angriff führen können (Phase-0-Ereignisse), und Ereignisse, die darauf hinweisen, dass ein Angriff im Gange ist (Phase-1-Ereignisse). Die von diesen Diensten erkannten Ereignisse werden in den folgenden Abschnitten beschrieben.

Hier finden Sie weitere Informationen:

• Event Threat Detection – Übersicht
• VM Threat Detection – Übersicht

Ereigniserkennung der Stufe 0 aktivieren

Phase-0-Ereignisse sind Ereignisse in Ihrer Umgebung, die häufig vor gängigen Kryptomining-Angriffen auftreten oder der erste Schritt bei diesen Angriffen sind.

Event Threat Detection ist ein Erkennungstool, das mit Security Command Center Premium oder Enterprise verfügbar ist. Es generiert Ergebnisse, um Sie zu benachrichtigen, wenn bestimmte Stage-0-Ereignisse erkannt werden.

Wenn Sie diese Probleme schnell erkennen und beheben können, können Sie viele Kryptomining-Angriffe verhindern, bevor Ihnen erhebliche Kosten entstehen.

Event Threat Detection verwendet die folgenden Ergebniskategorien, um Sie auf diese Ereignisse aufmerksam zu machen:

• Account_Has_Leaked_Credentials: Ein Hinweis in dieser Kategorie gibt an, dass ein Dienstkontoschlüssel auf GitHub gehackt wurde. Der Diebstahl von Anmeldedaten für Dienstkonten ist ein häufiger Auslöser für Kryptomining-Angriffe.
• Ausweichen: Zugriff über Anonymisierungs-Proxy: Ein Ergebnis in dieser Kategorie weist darauf hin, dass eine Änderung an einemGoogle Cloud -Dienst von einem anonymen Proxy wie einem Tor-Ausstiegsknoten stammt.
• Anfänglicher Zugriff: Aktion über inaktives Dienstkonto: Ein Ergebnis in dieser Kategorie gibt an, dass ein inaktives Dienstkonto in Ihrer Umgebung eine Aktion ausgeführt hat. In Security Command Center werden inaktive Konten mithilfe von Policy Intelligence erkannt.

Ereigniserkennung der Stufe 1 aktivieren

Phase-1-Ereignisse sind Ereignisse, die darauf hinweisen, dass in Ihrer Google Cloud Umgebung ein Kryptomining-Anwendungsprogramm ausgeführt wird.

Sowohl Event Threat Detection als auch VM Threat Detection generieren Security Command Center-Ergebnisse, um Sie zu benachrichtigen, wenn bestimmte Phase-1-Ereignisse erkannt werden.

Untersuchen und beheben Sie diese Probleme sofort, um erhebliche Kosten zu vermeiden, die mit dem Ressourcenverbrauch von Kryptomining-Anwendungen verbunden sind.

Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass eine Kryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud -Umgebung ausgeführt wird:

• Ausführung: YARA-Regel für Kryptomining: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection ein Speichermuster wie eine Proof-of-Work-Konstante erkannt hat, die von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Hash-Abgleich für Kryptowährungs-Mining: Ergebnisse in dieser Kategorie geben an, dass die VM Threat Detection einen Speicher-Hash erkannt hat, der von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Kombinierte Erkennung: Meldungen in dieser Kategorie geben an, dass VM Threat Detection sowohl ein Speichermuster als auch einen Speicher-Hash erkannt hat, die von einer Kryptomining-Anwendung verwendet werden.
• Malware: Schädliche IP-Adresse: Ergebnisse in dieser Kategorie weisen darauf hin, dass die Ereignisbedrohungserkennung eine Verbindung zu oder eine Suche nach einer IP-Adresse erkannt hat, die bekanntlich von Kryptomining-Anwendungen verwendet wird.
• Malware: Schädliche Domain: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu oder eine Suche nach einer Domain erkannt hat, die bekanntermaßen von Kryptomining-Anwendungen verwendet wird.

Cloud DNS-Logging aktivieren

Wenn Sie Aufrufe von Kryptomining-Anwendungen an bekannte fehlerhafte Domains erkennen möchten, aktivieren Sie Cloud DNS-Logging. Event Threat Detection verarbeitet die Cloud DNS-Logs und generiert Ergebnisse, wenn die Auflösung einer Domain erkannt wird, die bekanntermaßen für Kryptomining-Pools verwendet wird.

SIEM- und SOAR-Produkte in Security Command Center einbinden

Integrieren Sie Security Command Center in Ihre vorhandenen Sicherheitstools, z. B. Ihre SIEM- oder SOAR-Produkte, um die Ergebnisse von Security Command Center für Stufe-0- und Stufe-1-Ereignisse zu priorisieren und darauf zu reagieren, die auf potenzielle oder tatsächliche Krypto-Mining-Angriffe hinweisen.

Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss es sich mit der Arbeit mit Security Command Center-Ergebnissen in der Google Cloud Console vertraut machen und lernen, wie es Benachrichtigungen zu Ergebnissen und Exporte mithilfe von Pub/Sub oder den Security Command Center APIs einrichtet, um Ergebnisse für Kryptomining-Angriffe effektiv weiterzuleiten.

Informationen zu den Ergebnissen, die Sie in Ihre Tools für die Sicherheitsverwaltung exportieren müssen, finden Sie unter Wichtige Dienste zur Erkennung von Bedrohungen für alle Projekte aktivieren.

Informationen zum Einbinden von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIEM- und SOAR-Integrationen einrichten.

Informationen zum Einrichten von Benachrichtigungen zu Funden oder Exporten finden Sie unter den folgenden Links:

• E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
• Ergebnisbenachrichtigungen für Pub/Sub aktivieren

Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen

Damit Ihr Unternehmen so schnell wie möglich auf Sicherheitswarnungen von Google reagieren kann, müssen Sie angeben, Google Cloud welche Teams in Ihrem Unternehmen, z. B. die IT-Sicherheit oder die Betriebssicherheit, Sicherheitswarnungen erhalten sollen. Wenn Sie ein Team angeben, geben Sie dessen E-Mail-Adresse unter Wichtige Kontakte ein.

Um eine zuverlässige Zustellung dieser Benachrichtigungen im Laufe der Zeit zu gewährleisten, empfehlen wir Teams dringend, die Zustellung an eine Mailingliste, Gruppe oder einen anderen Mechanismus zu konfigurieren, der für eine konsistente Zustellung und Verteilung an das zuständige Team in Ihrer Organisation sorgt. Wir empfehlen, die E-Mail-Adressen von Einzelpersonen nicht als wichtige Kontakte anzugeben, da die Kommunikation unterbrochen werden kann, wenn die Personen das Team wechseln oder das Unternehmen verlassen.

Achten Sie nach der Einrichtung der wichtigsten Kontakte darauf, dass der E-Mail-Posteingang von Ihren Sicherheitsteams kontinuierlich überwacht wird. Ein kontinuierliches Monitoring ist eine wichtige Best Practice, da Angreifer häufig Kryptomining-Angriffe starten, wenn sie davon ausgehen, dass Sie weniger wachsam sind, z. B. an Wochenenden, Feiertagen und nachts.

Es ist eine Best Practice und eine Anforderung des Cryptomining-Schutzprogramms von Security Command Center, wichtige Kontakte für die Sicherheit zu benennen und die E-Mail-Adressen dieser Kontakte im Blick zu behalten.

Erforderliche IAM-Berechtigungen verwalten

Ihre Sicherheitsteams und das Security Command Center selbst benötigen eine Autorisierung, um auf Ressourcen in der Google Cloud Umgebung zuzugreifen. Authentifizierung und Autorisierung werden mithilfe der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwaltet.

Als Best Practice und im Fall von Security Command Center als grundlegende Anforderung müssen Sie die IAM-Rollen und ‑Berechtigungen verwalten oder beibehalten, die zum Erkennen und Reagieren auf Cryptomining-Angriffe erforderlich sind.

Allgemeine Informationen zu IAM auf Google Cloudfinden Sie in der IAM-Übersicht.

Autorisierungen, die von Ihren Sicherheitsteams benötigt werden

Damit Sie die Ergebnisse des Security Command Centers sehen und sofort auf einen Krypto-Mining-Angriff oder ein anderes Sicherheitsproblem auf Google Cloudreagieren können, müssen die Google Cloud -Nutzerkonten Ihres Sicherheitspersonals vorab autorisiert werden, um auf mögliche Probleme zu reagieren, diese zu beheben und zu untersuchen.

Auf Google Cloudkönnen Sie die Authentifizierung und Autorisierung mithilfe von IAM-Rollen und -Berechtigungen verwalten.

Erforderliche Rollen für die Arbeit mit Security Command Center

Informationen zu den IAM-Rollen, die Nutzer für die Arbeit mit dem Security Command Center benötigen, finden Sie unter Zugriffssteuerung mit IAM.

Rollen, die für die Arbeit mit anderen Google Cloud Diensten erforderlich sind

Um einen Cryptomining-Angriff richtig untersuchen zu können, benötigen Sie wahrscheinlich andere IAM-Rollen, z. B. Compute Engine-Rollen, mit denen Sie die betroffene VM-Instanz und die darauf ausgeführten Anwendungen ansehen und verwalten können.

Je nachdem, wohin die Untersuchung eines Angriffs führt, benötigen Sie möglicherweise auch andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.

Außerdem benötigen Sie die entsprechenden IAM-Berechtigungen, um wichtige Kontakte aus Sicherheitsgründen zu erstellen und zu verwalten. Informationen zu den IAM-Rollen, die zum Verwalten von Sicherheitskontakten erforderlich sind, finden Sie unter Erforderliche Rollen.

Autorisierungen, die für Security Command Center erforderlich sind

Wenn Sie Security Command Center aktivieren, wird automatisch ein Dienstkonto erstellt, das von Security Command Center für die Authentifizierung und Autorisierung beim Ausführen von Scans und der Verarbeitung von Protokollen verwendet wird. Google Cloud Während der Aktivierung bestätigen Sie die Berechtigungen, die dem Dienstkonto gewährt werden.

Entfernen oder ändern Sie dieses Dienstkonto, seine Rollen oder seine Berechtigungen nicht.

Implementierung der Best Practices für die Kryptomining-Erkennung bestätigen

Sie können prüfen, ob Ihre Organisation die Best Practices zum Erkennen von Kryptomining implementiert, indem Sie ein Script ausführen, das die Metadaten Ihrer Organisation prüft. Das Script ist auf GitHub verfügbar.

README und das Script finden Sie unter Best Practices-Validierungsskript für die SCC-Kryptomining-Erkennung.