Best Practices für die Kryptomining-Erkennung

Auf dieser Seite werden Best Practices zum Erkennen von Kryptowährungs-Mining-Angriffen (Kryptomining) auf Compute Engine-VMs in Ihrer Google Cloud -Umgebung beschrieben.

Diese Best Practices sind auch die Teilnahmevoraussetzungen für dasGoogle Cloud Cryptomining Protection Program. Weitere Informationen zum Programm finden Sie in der Übersicht über das Security Command Center-Programm zum Schutz vor Cryptomining.

Premium- oder Enterprise-Stufe von Security Command Center für Ihre Organisation aktivieren

Die Aktivierung der Premium- oder Enterprise-Stufe von Security Command Center ist ein grundlegendes Element für die Erkennung von Kryptomining-Angriffen aufGoogle Cloud.

Zwei Bedrohungserkennungsdienste der Premium- und Enterprise-Stufen sind entscheidend für die Erkennung von Kryptomining-Angriffen: Event Threat Detection und VM Threat Detection.

Da Cryptomining-Angriffe auf jeder VM in jedem Projekt innerhalb Ihrer Organisation auftreten können, ist die Aktivierung von Security Command Center Premium oder Enterprise für Ihre gesamte Organisation mit aktivierter Event Threat Detection und VM Threat Detection sowohl eine Best Practice als auch eine Voraussetzung für das Security Command Center Cryptomining Protection-Programm.

Weitere Informationen finden Sie unter Security Command Center aktivieren – Übersicht oder Security Command Center Enterprise-Stufe aktivieren.

Wichtige Dienste zur Bedrohungserkennung für alle Projekte aktivieren

Aktivieren Sie die Erkennungsdienste „Event Threat Detection“ und „VM Threat Detection“ von Security Command Center für alle Projekte in Ihrer Organisation.

Mit Event Threat Detection und VM Threat Detection werden Ereignisse erkannt, die zu einem Cryptomining-Angriff führen können (Ereignisse der Phase 0), und Ereignisse, die darauf hindeuten, dass ein Angriff läuft (Ereignisse der Phase 1). Die spezifischen Ereignisse, die von diesen Erkennungsdiensten erkannt werden, werden in den folgenden Abschnitten beschrieben.

Hier finden Sie weitere Informationen:

• Event Threat Detection – Übersicht
• Übersicht über VM Threat Detection

Erkennung von Ereignissen in Phase 0 aktivieren

Ereignisse der Phase 0 sind Ereignisse in Ihrer Umgebung, die häufig vor oder als erster Schritt von gängigen Kryptomining-Angriffen auftreten.

Event Threat Detection, ein Erkennungsdienst, der mit Security Command Center Premium oder Enterprise verfügbar ist, generiert Ergebnisse, um Sie zu benachrichtigen, wenn bestimmte Ereignisse der Phase 0 erkannt werden.

Wenn Sie diese Probleme schnell erkennen und beheben, können Sie viele Kryptomining-Angriffe verhindern, bevor Ihnen erhebliche Kosten entstehen.

Event Threat Detection verwendet die folgenden Kategorien von Ergebnissen, um Sie über diese Ereignisse zu informieren:

• Account_Has_Leaked_Credentials: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein Dienstkontoschlüssel auf GitHub geleakt wurde. Das Erhalten von Dienstkontoanmeldedaten ist ein häufiger Vorläufer von Kryptomining-Angriffen.
• E-Mail: Zugriff vom Anonymisierungs-Proxy: Ein Ergebnis in dieser Kategorie weist darauf hin, dass eine Änderung an einemGoogle Cloud -Dienst von einer IP-Adresse stammt, die mit dem Tor-Netzwerk verknüpft ist.
• Anfänglicher Zugriff: Aktion über inaktives Dienstkonto: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein inaktives Dienstkonto in Ihrer Umgebung aktiv geworden ist. Security Command Center verwendet Policy Intelligence, um inaktive Konten zu erkennen.

Erkennung von Ereignissen der Stufe 1 aktivieren

Ereignisse der Phase 1 sind Ereignisse, die darauf hinweisen, dass in Ihrer Google Cloud Umgebung ein Programm für Kryptomining ausgeführt wird.

Sowohl Event Threat Detection als auch VM Threat Detection generieren Security Command Center-Ergebnisse, um Sie zu benachrichtigen, wenn bestimmte Ereignisse der Phase 1 erkannt werden.

Untersuchen und beheben Sie diese Ergebnisse sofort, um erhebliche Kosten zu vermeiden, die mit dem Ressourcenverbrauch von Kryptomining-Anwendungen verbunden sind.

Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass eine Kryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud Umgebung ausgeführt wird:

• Ausführung: YARA-Regel für Kryptomining: Befunde in dieser Kategorie weisen darauf hin, dass VM Threat Detection ein Speichermuster wie eine Proof-of-Work-Konstante erkannt hat, das von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Hash-Abgleich für Kryptomining: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection einen Speicher-Hash erkannt hat, der von einer Kryptomining-Anwendung verwendet wird.
• Ausführung: Kombinierte Erkennung: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection sowohl ein Speichermuster als auch einen Speicher-Hash erkannt hat, die von einer Kryptomining-Anwendung verwendet werden.
• Malware: Bad IP: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu einer IP-Adresse oder eine Suche nach einer IP-Adresse erkannt hat, die bekanntermaßen von Cryptomining-Anwendungen verwendet wird.
• Malware: Bad Domain: Funde in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu einer Domain oder eine Suche nach einer Domain erkannt hat, die bekanntermaßen von Cryptomining-Anwendungen verwendet wird.

Cloud DNS-Logging aktivieren

Wenn Sie erkennen möchten, ob Kryptomining-Anwendungen Aufrufe an bekannte schädliche Domains senden, aktivieren Sie Cloud DNS-Logging. Event Threat Detection verarbeitet die Cloud DNS-Logs und generiert Ergebnisse, wenn die Auflösung einer Domain erkannt wird, die bekanntermaßen für Kryptomining-Pools verwendet wird.

SIEM- und SOAR-Produkte in Security Command Center einbinden

Integrieren Sie Security Command Center in Ihre vorhandenen Sicherheitstools, z. B. Ihre SIEM- oder SOAR-Produkte, um die Security Command Center-Ergebnisse für Ereignisse der Phase 0 und Phase 1, die auf potenzielle oder tatsächliche Cryptomining-Angriffe hinweisen, zu analysieren und darauf zu reagieren.

Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss es sich mit der Arbeit mit Security Command Center-Ergebnissen in der Google Cloud Console vertraut machen und lernen, wie es Ergebnisbenachrichtigungen und -exporte mit Pub/Sub oder den Security Command Center APIs einrichtet, um Ergebnisse für Kryptomining-Angriffe effektiv weiterzuleiten.

Informationen zu den spezifischen Ergebnissen, die Sie in Ihre Tools für Sicherheitsvorgänge exportieren müssen, finden Sie unter Wichtige Dienste zur Erkennung von Bedrohungen für alle Projekte aktivieren.

Informationen zum Einbinden von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIEM- und SOAR-Integrationen einrichten.

Informationen zum Einrichten von Benachrichtigungen oder Exporten finden Sie hier:

• E‑Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
• Ergebnisbenachrichtigungen für Pub/Sub aktivieren

Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen

Damit Ihr Unternehmen so schnell wie möglich auf Sicherheitsbenachrichtigungen von Google reagieren kann, geben Sie an, Google Cloud welche Teams in Ihrem Unternehmen, z. B. IT-Sicherheit oder Betriebssicherheit, Sicherheitsbenachrichtigungen erhalten sollen. Wenn Sie ein Team angeben, geben Sie seine E-Mail-Adresse unter Wichtige Kontakte ein.

Damit diese Benachrichtigungen im Laufe der Zeit zuverlässig zugestellt werden, empfehlen wir Teams dringend, die Zustellung an eine Mailingliste, Gruppe oder einen anderen Mechanismus zu konfigurieren, der eine konsistente Zustellung und Verteilung an das zuständige Team in Ihrer Organisation gewährleistet. Wir empfehlen, nicht die E‑Mail-Adressen von Einzelpersonen als wichtige Kontakte anzugeben, da die Kommunikation unterbrochen werden kann, wenn die Personen das Team wechseln oder das Unternehmen verlassen.

Nachdem Sie Ihre wichtigen Kontakte eingerichtet haben, muss das E‑Mail-Postfach kontinuierlich von Ihren Sicherheitsteams überwacht werden. Die kontinuierliche Überwachung ist eine wichtige Best Practice, da Angreifer Kryptomining-Angriffe häufig dann starten, wenn sie davon ausgehen, dass Sie weniger wachsam sind, z. B. an Wochenenden, Feiertagen und nachts.

Die Festlegung Ihrer wichtigen Kontakte für die Sicherheit und die Überwachung der E-Mail-Adresse der wichtigen Kontakte sind sowohl eine Best Practice als auch eine Anforderung des Security Command Center-Programms zum Schutz vor Kryptomining.

Erforderliche IAM-Berechtigungen beibehalten

Ihre Sicherheitsteams und Security Command Center selbst benötigen eine Autorisierung, um auf Ressourcen in der Google Cloud -Umgebung zugreifen zu können. Sie verwalten die Authentifizierung und Autorisierung mit Identity and Access Management (IAM).

Als Best Practice und im Fall von Security Command Center als grundlegende Anforderung müssen Sie die IAM-Rollen und ‑Berechtigungen beibehalten, die zum Erkennen von und Reagieren auf Cryptomining-Angriffe erforderlich sind.

Allgemeine Informationen zu IAM auf Google Cloudfinden Sie in der IAM-Übersicht.

Autorisierungen, die von Ihren Sicherheitsteams benötigt werden

Damit Sie Security Command Center-Ergebnisse ansehen und sofort auf einen Krypto-Mining-Angriff oder ein anderes Sicherheitsproblem auf Google Cloudreagieren können, müssen die Google Cloud Nutzerkonten Ihres Sicherheitspersonals im Voraus autorisiert werden, um auf Probleme zu reagieren, sie zu beheben und zu untersuchen.

Auf Google Cloudkönnen Sie die Authentifizierung und Autorisierung mithilfe von IAM-Rollen und -Berechtigungen verwalten.

Erforderliche Rollen für die Arbeit mit Security Command Center

Informationen zu den IAM-Rollen, die Nutzer für die Arbeit mit Security Command Center benötigen, finden Sie unter Zugriffssteuerung mit IAM.

Rollen, die für die Arbeit mit anderen Google Cloud -Diensten erforderlich sind

Um einen Cryptomining-Angriff richtig zu untersuchen, benötigen Sie wahrscheinlich andere IAM-Rollen, z. B. Compute Engine-Rollen, mit denen Sie die betroffene VM-Instanz und die darauf ausgeführten Anwendungen ansehen und verwalten können.

Je nachdem, wohin die Untersuchung eines Angriffs führt, benötigen Sie möglicherweise auch andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.

Außerdem benötigen Sie die entsprechenden IAM-Berechtigungen, um Ihre wichtigen Kontakte für die Sicherheit zu erstellen und zu verwalten. Informationen zu den IAM-Rollen, die zum Verwalten von Sicherheitskontakten erforderlich sind, finden Sie unter Erforderliche Rollen.

Von Security Command Center erforderliche Autorisierungen

Wenn Sie Security Command Center aktivieren, wird automatisch ein Dienstkonto erstellt, das Security Command Center für die Authentifizierung und Autorisierung beim Ausführen von Scans und Verarbeiten von Logs verwendet. Google Cloud Während der Aktivierung bestätigen Sie die Berechtigungen, die dem Dienstkonto gewährt werden.

Entfernen oder ändern Sie dieses Dienstkonto, seine Rollen oder seine Berechtigungen nicht.

Implementierung der Best Practices für die Kryptomining-Erkennung bestätigen

Sie können prüfen, ob Ihre Organisation die Best Practices zur Erkennung von Kryptomining implementiert, indem Sie ein Skript ausführen, das die Metadaten Ihrer Organisation prüft. Das Skript ist auf GitHub verfügbar.

Das README und das Skript finden Sie unter Validierungsskript für Best Practices zur Kryptomining-Erkennung für SCC.