Auf dieser Seite werden Best Practices zur Erkennung Cryptomining-Angriffe (Cryptomining) auf Compute Engine virtuell Maschinen (VMs) in Ihrer Google Cloud-Umgebung.
Diese Best Practices dienen auch als Teilnahmevoraussetzungen für das Google Cloud-Programm zum Schutz vor Kryptomining. Weitere Informationen zum Programm Security Command Center aufrufen Übersicht zum Cryptomining-Schutzprogramm
Premium- oder Enterprise-Stufe von Security Command Center für Ihre Organisation aktivieren
Die Aktivierung der Premium- oder Enterprise-Stufe von Security Command Center ist ein grundlegendes Element der Erkennung von Cryptomining-Angriffen auf Google Cloud
Zwei Bedrohungserkennungsdienste der Premium- und Enterprise-Stufen sind entscheidend für die Erkennung von Kryptomining-Angriffen: Event Threat Detection und VM Threat Detection.
Da Kryptomining-Angriffe auf jeder VM in jedem Projekt innerhalb Ihrer Organisation auftreten können, ist die Aktivierung von Security Command Center Premium oder Enterprise für Ihre gesamte Organisation mit aktivierter Event Threat Detection und VM Threat Detection sowohl eine Best Practice als auch eine Anforderung des Security Command Center Cryptomining Protection-Programms.
Weitere Informationen finden Sie unter Security Command Center aktivieren.
Dienste für die Bedrohungserkennung in allen Projekten aktivieren
Dienste Event Threat Detection und VM Threat Detection aktivieren von Security Command Center für alle Projekte in Ihrer Organisation.
Event Threat Detection und VM Threat Detection erkennen gemeinsam Ereignisse, die zu einem Cryptomining-Angriff führen können (stage-0-Ereignisse) und Ereignisse die darauf hinweisen, dass ein Angriff ausgeführt wird (Ereignisse der Phase 1). Die von diesen Erkennungsdiensten erkannten Ereignisse werden in den folgenden Abschnitten beschrieben.
Hier finden Sie weitere Informationen:
Erkennung von Phase-0-Ereignissen aktivieren
Phase-0-Ereignisse sind Ereignisse in Ihrer Umgebung, die häufig vor gängigen Kryptomining-Angriffen auftreten oder der erste Schritt bei diesen Angriffen sind.
Event Threat Detection, ein mit Security Command Center verfügbarer Erkennungsdienst Premium oder Enterprise gibt Ihnen eine Benachrichtigung, Phase-0-Ereignisse.
Wenn Sie diese Probleme schnell erkennen und beheben können, können Sie viele Kryptomining-Angriffe verhindern, bevor Ihnen erhebliche Kosten entstehen.
Event Threat Detection verwendet die folgenden Ergebniskategorien, um Sie auf diese Ereignisse aufmerksam zu machen:
- Account_Has_Leaked_Credentials: Ein Ergebnis in dieser Kategorie gibt an, dass ein Dienstkontoschlüssel auf GitHub geleakt wurde. Es ist üblich, Anmeldedaten für Dienstkonten Vorläufer von Cryptomining-Angriffen.
- Ausweichen: Zugriff über Anonymisierungs-Proxy: Ein Befund in dieser Kategorie weist darauf hin, dass eine Änderung an einem Google Cloud-Dienst von einem anonymen Proxy wie einem Tor-Ausstiegsknoten stammt.
- Anfänglicher Zugriff: Aktion für inaktive Dienstkontoaktion: Ein Ergebnis in dieser Kategorie weist darauf hin, dass ein inaktives Dienstkonto in Ihrer Umgebung Maßnahmen ergriffen haben. Security Command Center verwendet Policy Intelligence zur Erkennung inaktiver Konten
Ereigniserkennung der Stufe 1 aktivieren
Stage-1-Ereignisse sind Ereignisse, die darauf hinweisen, dass eine Cryptomining-Anwendung in Ihrer Google Cloud-Umgebung ausgeführt wird.
Sowohl Event Threat Detection als auch VM Threat Detection leiten Ergebnisse an Security Command Center weiter, um Sie zu benachrichtigen, wenn bestimmte Stufe-1-Ereignisse erkannt werden.
Untersuchen und beheben Sie diese Probleme sofort, um erhebliche Kosten zu vermeiden, die mit dem Ressourcenverbrauch von Kryptomining-Anwendungen verbunden sind.
Ein Ergebnis in einer der folgenden Kategorien weist darauf hin, dass eine Kryptomining-Anwendung auf einer VM in einem der Projekte in Ihrer Google Cloud-Umgebung ausgeführt wird:
- Ausführung: YARA-Regel für Kryptomining: Ergebnisse in dieser Kategorie weisen darauf hin, dass VM Threat Detection ein Speichermuster wie eine Proof-of-Work-Konstante erkannt hat, die von einer Kryptomining-Anwendung verwendet wird.
- Ausführung: Hash-Abgleich für Kryptowährungs-Mining: Ergebnisse in dieser Kategorie geben an, dass die VM Threat Detection einen Speicher-Hash erkannt hat, der von einer Kryptomining-Anwendung verwendet wird.
- Ausführung: Kombinierte Erkennung: Ergebnisse in dieser Kategorie deuten darauf hin, dass VM Threat Detection erkannt wurde ein Speichermuster und einen Arbeitsspeicher-Hash, die von einem Cryptomining .
- Malware: Schlechte IP-Adresse: Ergebnisse in dieser Kategorie deuten darauf hin, dass Event Threat Detection erkannt wurde eine Verbindung zu oder ein Lookup von einer IP-Adresse, die bekanntermaßen verwendet wird durch Cryptomining-Anwendungen.
- Malware: Schädliche Domain: Ergebnisse in dieser Kategorie weisen darauf hin, dass Event Threat Detection eine Verbindung zu oder eine Suche nach einer Domain erkannt hat, die bekanntermaßen von Kryptomining-Anwendungen verwendet wird.
Cloud DNS-Logging aktivieren
Um Aufrufe von Cryptomining-Anwendungen an bekannte ungültige Domains zu erkennen, Aktivieren Sie Cloud DNS Logging. Event Threat Detection verarbeitet die Cloud DNS-Logs und gibt Ergebnisse aus, wenn die Auflösung einer Domain erkannt wird, die bekanntermaßen für Kryptomining-Pools verwendet wird.
SIEM- und SOAR-Produkte in Security Command Center einbinden
Binden Sie Security Command Center in Ihre vorhandenen Security Operations-Tools ein, wie SIEM- oder SOAR-Produkte, um Probleme zu erkennen und zu beheben. Security Command Center-Ergebnisse für Ereignisse der Phase 0 und 1, die darauf hinweisen potenzielle oder tatsächliche Cryptomining-Angriffe.
Wenn Ihr Sicherheitsteam kein SIEM- oder SOAR-Produkt verwendet, muss es sich mit der Arbeit mit Security Command Center-Ergebnissen in der Google Cloud Console vertraut machen und lernen, wie es Benachrichtigungen zu Ergebnissen und Exporte mithilfe von Pub/Sub oder den Security Command Center APIs einrichtet, um Ergebnisse für Kryptomining-Angriffe effektiv weiterzuleiten.
Für die spezifischen Ergebnisse, die Sie in Ihre Sicherheitsvorgänge exportieren müssen finden Sie unter Aktivieren Sie Dienste zur Erkennung von Schlüsselbedrohungen in allen Projekten.
Informationen zum Einbinden von SIEM- und SOAR-Produkten in Security Command Center finden Sie unter SIEM- und SOAR-Integrationen einrichten.
Informationen zum Einrichten von Ergebnisbenachrichtigungen oder -exporten finden Sie unter folgende Informationen:
- E-Mail- und Chatbenachrichtigungen in Echtzeit aktivieren
- Ergebnisbenachrichtigungen für Pub/Sub aktivieren
Wichtige Kontakte für Sicherheitsbenachrichtigungen festlegen
Damit Ihr Unternehmen so schnell wie möglich auf Sicherheitsbenachrichtigungen von Google reagieren kann, müssen Sie Google Cloud mitteilen, welche Teams in Ihrem Unternehmen, z. B. die IT-Sicherheit oder die Betriebssicherheit, Sicherheitsbenachrichtigungen erhalten sollen. Wenn Sie ein Team angeben, geben Sie E-Mail-Adresse in Wichtige Kontakte:
Um eine zuverlässige Zustellung dieser Benachrichtigungen über einen längeren Zeitraum sicherzustellen, empfehlen Sie Ihren Teams dringend, die Zustellung an eine Mailingliste, oder ein anderer Mechanismus, der die Konsistenz der Bereitstellung und Verteilung an das zuständige Team in Ihrem Unternehmen. Wir empfehlen, die E-Mail-Adressen von Einzelpersonen nicht als wichtige Kontakte anzugeben, da die Kommunikation unterbrochen werden kann, wenn die Personen das Team wechseln oder das Unternehmen verlassen.
Achten Sie nach der Einrichtung der wichtigsten Kontakte darauf, dass der E-Mail-Posteingang von Ihren Sicherheitsteams kontinuierlich überwacht wird. Ein kontinuierliches Monitoring ist eine wichtige Best Practice, da Angreifer häufig Kryptomining-Angriffe starten, wenn sie davon ausgehen, dass Sie weniger wachsam sind, z. B. an Wochenenden, Feiertagen und nachts.
Es ist eine Best Practice und eine Anforderung des Cryptomining-Schutzprogramms im Security Command Center, wichtige Kontakte für die Sicherheit zu benennen und die E-Mail-Adressen dieser Kontakte im Blick zu behalten.
Erforderliche IAM-Berechtigungen verwalten
Ihre Sicherheitsteams und Security Command Center selbst benötigen eine Autorisierung, um auf Ressourcen in der Google Cloud-Umgebung zuzugreifen. Authentifizierung und Autorisierung werden mithilfe der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwaltet.
Als Best Practice und im Fall von Security Command Center ist eine einfache müssen Sie die IAM-Einstellungen Rollen und Berechtigungen, die erforderlich sind, um Kryptomining zu erkennen und darauf zu reagieren .
Allgemeine Informationen zu IAM in Google Cloud Siehe IAM-Übersicht.
Autorisierungen, die von Ihren Sicherheitsteams benötigt werden
Damit Sie die Ergebnisse des Security Command Centers sehen und sofort auf einen Krypto-Mining-Angriff oder ein anderes Sicherheitsproblem in Google Cloud reagieren können, müssen die Google Cloud-Nutzerkonten Ihres Sicherheitspersonals vorab autorisiert werden, um auf mögliche Probleme zu reagieren, sie zu beheben und zu untersuchen.
In Google Cloud können Sie die Authentifizierung und Autorisierung mithilfe von IAM-Rollen und ‑Berechtigungen verwalten.
Für die Arbeit mit Security Command Center erforderliche Rollen
Informationen zu den IAM-Rollen, die Nutzer für die Arbeit mit dem Security Command Center benötigen, finden Sie unter Zugriffssteuerung mit IAM.
Für die Arbeit mit anderen Google Cloud-Diensten erforderliche Rollen
Um einen Cryptomining-Angriff richtig untersuchen zu können, benötigen Sie wahrscheinlich andere IAM-Rollen, z. B. Compute Engine-Rollen, mit denen Sie die betroffene VM-Instanz und die darauf ausgeführten Anwendungen ansehen und verwalten können.
Je nachdem, wohin die Untersuchung eines Angriffs führt, benötigen Sie möglicherweise auch andere Rollen, z. B. Compute Engine-Netzwerkrollen oder Cloud Logging-Rollen.
Außerdem benötigen Sie die entsprechenden IAM-Berechtigungen, „Wichtige Kontakte“ aus Sicherheitsgründen verwalten. Weitere Informationen IAM-Rollen, die für die Informationen zum Verwalten von Sicherheitskontakten finden Sie unter Erforderliche Rollen.
Für Security Command Center erforderliche Autorisierungen
Wenn Sie Security Command Center aktivieren, Ein Dienstkonto wird erstellt, das Security Command Center verwendet zur Authentifizierung und Autorisierung bei Scans und Verarbeitung Logs. Während der Aktivierung bestätigen Sie die Berechtigungen, die dem Dienstkonto gewährt werden.
Entfernen oder ändern Sie weder dieses Dienstkonto noch seine Rollen oder Berechtigungen.
Umsetzung der Best Practices für die Kryptomining-Erkennung bestätigen
So können Sie sehen, ob Ihre Organisation Erkennung von Cryptomining durch Ausführen eines Skripts, das die Ihrer Organisation an. Das Script ist auf GitHub verfügbar.
README
und das Script finden Sie unter SCC-Best Practices-Validierungsskript für die Kryptomining-Erkennung.