Halaman ini menjelaskan praktik terbaik untuk mendeteksi serangan penambangan mata uang kripto (cryptomining) di mesin virtual (VM) Compute Engine di lingkungan Google Cloud Anda.
Praktik terbaik ini juga berfungsi sebagai persyaratan kelayakan untuk Google Cloud Program Perlindungan Penambangan Kripto. Untuk mengetahui informasi selengkapnya tentang program ini, lihat Ringkasan Program Perlindungan terhadap Penambangan Kripto Security Command Center.
Mengaktifkan paket Premium atau Enterprise Security Command Center untuk organisasi Anda
Aktivasi paket Premium atau paket Enterprise Security Command Center adalah elemen dasar untuk mendeteksi serangan penambangan kripto di Google Cloud.
Dua layanan deteksi ancaman dari paket Premium dan Enterprise sangat penting untuk mendeteksi serangan penambangan kripto: Event Threat Detection dan VM Threat Detection.
Karena serangan penambangan kripto dapat terjadi di VM mana pun dalam project mana pun di organisasi Anda, mengaktifkan Security Command Center Premium atau Enterprise untuk seluruh organisasi Anda dengan Event Threat Detection dan VM Threat Detection yang diaktifkan adalah praktik terbaik dan persyaratan Program Perlindungan Penambangan Kripto Security Command Center.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan pengaktifan Security Command Center atau Mengaktifkan paket Security Command Center Enterprise.
Mengaktifkan layanan deteksi ancaman utama di semua project
Aktifkan layanan deteksi Event Threat Detection dan VM Threat Detection Security Command Center di semua project dalam organisasi Anda.
Bersama-sama, Event Threat Detection dan VM Threat Detection mendeteksi peristiwa yang dapat menyebabkan serangan penambangan kripto (peristiwa tahap 0) dan peristiwa yang menunjukkan bahwa serangan sedang berlangsung (peristiwa tahap 1). Peristiwa spesifik yang dideteksi oleh layanan deteksi ini dijelaskan di bagian berikut.
Untuk informasi selengkapnya, lihat referensi berikut:
Mengaktifkan deteksi peristiwa tahap 0
Peristiwa Stage-0 adalah peristiwa di lingkungan Anda yang sering mendahului, atau merupakan langkah pertama dari, serangan cryptomining umum.
Event Threat Detection, layanan deteksi yang tersedia dengan Security Command Center Premium atau Enterprise, menghasilkan temuan untuk memberi tahu Anda saat mendeteksi peristiwa tahap 0 tertentu.
Jika Anda dapat mendeteksi dan memperbaiki masalah ini dengan cepat, Anda dapat mencegah banyak serangan cryptomining sebelum menimbulkan biaya yang signifikan.
Event Threat Detection menggunakan kategori temuan berikut untuk memberi tahu Anda tentang peristiwa ini:
- Account_Has_Leaked_Credentials: Temuan dalam kategori ini menunjukkan bahwa kunci akun layanan bocor di GitHub. Mendapatkan kredensial akun layanan adalah pendahuluan umum untuk serangan penambangan kripto.
- Penghindaran: Akses dari Anonymizing Proxy: Temuan dalam kategori ini menunjukkan bahwa modifikasi pada layananGoogle Cloud berasal dari alamat IP yang terkait dengan jaringan Tor.
- Akses Awal: Tindakan Akun Layanan Yang Tidak Aktif: Temuan dalam kategori ini menunjukkan bahwa akun layanan yang tidak aktif melakukan tindakan di lingkungan Anda. Security Command Center menggunakan Policy Intelligence untuk mendeteksi akun yang tidak aktif.
Aktifkan deteksi peristiwa tahap 1
Peristiwa tahap 1 adalah peristiwa yang menunjukkan bahwa program aplikasi cryptomining sedang berjalan di lingkungan Google Cloud Anda.
Event Threat Detection dan VM Threat Detection menghasilkan temuan Security Command Center untuk memberi tahu Anda saat mendeteksi peristiwa tahap 1 tertentu.
Segera selidiki dan perbaiki temuan ini untuk menghindari biaya signifikan yang terkait dengan konsumsi resource aplikasi penambangan kripto.
Temuan dalam salah satu kategori berikut menunjukkan bahwa aplikasi penambangan mata uang kripto berjalan di VM dalam salah satu project di lingkungan Anda: Google Cloud
- Eksekusi: Aturan YARA Cryptomining: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi pola memori, seperti konstanta proof-of-work, yang digunakan oleh aplikasi cryptomining.
- Eksekusi: Pencocokan Hash Penambangan Kripto: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi hash memori yang digunakan oleh aplikasi penambangan kripto.
- Eksekusi: Deteksi Gabungan: Temuan dalam kategori ini menunjukkan bahwa Deteksi Ancaman VM mendeteksi pola memori dan hash memori yang digunakan oleh aplikasi penambangan kripto.
- Malware: IP Buruk: Temuan dalam kategori ini menunjukkan bahwa Event Threat Detection mendeteksi koneksi ke, atau pencarian, alamat IP yang diketahui digunakan oleh aplikasi cryptomining.
- Malware: Domain Buruk: Temuan dalam kategori ini menunjukkan bahwa Event Threat Detection mendeteksi koneksi ke, atau pencarian, domain yang diketahui digunakan oleh aplikasi cryptomining.
Mengaktifkan logging Cloud DNS
Untuk mendeteksi panggilan yang dilakukan oleh aplikasi penambangan kripto ke domain buruk yang diketahui, aktifkan Logging Cloud DNS. Event Threat Detection memproses log Cloud DNS dan membuat temuan saat mendeteksi resolusi domain yang diketahui digunakan untuk pool cryptomining.
Mengintegrasikan produk SIEM dan SOAR Anda dengan Security Command Center
Integrasikan Security Command Center dengan alat operasi keamanan yang sudah ada, seperti produk SIEM atau SOAR, untuk menentukan prioritas dan merespons temuan Security Command Center untuk peristiwa tahap 0 dan tahap 1 yang menunjukkan potensi atau serangan penambangan kripto yang sebenarnya.
Jika tim keamanan Anda tidak menggunakan produk SIEM atau SOAR, tim tersebut harus memahami cara menangani temuan Security Command Center di konsol Google Cloud dan cara menyiapkan notifikasi dan ekspor temuan menggunakan Pub/Sub atau API Security Command Center untuk merutekan temuan serangan penambangan kripto secara efektif.
Untuk temuan spesifik yang perlu Anda ekspor ke alat operasi keamanan, lihat Mengaktifkan layanan deteksi ancaman utama di semua project.
Untuk mengetahui informasi tentang cara mengintegrasikan produk SIEM dan SOAR dengan Security Command Center, lihat Menyiapkan integrasi SIEM dan SOAR.
Untuk mengetahui informasi tentang cara menyiapkan notifikasi atau ekspor temuan, lihat informasi berikut:
Menunjuk kontak penting Anda untuk notifikasi keamanan
Agar perusahaan Anda dapat merespons secepat mungkin notifikasi keamanan dari Google, tentukan tim di perusahaan Anda, seperti keamanan IT atau keamanan operasi, yang harus menerima notifikasi keamanan. Google Cloud Saat menentukan tim, Anda memasukkan alamat emailnya di Kontak Penting.
Untuk memastikan pengiriman notifikasi ini yang andal dari waktu ke waktu, sebaiknya tim mengonfigurasi pengiriman ke milis, grup, atau mekanisme lain yang memastikan konsistensi pengiriman dan distribusi ke tim yang bertanggung jawab di organisasi Anda. Sebaiknya Anda tidak menentukan alamat email individu sebagai kontak penting karena komunikasi dapat terganggu jika individu tersebut berpindah tim atau keluar dari perusahaan.
Setelah menyiapkan kontak penting, pastikan kotak masuk email dipantau oleh tim keamanan Anda secara terus-menerus. Pemantauan berkelanjutan adalah praktik terbaik yang penting, karena musuh sering kali memulai serangan cryptomining saat mereka memperkirakan Anda kurang waspada, seperti pada akhir pekan, hari libur, dan pada malam hari.
Menunjuk kontak penting Anda untuk keamanan, lalu memantau alamat email kontak penting, adalah praktik terbaik dan persyaratan Program Perlindungan Penambangan Kripto Security Command Center.
Mempertahankan izin IAM yang diperlukan
Tim keamanan Anda, dan Security Command Center itu sendiri, memerlukan otorisasi untuk mengakses resource di lingkungan Google Cloud . Anda dapat mengelola autentikasi dan otorisasi menggunakan Identity and Access Management (IAM).
Sebagai praktik terbaik dan, dalam kasus Security Command Center, persyaratan dasar, Anda harus mempertahankan atau menyimpan peran dan izin IAM yang diperlukan untuk mendeteksi dan merespons serangan penambangan kripto.
Untuk informasi umum tentang IAM di Google Cloud, lihat Ringkasan IAM.
Otorisasi yang diperlukan oleh tim keamanan Anda
Untuk dapat melihat temuan Security Command Center dan segera merespons serangan penambangan kripto atau masalah keamanan lainnya di Google Cloud, akun Google Cloud pengguna staf keamanan Anda harus diberi otorisasi terlebih dahulu untuk merespons, memperbaiki, dan menyelidiki masalah yang mungkin muncul.
Di Google Cloud, Anda dapat mengelola autentikasi dan otorisasi dengan menggunakan peran dan izin IAM.
Peran yang diperlukan untuk menggunakan Security Command Center
Untuk mengetahui informasi tentang peran IAM yang diperlukan pengguna untuk menggunakan Security Command Center, lihat Kontrol akses dengan IAM.
Peran yang diperlukan untuk menggunakan layanan Google Cloud lainnya
Untuk menyelidiki serangan penambangan kripto dengan benar, Anda mungkin memerlukan peran IAM lain, seperti peran Compute Engine yang memungkinkan Anda melihat dan mengelola instance VM yang terpengaruh dan aplikasi yang berjalan di dalamnya.
Bergantung pada arah penyelidikan serangan, Anda mungkin memerlukan peran lain juga, seperti peran jaringan Compute Engine atau peran Cloud Logging.
Anda juga memerlukan izin IAM yang tepat untuk membuat dan mengelola Kontak Penting Anda untuk keamanan. Untuk mengetahui informasi tentang peran IAM yang diperlukan untuk mengelola kontak keamanan, lihat Peran yang diperlukan.
Otorisasi yang diperlukan oleh Security Command Center
Saat Anda mengaktifkan Security Command Center,akun layanan yang digunakan Security Command Center untuk autentikasi dan otorisasi saat menjalankan pemindaian dan memproses log akan dibuat secara otomatis. Google Cloud Selama proses aktivasi, Anda mengonfirmasi izin yang diberikan ke akun layanan.
Jangan menghapus atau mengubah akun layanan ini, perannya, atau izinnya.
Mengonfirmasi penerapan praktik terbaik deteksi penambangan kripto
Anda dapat melihat apakah organisasi Anda menerapkan praktik terbaik untuk mendeteksi cryptomining dengan menjalankan skrip yang memeriksa metadata organisasi Anda. Skrip ini tersedia di GitHub.
Untuk meninjau README dan mendownload skrip, lihat
Skrip validasi praktik terbaik deteksi penambangan kripto SCC.