Auf dieser Seite wird beschrieben, wie Sie Ergebnisse der VM-Gefahrenerkennung aufrufen und verwalten. Außerdem zeigt Ihnen, wie Sie den Dienst und die zugehörigen Module aktivieren oder deaktivieren.
Übersicht
Virtual Machine Threat Detection, ein integrierter Dienst der Premium-Version von Security Command Center, bietet Bedrohungserkennung durch Hypervisor-Instrumentierung und persistente Laufwerkanalyse. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Kryptowährung-Mining-Software, Rootkits im Kernelmodus und Malware, die in manipulierten Cloud-Umgebungen ausgeführt werden.
VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
Weitere Informationen finden Sie unter VM Threat Detection – Übersicht
Kosten
Nach der Registrierung für die Premium-Version des Security Command Center entstehen keine zusätzlichen Kosten für die Verwendung von VM Threat Detection.
Hinweis
Für diese Funktion müssen Sie registriert sein in Security Command Center Premium.
Darüber hinaus benötigen Sie ausreichende IAM-Rollen (Identity and Access Management), um Ergebnisse aufzurufen oder zu bearbeiten und Google Cloud-Ressourcen zu ändern. Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.
VM Threat Detection testen
Zum Testen der Erkennung von Kryptowährung-Mining durch VM Threat Detection können Sie eine Kryptowährung-Mining-Anwendung auf Ihrer VM ausführen. Eine Liste der Binärnamen und YARA-Regeln, die Ergebnisse auslösen, finden Sie unter Softwarenamen und YARA-Regeln. Wenn Sie von Mining-Anwendungen zu testen, sollten Sie sie nur in einem isolierte Testumgebung zu testen, ihre Nutzung genau zu überwachen und sie vollständig zu entfernen. nach dem Testen.
Zum Testen der Malware-Erkennung von VM Threat Detection können Sie Malware-Anwendungen auf Ihre VM herunterladen. Wenn Sie Malware herunterladen, sollten Sie dies in einer isolierten Testumgebung tun und sie nach dem Testen vollständig entfernen.
Ergebnisse in der Google Cloud Console prüfen
Führen Sie den folgenden Befehl aus, um die Ergebnisse von VM Threat Detection in der Google Cloud Console zu prüfen: Folgendes:
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Ausführliche Informationen dazu, wie Sie auf die einzelnen Ergebnisse von VM Threat Detection reagieren, finden Sie unter VM Threat Detection-Antwort.
Eine Liste der Ergebnisse von VM Threat Detection finden Sie unter Ergebnisse.
Schweregrad
VM Threat Detection-Ergebnissen werden die Stufen Hoch, Mittel und Niedrig zugewiesen. basierend auf der Konfidenz der Bedrohungsklassifizierung.
Kombinierte Erkennungen
Kombinierte Erkennungen treten auf, wenn mehrere Ergebniskategorien innerhalb eines Tages erkannt werden. Die Ergebnisse können von einer oder mehreren schädlichen Anwendungen verursacht werden.
Beispiel: Eine einzelne Anwendung kann gleichzeitig Execution: Cryptocurrency Mining YARA Rule- und Execution: Cryptocurrency
Mining Hash Match-Ergebnisse auslösen. Es werden aber alle Bedrohungen, die von einer einzigen Quelle innerhalb desselben Tages erkannt wurden, zu einem Ergebnis, der kombinierten Erkennung, zusammengefasst. Wenn in den folgenden Tagen weitere Bedrohungen gefunden werden, werden diese mit neuen Ergebnissen verknüpft, auch falls es sich um identische Bedrohungen handelt.
Ein Beispiel für ein kombiniertes Erkennungsergebnis finden Sie unter Beispiele für Ergebnisformate.
Beispiele für Ergebnisformate
Diese JSON-Ausgabebeispiele enthalten Felder, die für VM Threat Detection üblich sind Ergebnisse. In jedem Beispiel werden nur die Felder angezeigt, die für den Ergebnistyp relevant sind. sie keine ausführliche Liste von Feldern.
Sie können Ergebnisse über die Security Command Center-Konsole exportieren oder Ergebnisse über die Security Command Center API auflisten
Wenn Sie sich die Beispielergebnisse ansehen möchten, maximieren Sie einen oder mehrere der folgenden Knoten. Für
Informationen zu den einzelnen Feldern des Ergebnisses finden Sie unter
Finding
Defense Evasion: Rootkit (Vorschau)
Dieses Ausgabebeispiel zeigt das Ergebnis eines bekannten Kernelmodus-Rootkits: Diamorphin.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel code modification (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel code modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler (Vorschau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Dieses Ausgabebeispiel zeigt eine Bedrohung, die sowohl vom
Die Module CRYPTOMINING_HASH und CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_1" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_2" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Ergebnisstatus ändern
Wenn Sie von VM Threat Detection erkannte Bedrohungen beheben, legt der Dienst den Status eines Ergebnisses bei nachfolgenden Scans nicht automatisch auf Inaktiv fest. Aufgrund der Beschaffenheit unserer Bedrohungsdomain kann die VM Threat Detection nicht feststellen, ob eine Bedrohung beseitigt oder geändert wurde, um die Erkennung zu vermeiden.
Wenn Ihre Sicherheitsteams sicher sind, dass eine Bedrohung entschärft wurde, kann der Status der Ergebnisse mit folgenden Schritten auf "Inaktiv" geändert werden.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.
Klicken Sie neben Anzeigen nach auf Quelltyp.
Wählen Sie in der Liste Quelltyp die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Tabelle enthält die Ergebnisse für den ausgewählten Quelltyp.
Aktivieren Sie das Kästchen neben den Ergebnissen, die bearbeitet wurden.
Klicken Sie auf Aktivitätsstatus ändern.
Klicken Sie auf Inaktiv.
VM Bedrohungserkennung aktivieren oder deaktivieren
Die VM-Gefahrenerkennung ist standardmäßig für alle Kunden aktiviert, die sich nach dem 15. Juli 2022 für Security Command Center Premium registrieren. An diesem Tag wurde dieser Dienst allgemein verfügbar. Sie können die Funktion bei Bedarf manuell für Ihr Projekt oder Ihre Organisation deaktivieren oder wieder aktivieren.
Wenn Sie VM Threat Detection für eine Organisation oder ein Projekt aktivieren, scannt der Dienst automatisch alle unterstützten Ressourcen in dieser Organisation oder diesem Projekt. Umgekehrt gilt: Wenn Sie VM Bedrohungserkennung für eine Organisation oder ein Projekt deaktivieren, beendet der Dienst das Scannen aller unterstützten Ressourcen darin.
So aktivieren oder deaktivieren Sie VM Bedrohungserkennung:
Console
Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Seite „Dienstaktivierung“.
Wählen Sie in der Spalte Virtual Machine Threat Detection die aktuelle und wählen Sie eine der folgenden Optionen aus:
- Aktivieren: VM Threat Detection aktivieren
- Deaktivieren: Deaktivieren Sie die VM-Bedrohungserkennung.
- Übernehmen: Der Aktivierungsstatus wird vom übergeordneten Ordner oder der übergeordneten Organisation übernommen. Nur für Projekte und Ordner verfügbar.
gcloud
Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organization,folderoderproject) -
RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden. -
NEW_STATE:ENABLED, um die VM-Bedrohungserkennung zu aktivieren,DISABLED, um sie zu deaktivieren, oderINHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)
Führen Sie den Befehl gcloud scc manage services update aus:
Linux, macOS oder Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Sie sollten eine Antwort ähnlich der folgenden erhalten:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.patch der Security Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organizations,foldersoderprojects) -
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll -
RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden. -
NEW_STATE:ENABLED, um die VM-Bedrohungserkennung zu aktivieren,DISABLED, um sie zu deaktivieren, oderINHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)
HTTP-Methode und URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
JSON-Text anfordern:
{
"intendedEnablementState": "NEW_STATE"
}
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
VM Bedrohungserkennungs-Modul aktivieren oder deaktivieren
So aktivieren oder deaktivieren Sie einen einzelnen VM-Bedrohungserkennung-Detektor, auch Modul genannt: Änderungen an Einstellungen werden spätestens nach einer Stunde wirksam.
Informationen zu allen VM Threat Detection-Bedrohungsergebnissen und den Modulen von denen sie generiert werden, Bedrohungsindikatoren:
Console
In der Google Cloud Console können Sie VM-Bedrohungserkennungsmodule auf Ebene der Organisation aktivieren oder deaktivieren. So aktivieren oder deaktivieren Sie VM Threat Detection auf Ordner- oder Projektebene zu erstellen, verwenden Sie die gcloud CLI oder die REST API
Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Module.
Wählen Sie in der Spalte Status den aktuellen Status des Moduls aus, aktivieren oder deaktivieren möchten. Wählen Sie dann eine der folgenden Optionen aus:
- Aktivieren: Aktiviert das Modul.
- Deaktivieren: Deaktivieren Sie das Modul.
gcloud
Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organization,folderoderproject) -
RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden. -
MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. für gültige finden Sie unter Bedrohungsindikatoren -
NEW_STATE:ENABLED, um das Modul zu aktivieren,DISABLED, um es zu deaktivieren, oderINHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Führen Sie den Befehl gcloud scc manage services update aus:
Linux, macOS oder Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Sie sollten eine Antwort ähnlich der folgenden erhalten:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Die Security Center Management API
RESOURCE_TYPE.locations.securityCenterServices.patch
aktualisiert den Status eines Security Command Center-Dienstes oder -Moduls.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organizations,foldersoderprojects) -
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll -
RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden. -
MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Ergebnisse zu Bedrohungen. -
NEW_STATE:ENABLED, um das Modul zu aktivieren,DISABLED, um es zu deaktivieren, oderINHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)
HTTP-Methode und URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
JSON-Text anfordern:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Einstellungen der VM Bedrohungserkennungs-Module ansehen
Informationen zu allen Bedrohungsergebnissen der VM Threat Detection und den Modulen, die sie generieren, finden Sie in der Tabelle Bedrohungsergebnisse.
Console
In der Google Cloud Console können Sie die Einstellungen für VM Threat Detection ansehen auf Organisationsebene an. Verwenden Sie die gcloud CLI oder die REST API, um sich die Einstellungen für VM-Modul zur Bedrohungserkennung auf Ordner- oder Projektebene anzusehen.
Rufen Sie in der Google Cloud Console die Seite Module zur Bedrohungserkennung für virtuelle Maschinen auf, um die Einstellungen aufzurufen.
gcloud
Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations,foldersoderprojects) -
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll -
RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, die bzw. das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Führen Sie den
gcloud scc manage services update
Befehl:
Linux, macOS oder Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Die Security Center Management API
RESOURCE_TYPE.locations.securityCenterServices.get
den Status eines Security Command Center-Dienstes oder -Moduls abgerufen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations,foldersoderprojects) -
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll -
RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, die bzw. das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
HTTP-Methode und URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Softwarenamen und YARA-Regeln für die Erkennung von Kryptowährungs-Mining
Die folgenden Listen enthalten die Namen von Binärdateien und YARA-Regeln, die Ergebnisse für Kryptowährungs-Mining auslösen. Maximieren Sie die Knoten, um die Listen aufzurufen.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU Miner: Mining-Software für die Arionum-Kryptowährung
- Avermore: Mining-Software für Scrypt-basierte Kryptowährungen
- Beam CUDA Miner: Mining-Software für Equihash-basierte Kryptowährungen
- Beam OpenCL Miner: Mining-Software für Equihash-basierte Kryptowährungen
- BFGMiner: ASIC/FPGA-basierte Mining-Software für Bitcoin
- BMiner: Mining-Software für verschiedene Kryptowährungen
- Cast XMR: Mining-Software für CryptoNight-basierte Kryptowährungen
- ccminer: CUDA-basierte Mining-Software
- cgminer: ASIC/FPGA-basierte Mining-Software für Bitcoin
- Claymore's Miner: GPU-basierte Mining-Software für verschiedene Kryptowährungen
- CPUMiner: Familie CPU-basierter Mining-Software
- CryptoDredge: Mining-Softwarefamilie für CryptoDredge
- CryptoGoblin: Mining-Software für CryptoNight-basierte Kryptowährungen
- DamoMiner: GPU-basierte Mining-Software für Ethereum und andere Kryptowährungen
- DigitsMiner: Mining-Software für Digits
- EasyMiner: Mining-Software für Bitcoin und andere Kryptowährungen
- Ethminer: Mining-Software für Ethereum und andere Kryptowährungen
- EWBF: Mining-Software für Equihash-basierte Kryptowährungen
- FinMiner: Mining-Software für Ethash- und CryptoNight-basierte Kryptowährungen
- Funakoshi Miner: Bergbausoftware für Bitcoin-Gold-Kryptowährungen
- Geth: Mining-Software für Ethereum
- GMiner: Mining-Software für verschiedene Kryptowährungen
- gominer: Mining-Software für Verringert
- GrinGoldMiner: Mining-Software für Grinden
- Hush: Bergbau-Software für Zcash-basierte Kryptowährungen
- IxiMiner: Mining-Software für Ixian
- kawpowminer: Mining-Software für Ravencoin
- Komodo: Mining-Softwarefamilie für Komodo
- lolMiner: Mining-Software für verschiedene Kryptowährungen
- lukMiner: Mining-Software für verschiedene Kryptowährungen
- MinerGate: Mining-Software für verschiedene Kryptowährungen
- miniZ: Mining-Software für Equihash-basierte Kryptowährungen
- Mirai: Malware, die zum Mining von Kryptowährungen verwendet werden kann
- MultiMiner: Mining-Software für verschiedene Kryptowährungen
- nanominer: Mining-Software für verschiedene Kryptowährungen
- NBMiner: Mining-Software für verschiedene Kryptowährungen
- Nevermore: Mining-Software für verschiedene Kryptowährungen
- nheqminer: Mining-Software für NiceHash
- NinjaRig: Mining-Software für Argon2-basierte Kryptowährungen
- NodeCore PoW CUDA Miner: Mining-Software für VeriBlock
- NoncerPro: Mining-Software für Nimiq
- Optiminer/Equihash: Mining-Software für Equihash-basierte Kryptowährungen
- PascalCoin: Mining-Softwarefamilie für PascalCoin
- PhoenixMiner: Mining-Software für Ethereum
- Pooler CPU Miner: Mining-Software für Litecoin und Bitcoin
- ProgPoW Miner: Mining-Software für Ethereum und andere Kryptowährungen
- rhminer: Mining-Software für PascalCoin
- sgminer: Mining-Software für Scrypt-basierte Kryptowährungen
- simplecoin: Mining-Softwarefamilie für verschlüsselungsbasierte Verschlüsselung SimpleCoin
- Skypool Nimiq Miner: Mining-Software für Nimiq
- SwapReferenceMiner: Mining-Software für Grinden
- Team Red Miner: AMD-basierte Mining-Software für verschiedene Kryptowährungen
- T-Rex: Mining-Software für verschiedene Kryptowährungen
- TT-Miner: Mining-Software für verschiedene Kryptowährungen
- Ubqminer: Mining-Software für Ubqhash-basierte Kryptowährungen
- VersusCoin: Mining-Software für VersusCoin
- violetminer: Mining-Software für Argon2-basierte Kryptowährungen
- webchain-miner: Mining-Software für MintMe
- WildRig: Mining-Software für verschiedene Kryptowährungen
- XCASH_ALL_Miner: Mining-Software für XCASH
- xFash: Mining-Software für MinerGate
- XLArig: Mining-Software für CryptoNight Kryptowährungen
- XMRig: Mining-Software für verschiedene Kryptowährungen
- Xmr-Stak: Mining-Software für CryptoNight Kryptowährungen
- XMR-Stak TurtleCoin: Mining-Software für CryptoNight-basierte Kryptowährungen
- Xtl-Stak: Mining-Software für CryptoNight Kryptowährungen
- Yam Miner: Mining-Software für MinerGate
- YCash: Mining-Software für YCash
- ZCoin: Mining-Software für ZCoin/Fire
- Zealot/Enemy: Mining-Software für verschiedene Kryptowährungen
- Kryptowährungs-Miner-Signal1
1 Der allgemeine Bedrohungsname weist darauf hin, dass eine unbekannte Kryptominer läuft möglicherweise in der VM, aber VM Threat Detection keine spezifischen Informationen zum Miner.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: entspricht einer Mining-Software für Monero
- YARA_RULE9: entspricht Mining-Software, die Blake2- und AES-Chiffren verwendet
- YARA_RULE10: entspricht Mining-Software, die die CryptoNight Routine für den Arbeitsnachweis
- YARA_RULE15: entspricht einer Mining-Software für NBMiner
- YARA_RULE17: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
- YARA_RULE18: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
- YARA_RULE19: entspricht einer Mining-Software für BFGMiner
- YARA_RULE24: entspricht einer Mining-Software für XMR-Stak
- YARA_RULE25: entspricht einer Mining-Software für XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: entspricht einer Mining-Software für BFGMiner
Nächste Schritte
- Weitere Informationen zur VM Threat Detection
- Hier erfahren Sie, wie Sie Ergebnisse von VM Threat Detection untersuchen