Usar Virtual Machine Threat Detection

En esta página, se describe cómo ver y administrar los resultados de VM Threat Detection. También se muestra cómo habilitar o inhabilitar el servicio y sus módulos.

Descripción general

Virtual Machine Threat Detection es un servicio integrado de Security Command Center que está disponible en los niveles Enterprise y Premium. Este servicio analiza las instancias de Compute Engine para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube vulnerados.

VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta la descripción general de VM Threat Detection.

Costos

Después de inscribirte en la versión Premium de Security Command Center, no hay costo adicional por usar VM Threat Detection.

Antes de comenzar

Para usar esta función, debes estar inscrito en la versión Premium de Security Command Center.

Además, necesitas roles adecuados de administración de identidades y accesos (IAM) para ver o editar los resultados y modificar los recursos de Google Cloud. Si te encuentras con errores de acceso en Security Command Center, pídele asistencia al administrador. Para obtener más información sobre los roles, consulta Control de acceso.

Probar VM Threat Detection

Para probar la detección de minería de criptomonedas de VM Threat Detection, puedes ejecutar una aplicación de minería de criptomonedas en tu VM. Para obtener una lista de nombres binarios y reglas de YARA que activen los resultados, consulta Nombres de software y reglas de YARA. Si instalas y pruebas aplicaciones de minería, te recomendamos que solo ejecutes aplicaciones en un entorno de prueba aislado, supervises su uso de cerca y las quites por completo después de las pruebas.

Para probar la detección de software malicioso de VM Threat Detection, puedes descargar aplicaciones de software malicioso en tu VM. Si descargas software malicioso, te recomendamos que lo hagas en un entorno de prueba aislado y que lo quites por completo después de la prueba.

Revisa los resultados en la consola de Google Cloud

Para revisar los resultados de VM Threat Detection en la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Virtual Machine Threat Detection. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Para obtener información más detallada sobre cómo responder a cada resultado de VM Threat Detection, consulta Respuesta de VM Threat Detection.

Para obtener una lista de los resultados de VM Threat Detection, consulta Resultados.

Gravedad

A los resultados de VM Threat Detection se les asigna gravedad Alta, Media y Baja según la confianza de la clasificación de amenazas.

Detecciones combinadas

Las detecciones combinadas se producen cuando se detectan varias categorías de resultados en un día. Una o más aplicaciones maliciosas pueden generar los resultados. Por ejemplo, una sola aplicación puede activar los resultados Execution: Cryptocurrency Mining YARA Rule y Execution: Cryptocurrency Mining Hash Match de forma simultánea. Sin embargo, todas las amenazas detectadas desde una sola fuente en el mismo día se incluyen en un resultado de detección combinada. En los días siguientes, si se encuentran más amenazas, incluso las mismas, se adjuntan a resultados nuevos.

Para ver un ejemplo de un resultado de detección combinada, consulta Ejemplos de formatos de hallazgos.

Ejemplos de formatos de resultados

Estos ejemplos de salida de JSON contienen campos comunes a los resultados de VM Threat Detection. En cada ejemplo, solo se muestran los campos relevantes para el tipo de hallazgo. No proporciona una lista exhaustiva de campos.

Puedes exportar resultados a través de la consola de Security Command Center o enumerar resultados a través de la API de Security Command Center.

Para ver los hallazgos de ejemplo, expande uno o más de los siguientes nodos. Para obtener información sobre cada campo del hallazgo, consulta Finding.

Defense Evasion: Rootkit

En este ejemplo de salida, se muestra el hallazgo de un rootkit conocido en modo kernel: Diamorphine.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
      

Defense Evasion: Unexpected ftrace handler (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected interrupt handler (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel code modification (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel modules (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel read-only data modification (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kprobe handler (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected processes in runqueue (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected system call handler (vista previa)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Execution: Cryptocurrency Mining Combined Detection

En este ejemplo de salida, se muestra una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining Hash Match Detection

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining YARA Rule

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Malware: Malicious file on disk (YARA)

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_4"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_3"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Cambia el estado de los resultados

Cuando resuelves amenazas identificadas por VM Threat Detection, el servicio no establece automáticamente el estado de un resultado en Inactivo en análisis posteriores. Debido a la naturaleza de nuestro dominio de amenazas, VM Threat Detection no puede determinar si una amenaza se mitiga o si cambió para evitar la detección.

Cuando tus equipos de seguridad estén satisfechos con la mitigación de una amenaza, pueden realizar los siguientes pasos para cambiar el estado de los resultados a inactivo.

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. Junto a Ver por, haz clic en Tipo de fuente.

  3. En la lista Tipo de fuente, selecciona Virtual Machine Threat Detection. Una tabla se propaga con los resultados para el tipo de fuente que seleccionaste.

  4. Selecciona la casilla de verificación junto a los resultados que se resuelven.

  5. Haz clic en Cambiar el estado activo.

  6. Haz clic en Inactivo.

Habilita o inhabilita VM Threat Detection

VM Threat Detection se habilita de forma predeterminada para todos los clientes que se inscriban en Security Command Center Premium después del 15 de julio de 2022, que es cuando este servicio estuvo disponible para el público en general. Si es necesario, puedes inhabilitarlo o volver a habilitarlo de forma manual para tu proyecto o organización.

Cuando habilitas VM Threat Detection en una organización o proyecto, el servicio analiza automáticamente todos los recursos compatibles en esa organización o proyecto. Por el contrario, cuando inhabilitas VM Threat Detection en una organización o proyecto, el servicio deja de analizar todos los recursos compatibles en él.

Para habilitar o inhabilitar VM Threat Detection, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Habilitación del servicio de detección de amenazas de máquinas virtuales.

    Ir a Habilitación de servicios

  2. En la columna Virtual Machine Threat Detection, selecciona el estado actual y, luego, elige una de las siguientes opciones:

    • Habilitar: Habilita VM Threat Detection.
    • Disable: Inhabilita VM Threat Detection.
    • Heredar: Hereda el estado de habilitación de la carpeta superior o la organización. Solo está disponible para proyectos y carpetas.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organization, folder o project)
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • NEW_STATE: ENABLED para habilitar VM Threat Detection, DISABLED para inhabilitarlo o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas).

Ejecuta el comando gcloud scc manage services update: :

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organizations, folders o projects)
  • QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • NEW_STATE: ENABLED para habilitar VM Threat Detection, DISABLED para inhabilitarlo o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas).

Método HTTP y URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState

Cuerpo JSON de la solicitud:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Habilita o inhabilita un módulo de VM Threat Detection

Para habilitar o inhabilitar un detector individual de VM Threat Detection, también conocido como módulo, haz lo siguiente: Los cambios pueden tardar hasta una hora en aplicarse.

Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta Resultados de amenazas.

Console

La consola de Google Cloud te permite habilitar o inhabilitar los módulos de VM Threat Detection a nivel de la organización. Para habilitar o inhabilitar los módulos de detección de amenazas de VM a nivel de la carpeta o el proyecto, usa gcloud CLI o la API de REST.

  1. En la consola de Google Cloud, ve a la página Módulos de detección de amenazas de máquinas virtuales.

    Ir a Módulos

  2. En la columna Estado, selecciona el estado actual del módulo que quieres habilitar o inhabilitar y, luego, elige una de las siguientes opciones:

    • Habilitar: Habilita el módulo.
    • Inhabilitar: Inhabilita el módulo.

gcloud

El comando gcloud scc manage services update actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organization, folder o project)
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para ver los valores válidos, consulta Resultados de amenazas.
  • NEW_STATE: ENABLED para habilitar el módulo, DISABLED para inhabilitarlo o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas)

Guarda el siguiente código en un archivo llamado request.json.

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Ejecuta el comando gcloud scc manage services update: :

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.patch de la API de Security Command Center Management actualiza el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: El tipo de recurso que se actualizará (organizations, folders o projects)
  • QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se actualizará. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.
  • MODULE_NAME: Es el nombre del módulo que se habilitará o inhabilitará. Para ver los valores válidos, consulta Resultados de amenazas.
  • NEW_STATE: ENABLED para habilitar el módulo, DISABLED para inhabilitarlo o INHERITED para heredar el estado de habilitación del recurso superior (solo válido para proyectos y carpetas)

Método HTTP y URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules

Cuerpo JSON de la solicitud:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Consulta la configuración de los módulos de VM Threat Detection

Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta la tabla Resultados de amenazas.

Console

La consola de Google Cloud te permite ver la configuración de los módulos de VM Threat Detection a nivel de la organización. Para ver la configuración de los módulos de Detección de amenazas de VM a nivel de la carpeta o el proyecto, usa gcloud CLI o la API de REST.

Para ver la configuración en la consola de Google Cloud, ve a la página Módulos de detección de amenazas de máquinas virtuales.

Ir a Módulos

gcloud

El comando gcloud scc manage services update obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
  • QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Guarda el siguiente código en un archivo llamado request.json.

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Ejecuta el comando gcloud scc manage services update: :

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

El método RESOURCE_TYPE.locations.securityCenterServices.get de la API de Security Command Center Management obtiene el estado de un servicio o módulo de Security Command Center.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • RESOURCE_TYPE: Es el tipo de recurso que se obtendrá (organizations, folders o projects).
  • QUOTA_PROJECT: El ID del proyecto que se usará para la facturación y el seguimiento de cuotas
  • RESOURCE_ID: Es el identificador numérico de la organización, la carpeta o el proyecto que se obtendrá. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto.

Método HTTP y URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Nombres de software y reglas de YARA para la detección de minería de criptomonedas

En las siguientes listas, se incluyen los nombres de los objetos binarios y las reglas de YARA que activan los resultados de minería de criptomonedas. Para ver las listas, expande los nodos.

Execution: Cryptocurrency Mining Hash Match

  • Arionum CPU miner: Software de minería para la criptomoneda Arionum
  • Avermore: Software de minería para criptomonedas basadas en scrypt
  • Beam CUDA miner: Software de minería para criptomonedas basadas en Equihash
  • Beam OpenCL miner: Software de minería para criptomonedas basadas en Equihash
  • BFGMiner: Software de minería basado en ASIC/FPGA para Bitcoin
  • BMiner: Software de minería para varias criptomonedas
  • Cast XMR: Software de minería para criptomonedas basadas en CryptoNight
  • ccminer: Software de minería basado en CUDA
  • cgminer: Software de minería basado en ASIC/FPGA para Bitcoin
  • Claymore's miner: Software de minería basado en GPU para varias criptomonedas
  • CPUMiner: Familia de software de minería basado en CPU
  • CryptoDredge: Familia de software de minería para CryptoDredge
  • CryptoGoblin: Software de minería para criptomonedas basadas en CryptoNight
  • DamoMiner: Software de minería basado en GPU para Ethereum y otras criptomonedas
  • DigitsMiner: Software de minería para Digits
  • EasyMiner: Software de minería para Bitcoin y otras criptomonedas
  • Ethminer: Software de minería para Ethereum y otras criptomonedas
  • EWBF: software de minería para criptomonedas basadas en Equihash
  • FinMiner: software de minería para criptomonedas basadas en Ethash y CryptoNight
  • Funakoshi Miner: Software de minería para criptomonedas de Bitcoin-Gold
  • Geth: Software de minería para Ethereum
  • GMiner: Software de minería para varias criptomonedas
  • gominer: Software de minería para Decred
  • GrinGoldMiner: Software de minería para Grin
  • Hush: Software de minería para criptomonedas basadas en Zcash
  • IxiMiner: Software de minería para Ixian
  • kawpowminer: Software de minería para Ravencoin
  • Komodo: Familia de software de minería para Komodo
  • lolMiner: Software de minería para varias criptomonedas
  • lukMiner: Software de minería para varias criptomonedas
  • MinerGate: Software de minería para varias criptomonedas
  • miniZ: Software de minería para criptomonedas basadas en Equihash
  • Mirai: software malicioso que se puede usar para extraer criptomonedas
  • MultiMiner: Software de minería para varias criptomonedas
  • nanominer: Software de minería para varias criptomonedas
  • NBMiner: Software de minería para varias criptomonedas
  • Nevermore: Software de minería para varias criptomonedas
  • nheqminer: Software de minería para NiceHash
  • NinjaRig: Software de minería para criptomonedas basadas en Argon2
  • NodeCore PoW CUDA Miner: Software de minería para VeriBlock
  • NoncerPro: Software de minería para Nimiq
  • Optiminer/Equihash: Software de minería para criptomonedas basadas en Equihash
  • PascalCoin: Familia de software de minería para PascalCoin
  • PhoenixMiner: Software de minería para Ethereum
  • Pooler CPU Miner: Software de minería para Litecoin y Bitcoin
  • ProgPoW Miner: Software de minería para Ethereum y otras criptomonedas
  • rhminer: Software de minería para PascalCoin
  • sgminer: Software de minería para criptomonedas basadas en scrypt
  • simplecoin: Familia de software de minería para SimpleCoin basado en scrypt
  • Skypool Nimiq Miner: Software de minería para Nimiq
  • SwapReferenceMiner: Software de minería para Grin
  • Team Red Miner: Software de minería basado en AMD para varias criptomonedas
  • T-Rex: Software de minería para varias criptomonedas
  • TT-Miner: Software de minería para varias criptomonedas
  • Ubqminer: Software de minería para criptomonedas basadas en Ubqhash
  • VersusCoin: Software de minería para VersusCoin
  • violetminer: Software de minería para criptomonedas basadas en Argon2
  • webchain-miner: Software de minería para MintMe
  • WildRig: Software de minería para varias criptomonedas
  • XCASH_ALL_Miner: Software de minería para XCASH
  • xFash: Software de minería para MinerGate
  • XLArig: Software de minería para criptomonedas basadas en CryptoNight
  • XMRig: Software de minería para varias criptomonedas
  • Xmr-Stak: Software de minería para criptomonedas basadas en CryptoNight
  • XMR-Stak TurtleCoin: Software de minería para criptomonedas basadas en CryptoNight
  • Xtl-Stak: Software de minería para criptomonedas basadas en CryptoNight
  • Yam Miner: Software de minería para MinerGate
  • YCash: Software de minería para YCash
  • ZCoin: Software de minería para ZCoin/Fire
  • Zealot/Enemy: Software de minería para varias criptomonedas
  • Indicador de minera de criptomoneda1

1 Este nombre genérico de amenaza indica que un miner de criptomonedas desconocido puede operar en la VM, pero VM Threat Detection no tiene información específica sobre el miner.

Execution: Cryptocurrency Mining YARA Rule

  • YARA_RULE1: Coincide con el software de minería de Monero
  • YARA_RULE9: Coincide con el software de minería que usa el algoritmo de cifrado Blake2 y AES
  • YARA_RULE10: Coincide con el software de minería que usa la rutina de prueba de trabajo de CryptoNight
  • YARA_RULE15: Coincide con el software de minería de NBMiner
  • YARA_RULE17: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
  • YARA_RULE18: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
  • YARA_RULE19: Coincide con el software de minería de BFGMiner
  • YARA_RULE24: Coincide con el software de minería de XMR-Stak
  • YARA_RULE25: Coincide con el software de minería de XMRig
  • DYNAMIC_YARA_RULE_BFGMINER_2: Coincide con el software de minería de BFGMiner

¿Qué sigue?