Utiliser Virtual Machine Threat Detection

Cette page explique comment afficher et gérer les résultats de VM Threat Detection. Elle vous montre également comment activer ou désactiver le service et ses modules.

Présentation

Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, permet de détecter les menaces grâce à une instrumentation au niveau de l'hyperviseur et à une analyse des disques persistants. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans des environnements cloud compromis.

VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.

Pour en savoir plus, consultez la page Présentation de VM Threat Detection.

Coûts

Une fois que vous êtes inscrit à Security Command Center Premium, l'utilisation de VM Threat Detection n'entraîne aucun coût supplémentaire.

Avant de commencer

Pour utiliser cette fonctionnalité, vous devez être abonné à Security Command Center Premium.

En outre, vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès.

Tester VM Threat Detection

Pour tester la détection du minage de cryptomonnaie de VM Threat Detection, vous pouvez exécuter une application de minage de cryptomonnaie sur votre VM. Pour obtenir la liste des noms binaires et des règles YARA qui déclenchent des résultats, consultez la section Noms de logiciels et règles YARA. Si vous installez et testez des applications de minage, nous vous recommandons de n'exécuter les applications que dans un environnement de test isolé, de surveiller de près leur utilisation et de les supprimer complètement après les tests.

Pour tester la détection des logiciels malveillants de VM Threat Detection, vous pouvez télécharger des applications malveillantes sur votre VM. Si vous téléchargez des logiciels malveillants, nous vous recommandons de le faire dans un environnement de test isolé et de les supprimer complètement après les tests.

Examiner les résultats dans la console Google Cloud

Pour examiner les résultats de VM Threat Detection dans la console Google Cloud, procédez comme suit:

  1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

    Accéder à la page "Résultats"

  2. Si nécessaire, sélectionnez votre projet ou votre organisation Google Cloud.

    Sélecteur de projet

  3. Dans la section Filtres rapides de la sous-section Nom à afficher source, sélectionnez Virtual Machine Threat Detection.

    Si vous ne voyez pas Virtual Machine Threat Detection, cliquez sur Afficher plus. Dans la boîte de dialogue, recherchez Virtual Machine Threat Detection.

  4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.

  5. Dans l'onglet Résumé, consultez les informations sur le résultat, y compris les informations sur le binaire détecté, la ressource affectée, etc.

  6. Dans le panneau des détails, cliquez sur l'onglet JSON pour afficher le fichier JSON complet du résultat.

Pour en savoir plus sur la manière de répondre à chaque résultat de VM Threat Detection, consultez la page Réponse de VM Threat Detection.

Pour obtenir la liste des résultats de VM Threat Detection, consultez la page Résultats.

Gravité

Les résultats de VM Threat Detection se voient attribuer un niveau de gravité Élevé, Moyenne et Faible en fonction du niveau de confiance de la classification des menaces.

Détections combinées

Des détections combinées se produisent lorsque plusieurs catégories de résultats sont détectées au cours d'une même journée. Une ou plusieurs applications malveillantes peuvent être à l'origine des résultats. Par exemple, une même application peut déclencher simultanément les résultats Execution: Cryptocurrency Mining YARA Rule et Execution: Cryptocurrency Mining Hash Match. Cependant, toutes les menaces détectées à partir d'une source unique au cours du même jour sont regroupées dans un résultat de détection combinée. Dans les jours suivants, si d'autres menaces, même identiques, sont détectées, elles sont associées à de nouveaux résultats.

Pour obtenir un exemple de résultat de détection combinée, consultez la section Exemples de formats de recherche.

Exemples de formats de résultat

Ces exemples de résultats JSON contiennent des champs communs aux résultats de VM Threat Detection. Chaque exemple n'affiche que les champs pertinents pour le type de résultat. Il ne fournit pas une liste exhaustive de champs.

Vous pouvez exporter les résultats via le tableau de bord Security Command Center ou répertorier les résultats via l'API Security Command Center.

Pour afficher les exemples de résultats, développez un ou plusieurs des nœuds suivants. Pour en savoir plus sur chaque champ du résultat, consultez Finding.

Les valeurs des champs (comme les noms des règles YARA) utilisées par VM Threat Detection lors d'une preview peuvent changer lorsque la fonctionnalité passe en phase de disponibilité générale.

Defense Evasion: RootkitAperçu

Cet exemple de résultat montre la découverte d'un rootkit en mode noyau connu: Diamorphine.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
      

Defense Evasion: Unexpected ftrace handlerAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected interrupt handlerAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel code modificationAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel modulesAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel read-only data modificationAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kprobe handlerAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected processes in runqueueAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected system call handlerAperçu

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Execution: Cryptocurrency Mining Combined Detection

Cet exemple de résultat montre une menace détectée à la fois par les modules CRYPTOMINING_HASH et CRYPTOMINING_YARA.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining Hash Match Detection

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining YARA Rule

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Malware: Malicious file on disk (YARA)Aperçu

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_1"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_2"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Modifier l'état des résultats

Lorsque vous résolvez les menaces identifiées par VM Threat Detection, le service ne définit pas automatiquement l'état d'un résultat sur Inactif dans les analyses suivantes. En raison de la nature de notre domaine de gestion des menaces, VM Threat Detection ne peut pas déterminer si une menace a été atténuée ou si elle a changé pour éviter la détection.

Lorsque vos équipes de sécurité considèrent que la menace est minimale, elles peuvent effectuer les étapes suivantes pour définir les résultats à l'état inactif.

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud.

    Accéder

  2. À côté de Afficher par, cliquez sur Type de source.

  3. Dans la liste Type de source, sélectionnez Virtual Machine Threat Detection. Un tableau présente les résultats correspondant au type de source que vous avez sélectionné.

  4. Cochez la case à côté des résultats résolus.

  5. Cliquez sur Modifier l'état de l'activité.

  6. Cliquez sur Inactif.

Activer ou désactiver VM Threat Detection

VM Threat Detection est activée par défaut pour tous les clients qui s'inscrivent à Security Command Center Premium après le 15 juillet 2022, date à laquelle ce service est devenu en disponibilité générale. Si nécessaire, vous pouvez la désactiver ou la réactiver manuellement pour votre projet ou votre organisation.

Lorsque vous activez VM Threat Detection sur une organisation ou un projet, le service analyse automatiquement toutes les ressources compatibles de cette organisation ou ce projet. À l'inverse, lorsque vous désactivez VM Threat Detection pour une organisation ou un projet, le service arrête d'analyser toutes les ressources compatibles qu'il contient.

Pour activer ou désactiver VM Threat Detection, procédez comme suit:

Console

Dans la console Google Cloud, vous pouvez activer ou désactiver VM Threat Detection via l'onglet Services de la page Paramètres.

Accéder aux services

Pour en savoir plus, consultez la section Activer ou désactiver un service intégré.

cURL

envoyez une requête PATCH :

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'

Remplacez les éléments suivants :

  • X_GOOG_USER_PROJECT : projet à facturer pour les frais d'accès associés aux analyses de VM Threat Detection.
  • RESOURCE : type de ressource à analyser (organizations ou projects).
  • RESOURCE_ID: identifiant de l'organisation ou du projet pour lequel vous souhaitez activer ou désactiver VM Threat Detection.
  • NEW_STATE: état dans lequel vous souhaitez que VM Threat Detection (ENABLED ou DISABLED)

gcloud

Exécutez la commande ci-dessous.

gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION

Remplacez les éléments suivants :

  • ACTION: action que vous souhaitez effectuer sur le service VM Threat Detection (enable ou disable).
  • RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver VM Threat Detection (organization ou project).
  • RESOURCE_ID: identifiant de l'organisation ou du projet pour lequel vous souhaitez activer ou désactiver VM Threat Detection.

Activer ou désactiver un module de détection des menaces de VM

Pour activer ou désactiver un détecteur de VM Threat Detection individuel, également appelé module, procédez comme suit. La prise en compte des modifications peut prendre jusqu'à une heure.

Pour en savoir plus sur tous les résultats de menaces VM Threat Detection et sur les modules qui les génèrent, consultez le tableau des résultats de menaces.

Console

Consultez la section Activer ou désactiver un module.

cURL

Pour activer ou désactiver un module de détection des menaces de VM dans votre organisation ou votre projet, envoyez une requête PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
    -H "Content-Type: application/json; charset=utf-8" \
    -H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
    https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
    -d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'

Remplacez les éléments suivants :

  • X_GOOG_USER_PROJECT : projet facturé pour les frais d'accès associés aux analyses de VM Threat Detection.
  • RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver le module (organizations ou projects).
  • RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous souhaitez activer ou désactiver le module.
  • MODULE: module que vous souhaitez activer ou désactiver (par exemple, CRYPTOMINING_HASH)
  • NEW_STATE: état dans lequel vous souhaitez que le module se trouve (ENABLED ou DISABLED).

gcloud

Pour activer ou désactiver un module de détection des menaces de VM dans votre organisation ou votre projet, exécutez la commande suivante:

gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE

Remplacez les éléments suivants :

  • ACTION: action que vous souhaitez effectuer sur le module (enable ou disable).
  • RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver le module (organization ou project).
  • RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous souhaitez activer ou désactiver le module.
  • MODULE: module que vous souhaitez activer ou désactiver (par exemple, CRYPTOMINING_HASH)

Afficher les paramètres des modules VM Threat Detection

Pour en savoir plus sur tous les résultats de menaces VM Threat Detection et sur les modules qui les génèrent, consultez le tableau des résultats de menaces.

Console

Consultez la section Afficher les modules d'un service.

cURL

envoyez une requête GET :

curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
    -H "Content-Type: application/json; charset=utf-8" \
    -H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
    https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate

Remplacez les éléments suivants :

  • X_GOOG_USER_PROJECT : projet facturé pour les frais d'accès associés aux analyses de VM Threat Detection.
  • RESOURCE: type de ressource pour lequel vous souhaitez afficher les paramètres du module.
  • RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous souhaitez afficher les paramètres du module.

gcloud

Pour afficher les paramètres d'un seul module, exécutez la commande suivante:

gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE

Pour afficher les paramètres de tous les modules, exécutez la commande suivante:

gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION

Remplacez les éléments suivants :

  • RESOURCE: type de ressource pour lequel vous souhaitez afficher les paramètres du module (organization ou project).
  • RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous souhaitez afficher les paramètres du module.
  • MODULE: module que vous souhaitez afficher (par exemple, CRYPTOMINING_HASH).

Noms de logiciels et règles YARA pour la détection du minage de cryptomonnaie

Les listes suivantes incluent les noms des binaires et des règles YARA qui déclenchent des résultats de minage de cryptomonnaie. Pour afficher les listes, développez les nœuds.

Execution: Cryptocurrency Mining Hash Match

  • Arionum CPU miner : logiciel de minage pour la cryptomonnaie Arionum
  • Avermore : logiciel de minage pour les cryptomonnaies basées sur scrypt
  • Beam CUDA miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
  • Beam OpenCL miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
  • BFGMiner : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
  • BMiner : logiciel de minage pour diverses cryptomonnaies
  • Cast XMR : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
  • ccminer : logiciel de minage basé sur CUDA
  • cgminer : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
  • Claymore's miner : logiciel de minage basé sur le GPU pour diverses cryptomonnaies
  • CPUMiner : famille de logiciels de minage basés sur processeur
  • CryptoDredge : famille de logiciels de minage pour CryptoDredge
  • CryptoGoblin : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
  • DamoMiner : logiciel de minage basé sur le GPU pour Ethereum et d'autres cryptomonnaies
  • DigitsMiner : logiciel de minage pour Digits
  • EasyMiner : logiciels de minage pour Bitcoin et d'autres cryptomonnaies
  • Ethminer : logiciel de minage pour Ethereum et d'autres cryptomonnaies
  • EWBF : logiciel de minage pour les cryptomonnaies basés sur Equihash
  • FinMiner : logiciel de minage pour les cryptomonnaies basées sur Ethash et CryptoNight
  • Funakoshi Miner : logiciel de minage pour les cryptomonnaies Bitcoin-Gold
  • Geth : logiciel de minage pour Ethereum
  • GMiner : logiciel de minage pour diverses cryptomonnaies
  • gominer : logiciel de minage pour Decred
  • GrinGoldMiner : logiciel de minage pour Grin
  • Hush : logiciel de minage pour les cryptomonnaies basés sur Zcash
  • IxiMiner : logiciel de minage pour Ixian
  • kawpowminer : logiciel de minage pour Ravencoin
  • Komodo : famille de logiciels de minage pour Komodo
  • lolMiner : logiciel de minage pour diverses cryptomonnaies
  • lukMiner : logiciel de minage pour diverses cryptomonnaies
  • MinerGate : logiciel de minage pour diverses cryptomonnaies
  • miniZ : logiciel de minage pour les cryptomonnaies basées sur Equihash
  • Mirai : logiciel malveillant pouvant servir à miner des cryptomonnaies
  • MultiMiner : logiciel de minage pour diverses cryptomonnaies
  • nanominer : logiciel de minage pour diverses cryptomonnaies
  • NBMiner : logiciel de minage pour diverses cryptomonnaies
  • Nevermore : logiciel de minage pour diverses cryptomonnaies
  • nheqminer : logiciel de minage pour NiceHash
  • NinjaRig : logiciel de minage pour les cryptomonnaies basées sur Argon2
  • NodeCore PoW CUDA Miner : logiciel de minage pour VeriBlock
  • NoncerPro : logiciel de minage pour Nimiq
  • Optiminer/Equihash : logiciel de minage pour les cryptomonnaies basées sur Equihash
  • PascalCoin : famille de logiciels de minage pour PascalCoin
  • PhoenixMiner : logiciel de minage pour Ethereum
  • Pooler CPU Miner : logiciel de minage pour Litecoin et Bitcoin
  • ProgPoW Miner : logiciel de minage pour Ethereum et d'autres cryptomonnaies
  • rhminer : logiciel de minage pour PascalCoin
  • sgminer : logiciel de minage pour les cryptomonnaies basées sur scrypt
  • simplecoin : famille de logiciels de minage pour SimpleCoin basé sur scrypt
  • Skypool Nimiq Miner : logiciel de minage pour Nimiq
  • SwapReferenceMiner : logiciel de minage pour Grin
  • Team Red Miner : logiciel de minage basé sur AMD pour diverses cryptomonnaies
  • T-Rex : logiciel de minage pour diverses cryptomonnaies
  • TT-Miner : logiciel de minage pour diverses cryptomonnaies
  • Ubqminer : logiciel de minage pour les cryptomonnaies basées sur Ubqhash
  • VersusCoin : logiciel de minage pour VersusCoin
  • Mineminer : logiciel de minage pour les cryptomonnaies basées sur Argon2
  • webchain-miner : logiciel de minage pour MintMe
  • WildRig : logiciel de minage pour diverses cryptomonnaies
  • XCASH_ALL_Miner : logiciel de minage pour XCASH
  • xFash : logiciel de minage pour MinerGate
  • XLArig : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
  • XMRig : logiciel de minage pour diverses cryptomonnaies
  • Xmr-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
  • XMR-Stak TurleCoin : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
  • Xtl-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
  • Yam Miner : logiciel de minage pour MinerGate
  • YCash : logiciel de minage pour YCash
  • ZCoin : logiciel de minage pour ZCoin/Fire
  • Zealot/Enemy : logiciel de minage pour diverses cryptomonnaies
  • Signal de minage de cryptomonnaie1

1 Ce nom de menace générique indique qu'un logiciel de minage de cryptomonnaie inconnu peut fonctionner dans la VM, mais VM Threat Detection ne dispose pas d'informations spécifiques sur celui-ci.

Execution: Cryptocurrency Mining YARA Rule

  • YARA_RULE1 : correspond au logiciel de minage pour Monero.
  • YARA_RULE9 : correspond au logiciel de minage qui utilise l'algorithme de chiffrement Blake2 et AES.
  • YARA_RULE10 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité CryptoNight.
  • YARA_RULE15 : correspond au logiciel de minage pour NBMiner.
  • YARA_RULE17 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité Scrypt.
  • YARA_RULE18 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité Scrypt.
  • YARA_RULE19 : correspond au logiciel de minage pour BFGMiner.
  • YARA_RULE24 : correspond au logiciel de minage pour XMR-Stak.
  • YARA_RULE25 : correspond au logiciel de minage pour XMRig.
  • DYNAMIC_YARA_RULE_BFGMINER_2 : correspond au logiciel de minage pour BFGMiner.

Étapes suivantes