Cette page explique comment afficher et gérer les résultats de VM Threat Detection. Il y a aussi vous montre comment activer ou désactiver le service et ses modules.
Présentation
Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, fournit détection des menaces via une instrumentation au niveau de l'hyperviseur et des disques persistants l'analyse. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans dans les environnements cloud compromis.
VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.
Pour en savoir plus, consultez la page Présentation de VM Threat Detection.
Coûts
Une fois que vous êtes inscrit à Security Command Center Premium, l'utilisation de VM Threat Detection n'entraîne aucun coût supplémentaire.
Avant de commencer
Pour utiliser cette fonctionnalité, vous devez être abonné à Security Command Center Premium.
En outre, vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès.
Tester VM Threat Detection
Pour tester la détection du minage de cryptomonnaie de VM Threat Detection, vous pouvez exécuter de minage de cryptomonnaie sur votre VM. Pour obtenir une liste de noms binaires et Règles Yara : des résultats du déclencheur, consultez la section Noms de logiciels et YARA règles de confidentialité. Si vous installez et testez des applications de minage, nous vous recommandons de n'exécuter des applications que dans un environnement de test isolé, de surveiller de près leur utilisation et de les supprimer complètement après les tests.
Pour tester la détection des logiciels malveillants de VM Threat Detection, vous pouvez télécharger des logiciels malveillants des applications sur votre VM. Si vous téléchargez un logiciel malveillant, nous vous recommandons de le faire. dans un environnement de test isolé, puis les supprimer complètement tests.
Examiner les résultats dans la console Google Cloud
Pour examiner les résultats de VM Threat Detection dans la console Google Cloud, procédez comme suit : effectuer les opérations suivantes:
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Si nécessaire, sélectionnez votre projet ou votre organisation Google Cloud.
Dans la sous-section Nom à afficher pour la source de la section Filtres rapides : sélectionnez Virtual Machine Threat Detection.
Si vous ne voyez pas l'option Virtual Machine Threat Detection, cliquez sur Afficher plus Dans la boîte de dialogue, recherchez Virtual Machine Threat Detection :
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau des détails du résultat s'ouvre et s'affiche. dans l'onglet Résumé.
Dans l'onglet Résumé, examinez les informations sur le résultat, y compris des informations sur le binaire détecté, la ressource qui a été touchée, et plus encore.
Dans le panneau des détails, cliquez sur l'onglet JSON pour afficher le fichier JSON complet. pour le résultat.
Pour obtenir des informations plus détaillées sur la façon de répondre à chaque de VM Threat Detection, consultez Réponse de VM Threat Detection
Pour obtenir la liste des résultats de VM Threat Detection, consultez la page Résultats.
Gravité
Les résultats de VM Threat Detection sont associés aux valeurs Élevée, Moyenne et Faible. selon le niveau de confiance de classification des menaces.
Détections combinées
Des détections combinées se produisent lorsque plusieurs catégories de résultats sont détectées
dans la journée. Une ou plusieurs applications malveillantes peuvent être à l'origine des résultats. Par exemple, une même application peut déclencher simultanément les résultats Execution: Cryptocurrency Mining YARA Rule et Execution: Cryptocurrency
Mining Hash Match. Cependant, toutes les menaces détectées depuis une source unique
au cours d'une même journée sont regroupés dans un résultat de détection combinée. Dans
Aujourd'hui, si d'autres menaces, même identiques, sont détectées,
à de nouveaux résultats.
Pour obtenir un exemple de résultat de détection combinée, consultez la section Exemple de recherche formats.
Exemples de formats de résultat
Ces exemples de résultats JSON contiennent des champs communs à VM Threat Detection. les résultats. Chaque exemple n'affiche que les champs pertinents pour le type de résultat. cette ne fournit pas une liste exhaustive champs.
Vous pouvez exporter les résultats via Security Command Center tableau de bord ou liste via l'API Security Command Center.
Pour afficher les exemples de résultats, développez un ou plusieurs des nœuds suivants. Pour
des informations sur chaque champ du résultat, consultez
Finding.
Defense Evasion: RootkitAperçu
Cet exemple de résultat montre la découverte d'un rootkit en mode noyau connu: Diamorphine.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Cet exemple de résultat montre une menace qui a été détectée
Modules CRYPTOMINING_HASH et CRYPTOMINING_YARA.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Modifier l'état des résultats
Lorsque vous résolvez les menaces identifiées par VM Threat Detection, le service ne définit pas automatiquement l'état d'un résultat sur Inactif dans les analyses suivantes. En raison de la nature de notre domaine de gestion des menaces, VM Threat Detection ne peut pas déterminer si une menace a été atténuée ou si elle a changé pour éviter la détection.
Lorsque vos équipes de sécurité considèrent que la menace est minimale, elles peuvent effectuer les étapes suivantes pour définir les résultats à l'état inactif.
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
À côté de Afficher par, cliquez sur Type de source.
Dans la liste Type de source, sélectionnez Virtual Machine Threat Detection. Un tableau présente les résultats correspondant au type de source que vous avez sélectionné.
Cochez la case à côté des résultats résolus.
Cliquez sur Modifier l'état de l'activité.
Cliquez sur Inactif.
Activer ou désactiver VM Threat Detection
VM Threat Detection est activée par défaut pour tous les clients qui s'inscrivent à Security Command Center Premium après le 15 juillet 2022, date à laquelle ce service a été mis à la disposition de tous les utilisateurs. Si nécessaire, vous pouvez la désactiver ou la réactiver manuellement. pour votre projet ou votre organisation.
Lorsque vous activez VM Threat Detection sur une organisation ou un projet, le service analyse automatiquement toutes les ressources compatibles de cette organisation ou ce projet. À l'inverse, lorsque vous désactivez VM Threat Detection sur une organisation ou un projet, le service arrête l'analyse toutes les ressources compatibles qu'il contient.
Pour activer ou désactiver VM Threat Detection, procédez comme suit:
Console
Dans la console Google Cloud, vous pouvez activer ou désactiver VM Threat Detection via l'onglet Services de la page Paramètres.
Pour en savoir plus, consultez Activez ou désactivez un service intégré.
cURL
envoyez une requête PATCH :
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT : projet à facturer pour les frais d'accès associés aux analyses de VM Threat Detection.
- RESOURCE : type de ressource à analyser (
organizationsouprojects). - RESOURCE_ID: identifiant de l'organisation ou du projet sur lequel vous souhaitez activer ou désactiver VM Threat Detection.
- NEW_STATE: état souhaité pour VM Threat Detection.
(
ENABLEDouDISABLED).
gcloud
Exécutez la commande ci-dessous.
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Remplacez les éléments suivants :
- ACTION: action que vous souhaitez effectuer sur la détection des menaces de VM
(
enableoudisable). - RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver VM Threat Detection (
organizationouproject). - RESOURCE_ID: identifiant de l'organisation ou du projet sur lequel vous souhaitez activer ou désactiver VM Threat Detection.
Activer ou désactiver un module de détection des menaces de VM
Pour activer ou désactiver un détecteur de menaces VM individuel, également appelé module, procédez comme suit. La prise en compte des modifications peut prendre jusqu'à une heure l'effet.
Pour en savoir plus sur les résultats de menaces VM Threat Detection et les modules qui les génèrent, consultez la section Menaces résultats tableau.
Console
Consultez la section Activer ou désactiver un module.
cURL
Pour activer ou désactiver un module de détection des menaces de VM dans votre organisation ou
projet, envoyez une requête PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT : projet facturé pour les frais d'accès associés aux analyses de VM Threat Detection.
- RESOURCE: type de ressource pour lequel vous souhaitez activer ou désactiver
module activé (
organizationsouprojects). - RESOURCE_ID: ID de l'organisation ou du projet que vous souhaitez activer ou désactiver le module.
- MODULE: module que vous souhaitez activer ou désactiver, pour
Exemple :
CRYPTOMINING_HASH. - NEW_STATE: l'état dans lequel vous souhaitez que le module se trouve (
ENABLEDouDISABLED).
gcloud
Pour activer ou désactiver un module de détection des menaces de VM dans votre organisation ou exécutez la commande suivante:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Remplacez les éléments suivants :
- ACTION: action que vous souhaitez effectuer sur le module (
enableoudisable). - RESOURCE: type de ressource pour lequel vous souhaitez activer ou désactiver
module activé (
organizationouproject). - RESOURCE_ID: ID de l'organisation ou du projet que vous souhaitez activer ou désactiver le module.
- MODULE: module que vous souhaitez activer ou désactiver, pour
Exemple :
CRYPTOMINING_HASH.
Afficher les paramètres des modules VM Threat Detection
Pour en savoir plus sur les résultats de menaces VM Threat Detection et les modules qui les génèrent, consultez la section Menaces résultats tableau.
Console
Consultez la section Afficher les modules d'un service.
cURL
envoyez une requête GET :
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT : projet facturé pour les frais d'accès associés aux analyses de VM Threat Detection.
- RESOURCE: type de ressource pour lequel vous souhaitez afficher le paramètres du module.
- RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous pour consulter les paramètres du module.
gcloud
Pour afficher les paramètres d'un seul module, exécutez la commande suivante:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Pour afficher les paramètres de tous les modules, exécutez la commande suivante:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Remplacez les éléments suivants :
- RESOURCE: type de ressource pour lequel vous souhaitez afficher le
paramètres du module (
organizationouproject). - RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous pour consulter les paramètres du module.
- MODULE: module que vous souhaitez afficher (pour
Exemple :
CRYPTOMINING_HASH.
Noms de logiciels et règles YARA pour la détection du minage de cryptomonnaie
Les listes suivantes incluent les noms des binaires et des règles YARA qui déclenchent les résultats du minage de cryptomonnaie. Pour afficher les listes, développez les nœuds.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner : logiciel de minage pour la cryptomonnaie Arionum
- Avermore : logiciel de minage pour les cryptomonnaies basées sur scrypt
- Beam CUDA miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
- Beam OpenCL miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
- BFGMiner : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- BMiner : logiciel de minage pour diverses cryptomonnaies
- Cast XMR : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- ccminer : logiciel de minage basé sur CUDA
- cgminer : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- Claymore's miner : logiciel de minage basé sur le GPU pour diverses cryptomonnaies
- CPUMiner : famille de logiciels de minage basés sur processeur
- CryptoDredge : famille de logiciels de minage pour CryptoDredge
- CryptoGoblin : logiciel de minage pour les cryptomonnaies basées sur Cryptonight
- DamoMiner : logiciel de minage basé sur le GPU pour Ethereum et d'autres cryptomonnaies
- DigitsMiner : logiciel de minage pour Digits
- SimpleMiner : logiciels de minage pour Bitcoin et d'autres cryptomonnaies
- Ethminer : logiciel de minage pour Ethereum et d'autres cryptomonnaies
- EWBF : logiciel de minage pour les cryptomonnaies basés sur Equihash
- FinMiner : logiciel de minage pour les cryptomonnaies basées sur Ethash et Cryptonight
- Funakoshi Miner : logiciel de minage pour les cryptomonnaies Bitcoin-Gold
- Geth : logiciel de minage pour Ethereum
- GMiner : logiciel de minage pour diverses cryptomonnaies
- gominer : logiciel de minage pour Decred
- GrinGoldMiner : logiciel de minage pour Grin
- Hush : logiciel de minage pour les cryptomonnaies basés sur Zcash
- IxiMiner : logiciel de minage pour Ixian
- kawpowminer : logiciel de minage pour Ravencoin
- Komodo : famille de logiciels de minage pour Komodo
- lolMiner : logiciel de minage pour diverses cryptomonnaies
- lukMiner : logiciel de minage pour diverses cryptomonnaies
- MinerGate : logiciel de minage pour diverses cryptomonnaies
- miniZ : logiciel de minage pour les cryptomonnaies basées sur Equihash
- Mirai : logiciel malveillant pouvant servir à miner des cryptomonnaies
- MultiMiner : logiciel de minage pour diverses cryptomonnaies
- nanominer : logiciel de minage pour diverses cryptomonnaies
- NBMiner : logiciel de minage pour diverses cryptomonnaies
- Nevermore : logiciel de minage pour diverses cryptomonnaies
- nheqminer : logiciel de minage pour NiceHash
- NinjaRig : logiciel de minage pour les cryptomonnaies basées sur Argon2
- NodeCore PoW CUDA Miner : logiciel de minage pour VeriBlock
- NoncerPro : logiciel de minage pour Nimiq
- Optiminer/Equihash : logiciel de minage pour les cryptomonnaies basées sur Equihash
- PascalCoin : famille de logiciels de minage pour PascalCoin
- PhoenixMiner : logiciel de minage pour Ethereum
- Pooler CPU Miner : logiciel de minage pour Litecoin et Bitcoin
- ProgPoW Miner : logiciel de minage pour Ethereum et d'autres cryptomonnaies
- rhminer : logiciel de minage pour PascalCoin
- sgminer : logiciel de minage pour les cryptomonnaies basées sur scrypt
- simplecoin : famille de logiciels de minage pour SimpleCoin basé sur scrypt
- Skypool Nimiq Miner : logiciel de minage pour Nimiq
- SwapReferenceMiner : logiciel de minage pour Grin
- Team Red Miner : logiciel de minage basé sur AMD pour diverses cryptomonnaies
- T-Rex : logiciel de minage pour diverses cryptomonnaies
- TT-Miner : logiciel de minage pour diverses cryptomonnaies
- Ubqminer : logiciel de minage pour les cryptomonnaies basées sur Ubqhash
- VersusCoin : logiciel de minage pour VersusCoin
- Mineminer : logiciel de minage pour les cryptomonnaies basées sur Argon2
- webchain-miner : logiciel de minage pour MintMe
- WildRig : logiciel de minage pour diverses cryptomonnaies
- XCASH_ALL_Miner : logiciel de minage pour XCASH
- xFash : logiciel de minage pour MinerGate
- XLArig : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMRig : logiciel de minage pour diverses cryptomonnaies
- Xmr-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMR-Stak TurleCoin : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Xtl-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Yam Miner : logiciel de minage pour MinerGate
- YCash : logiciel de minage pour YCash
- ZCoin : logiciel de minage pour ZCoin/Fire
- Zealot/Enemy : logiciel de minage pour diverses cryptomonnaies
- Signal de minage de cryptomonnaie1
1 Ce nom de menace générique indique qu'un logiciel de minage de cryptomonnaie inconnu peut fonctionner dans la VM, mais VM Threat Detection ne dispose pas d'informations spécifiques sur celui-ci.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1 : correspond au logiciel de minage pour Monero.
- YARA_RULE9 : correspond au logiciel de minage qui utilise l'algorithme de chiffrement Blake2 et AES.
- YARA_RULE10 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité CryptoNight.
- YARA_RULE15 : correspond au logiciel de minage pour NBMiner.
- YARA_RULE17 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité Scrypt.
- YARA_RULE18 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité Scrypt.
- YARA_RULE19 : correspond au logiciel de minage pour BFGMiner.
- YARA_RULE24 : correspond au logiciel de minage pour XMR-Stak.
- YARA_RULE25 : correspond au logiciel de minage pour XMRig.
- DYNAMIC_YARA_RULE_BFGMINER_2 : correspond au logiciel de minage pour BFGMiner.
Étape suivante
- Apprenez-en plus sur VM Threat Detection.
- Découvrez comment examiner les résultats de VM Threat Detection.