이 페이지에서는 VM Threat Detection 발견 항목을 보고 관리하는 방법을 설명합니다. 서비스와 모듈을 사용 설정하거나 중지하는 방법도 보여줍니다.
개요
Security Command Center 프리미엄의 기본 제공 서비스인 Virtual Machine Threat Detection은 하이퍼바이저 수준 계측 및 영구 디스크 분석을 통해 위협 감지를 제공합니다. VM Threat Detection은 암호화폐 채굴 소프트웨어, 커널 모드 루트킷, 보안 침해된 클라우드 환경에서 실행되는 멀웨어와 같은 잠재적 악성 애플리케이션을 감지합니다.
VM Threat Detection은 Security Command Center 프리미엄의 위협 감지 제품군의 일부이며 Event Threat Detection 및 Container Threat Detection의 기존 기능을 보완하도록 설계되었습니다.
자세한 내용은 VM Threat Detection 개요를 참조하세요.
비용
Security Command Center 프리미엄에 등록하면 VM Threat Detection을 사용하는 데 추가 비용이 들지 않습니다.
시작하기 전에
이 기능을 사용하려면 Security Command Center 프리미엄에 등록해야 합니다.
또한 발견 항목을 보거나 수정하고 Google Cloud 리소스를 수정하려면 적절한 Identity and Access Management(IAM) 역할이 필요합니다. Security Command Center에서 액세스 오류가 발생하면 관리자에게 지원을 요청하세요. 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.
VM Threat Detection 테스트
VM Threat Detection 암호화폐 채굴 감지를 테스트하려면 VM에서 암호화폐 채굴 애플리케이션을 실행하면 됩니다. 발견 항목을 트리거하는 바이너리 이름 및 YARA 규칙 목록은 소프트웨어 이름 및 YARA 규칙을 참조하세요. 채굴 애플리케이션을 설치하고 테스트할 때는 격리된 테스트 환경에서만 애플리케이션을 실행하고, 사용을 면밀히 모니터링하고, 테스트 후에는 완전히 삭제하는 것이 좋습니다.
VM Threat Detection 멀웨어 감지를 테스트하려면 VM에 멀웨어 애플리케이션을 다운로드하면 됩니다. 멀웨어를 다운로드할 경우에는 격리된 테스트 환경에서 다운로드하고 테스트 후 완전히 삭제하는 것이 좋습니다.
Google Cloud 콘솔에서 발견 항목 검토
Google Cloud 콘솔에서 VM Threat Detection 발견 항목을 검토하려면 다음 안내를 따르세요.
Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Virtual Machine Threat Detection을 선택합니다.
Virtual Machine Threat Detection이 표시되지 않으면 더보기를 클릭합니다. 대화상자에서 Virtual Machine Threat Detection을 검색합니다.
특정 발견 항목의 세부정보를 보려면 에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
요약 탭에서 감지된 바이너리, 영향을 받은 리소스 등에 대한 정보를 포함한 발견 항목에 대한 정보를 검토합니다.
세부정보 패널에서 JSON 탭을 클릭하여 발견 항목의 전체 JSON을 확인하세요.
각 VM Threat Detection 발견 항목에 대응하는 방법에 대한 자세한 내용은 VM Threat Detection 응답을 참조하세요.
VM Threat Detection 발견 항목 목록은 발견 항목을 참조하세요.
심각도
VM Threat Detection 발견 항목에는 위협 분류 신뢰도에 따라 높음, 중간, 낮음의 심각도가 할당됩니다.
결합된 감지
결합된 감지는 하루에 여러 카테고리의 발견 항목이 감지되면 발생합니다. 이 발견 항목은 하나 이상의 악성 애플리케이션으로 인해 발생할 수 있습니다. 예를 들어 단일 애플리케이션이 Execution: Cryptocurrency Mining YARA Rule 및 Execution: Cryptocurrency
Mining Hash Match 발견 항목을 동시에 트리거할 수 있습니다. 하지만 같은 날 단일 소스에서 감지된 모든 위협은 하나의 통합 감지 발견 항목으로 합쳐집니다. 다음 날 더 많은 위협이 발견되면 동일한 위협이더라도 새 발견 항목에 연결됩니다.
결합된 감지 발견 항목의 예시는 발견 항목 형식 예시를 참조하세요.
발견 항목 형식 예시
이러한 JSON 출력 예시에는 VM Threat Detection 발견 항목에 공통된 필드가 포함되어 있습니다. 각 예시는 발견 항목 유형과 관련된 필드만 표시합니다. 전체 필드 목록을 제공하지 않습니다.
Security Command Center 대시보드를 통해 발견 항목을 내보내거나 Security Command Center API를 통해 발견 항목을 나열할 수 있습니다.
발견 항목 예시를 보려면 다음 노드 중 하나 이상을 확장하세요. 발견 항목의 각 필드에 대한 자세한 내용은 Finding을 참조하세요.
미리보기 중에 VM Threat Detection이 사용하는 필드 값(YARA 규칙 이름 등)은 이 기능이 정식 버전이 되었을 때 변경될 수 있습니다.
Defense Evasion: Rootkit미리보기
이 출력 예시는 알려진 커널 모드 루트킷인 Diamorphine의 발견 항목을 보여줍니다.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handler미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handler미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modification미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modules미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modification미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handler미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueue미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handler미리보기
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
이 출력 예시에서는 CRYPTOMINING_HASH 및 CRYPTOMINING_YARA 모듈 모두에서 감지된 위협을 보여줍니다.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)미리보기
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
발견 항목의 상태 변경
VM Threat Detection으로 식별된 위협을 해결할 때 서비스는 후속 스캔에서 발견 항목의 상태를 비활성으로 자동으로 설정하지 않습니다. 위협 도메인의 특성으로 인해 VM Threat Detection에서 위협이 완화되었는지 또는 감지를 피하기 위해 변경되었는지 확인할 수 없습니다.
보안팀은 위협이 완화되었다고 판단되면 다음 단계를 수행하여 발견 항목의 상태를 비활성으로 변경할 수 있습니다.
Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.
보기 기준 옆에 있는 소스 유형을 클릭합니다.
소스 유형 목록에서 Virtual Machine Threat Detection을 선택합니다. 테이블에 선택한 소스 유형의 발견 항목이 채워집니다.
해결된 발견 항목 옆의 체크박스를 선택합니다.
활성 상태 변경을 클릭합니다.
비활성을 클릭합니다.
VM Threat Detection 사용 설정 또는 중지
VM Threat Detection은 이 서비스가 정식 버전이 된 2022년 7월 15일 이후에 Security Command Center 프리미엄에 등록한 모든 고객에게 기본적으로 사용 설정됩니다. 필요한 경우 수동으로 프로젝트 또는 조직에서 이를 중지하거나 다시 사용 설정할 수 있습니다.
조직 또는 프로젝트에서 VM Threat Detection을 사용 설정하면 서비스가 해당 조직 또는 프로젝트에 있는 모든 지원되는 리소스를 자동으로 스캔합니다. 반대로 조직 또는 프로젝트에서 VM Threat Detection을 중지하면 서비스에서 지원되는 모든 리소스의 스캔을 중지합니다.
VM Threat Detection을 사용 설정 또는 중지하려면 다음 안내를 따르세요.
콘솔
Google Cloud 콘솔의 설정 페이지에서 서비스 탭을 통해 VM Threat Detection을 사용 설정하거나 중지할 수 있습니다.
자세한 내용은 기본 제공 서비스 사용 설정 또는 중지를 참조하세요.
cURL
PATCH 요청을 전송합니다.
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
다음을 바꿉니다.
- X_GOOG_USER_PROJECT: VM Threat Detection 스캔과 관련된 액세스 요금을 청구할 프로젝트입니다.
- RESOURCE: 스캔할 리소스의 유형(
organizations또는projects). - RESOURCE_ID: VM Threat Detection을 사용 설정하거나 중지하려는 조직 또는 프로젝트의 식별자입니다.
- NEW_STATE: 사용자가 원하는 VM Threat Detection의 상태입니다(
ENABLED또는DISABLED).
gcloud
다음 명령어를 실행합니다.
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
다음을 바꿉니다.
- ACTION: VM Threat Detection 서비스(
enable또는disable)에서 수행할 작업입니다. - RESOURCE: VM Threat Detection을 사용 설정하거나 중지할 리소스의 유형(
organization또는project)입니다. - RESOURCE_ID: VM Threat Detection을 사용 설정하거나 중지하려는 조직 또는 프로젝트의 식별자입니다.
VM Threat Detection 모듈 사용 설정 또는 중지
모듈이라고도 하는 개별 VM Threat Detection 감지기를 사용 설정하거나 중지하려면 다음 안내를 따르세요. 변경사항이 적용되려면 최대 1시간이 소요될 수 있습니다.
모든 VM Threat Detection 위협 발견 항목과 이를 생성하는 모듈에 대한 자세한 내용은 위협 발견 항목 표를 참조하세요.
콘솔
모듈 사용 설정 또는 중지를 참조하세요.
cURL
조직 또는 프로젝트에서 VM Threat Detection 모듈을 사용 설정하거나 중지하려면 PATCH 요청을 보냅니다.
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
다음을 바꿉니다.
- X_GOOG_USER_PROJECT: VM Threat Detection 스캔과 관련된 액세스 요금이 청구되는 프로젝트입니다.
- RESOURCE: 모듈을 사용 설정하거나 중지하려는 리소스의 유형입니다(
organizations또는projects). - RESOURCE_ID: 모듈을 사용 설정하거나 중지하려는 조직 또는 프로젝트의 ID입니다.
- MODULE: 사용 설정하거나 중지하려는 모듈입니다(예:
CRYPTOMINING_HASH). - NEW_STATE: 사용자가 원하는 모듈의 상태입니다(
ENABLED또는DISABLED).
gcloud
조직 또는 프로젝트에서 VM Threat Detection 모듈을 사용 설정하거나 중지하려면 다음 명령어를 실행합니다.
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
다음을 바꿉니다.
- ACTION: 모듈에서 수행할 작업입니다(
enable또는disable). - RESOURCE: 모듈을 사용 설정하거나 중지하려는 리소스의 유형입니다(
organization또는project). - RESOURCE_ID: 모듈을 사용 설정하거나 중지하려는 조직 또는 프로젝트의 ID입니다.
- MODULE: 사용 설정하거나 중지하려는 모듈입니다(예:
CRYPTOMINING_HASH).
VM Threat Detection 모듈의 설정 보기
모든 VM Threat Detection 위협 발견 항목과 이를 생성하는 모듈에 대한 자세한 내용은 위협 발견 항목 표를 참조하세요.
콘솔
서비스 모듈 보기를 참조하세요.
cURL
GET 요청을 전송합니다.
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
다음을 바꿉니다.
- X_GOOG_USER_PROJECT: VM Threat Detection 스캔과 관련된 액세스 요금이 청구되는 프로젝트입니다.
- RESOURCE: 모듈 설정을 보려는 리소스의 유형입니다.
- RESOURCE_ID: 모듈 설정을 보려는 조직이나 프로젝트의 ID입니다.
gcloud
단일 모듈의 설정을 보려면 다음 명령어를 실행합니다.
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
모든 모듈의 설정을 보려면 다음 명령어를 실행합니다.
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
다음을 바꿉니다.
- RESOURCE: 모듈 설정을 보려는 리소스의 유형(
organization또는project)입니다. - RESOURCE_ID: 모듈 설정을 보려는 조직이나 프로젝트의 ID입니다.
- MODULE: 보려는 모듈입니다(예:
CRYPTOMINING_HASH).
암호화폐 채굴 감지를 위한 소프트웨어 이름 및 YARA 규칙
다음 목록에는 암호화폐 채굴 발견 항목을 트리거하는 바이너리 및 YARA 규칙의 이름이 포함됩니다. 목록을 보려면 노드를 펼칩니다.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU 마이너: Arionum 암호화폐용 채굴 소프트웨어
- Avermore: scrypt 기반 암호화폐용 채굴 소프트웨어
- Beam CUDA 마이너: Equihash 기반 암호화폐용 채굴 소프트웨어
- Beam OpenCL 마이너: Equihash 기반 암호화폐용 채굴 소프트웨어
- BFGMiner: 비트코인을 위한 ASIC/FPGA 기반 채굴 소프트웨어
- BMiner: 다양한 암호화폐용 채굴 소프트웨어
- Cast XMR: CryptoNight 기반 암호화폐용 채굴 소프트웨어
- ccminer: CUDA 기반 채굴 소프트웨어
- cgminer: ASIC/FPGA 기반 비트코인용 채굴 소프트웨어
- Claymore의 마이너: 다양한 암호화폐용 GPU 기반 채굴 소프트웨어
- CPUMiner: CPU 기반 채굴 소프트웨어 제품군
- CryptoDredge: CryptoDredge용 채굴 소프트웨어 제품군
- CryptoGoblin: CryptoCrypto 기반 암호화폐용 채굴 소프트웨어
- DamoMiner: Ethenum 및 기타 암호화폐를 위한 GPU 기반 채굴 소프트웨어
- DigitsMiner: Digits용 채굴 소프트웨어
- EasyMiner: 비트코인 및 기타 암호화폐용 채굴 소프트웨어
- Ethminer: Ethenum 및 기타 암호화폐용 채굴 소프트웨어
- EWBF: Equihash 기반 암호화폐용 채굴 소프트웨어
- FinMiner: Ethash 및 CryptoNY 기반 암호화폐용 채굴 소프트웨어
- Funakoshi 마이너: 비트코인-골드 암호화폐용 채굴 소프트웨어
- Geth: Ethereum용 채굴 소프트웨어
- GMiner: 다양한 암호화폐용 채굴 소프트웨어
- gogoer: Decred용 채굴 소프트웨어
- GrinGoldMiner: Grin용 채굴 소프트웨어
- Hush: Zcash 기반 암호화폐용 채굴 소프트웨어
- IxiMiner: Ixian용 채굴 소프트웨어
- kawpowminer: Ravencoin용 채굴 소프트웨어
- Komodo: Komodo용 채굴 소프트웨어 제품군
- lolMiner: 다양한 암호화폐용 채굴 소프트웨어
- lukMiner: 다양한 암호화폐용 채굴 소프트웨어
- MinerGate: 다양한 암호화폐용 채굴 소프트웨어
- miniZ: Equihash 기반 암호화폐용 채굴 소프트웨어
- Mirai: 암호화폐를 채굴하는 데 사용할 수 있는 멀웨어
- MultiMiner: 다양한 암호화폐용 채굴 소프트웨어
- nanominer: 다양한 암호화폐용 채굴 소프트웨어
- NBMiner: 다양한 암호화폐용 채굴 소프트웨어
- Nevermore: 다양한 암호화폐용 채굴 소프트웨어
- nheqminer: NiceHash용 채굴 소프트웨어
- NinjaRig: Argon2 기반 암호화폐용 채굴 소프트웨어
- NodeCore PoW CUDA Miner: VeriBlock용 채굴 소프트웨어
- NoncerPro: Nimiq용 채굴 소프트웨어
- Optiminer/Equihash: Equihash 기반 암호화폐용 채굴 소프트웨어
- PascalCoin: PascalCoin용 채굴 소프트웨어 제품군
- PhoenixMiner: Ethereum용 채굴 소프트웨어
- 풀러 CPU 마이너: Litecoin 및 비트코인용 채굴 소프트웨어
- ProgPoW Miner: Ethereum 및 기타 암호화폐용 채굴 소프트웨어
- rhminer: PascalCoin용 채굴 소프트웨어
- sgminer: scrypt 기반 암호화폐용 채굴 소프트웨어
- simplecoin: scrypt 기반 SimpleCoin용 채굴 소프트웨어 제품군
- Skypool Nimiq Miner: Nimiq용 채굴 소프트웨어
- SwapReferenceMiner: Grin용 채굴 소프트웨어
- Team Red Miner: 다양한 암호화폐용 AMD 기반 채굴 소프트웨어
- T-Rex: 다양한 암호화폐용 채굴 소프트웨어
- TT-Miner: 다양한 암호화폐용 채굴 소프트웨어
- Ubqminer: Ubqhash 기반 암호화폐용 채굴 소프트웨어
- VersusCoin: VersusCoin용 채굴 소프트웨어
- violetminer: Argon2 기반 암호화폐요 채굴 소프트웨어
- webchain-miner: MintMe용 채굴 소프트웨어
- WildRig: 다양한 암호화폐용 채굴 소프트웨어
- XCASH_ALL_Miner: XCASH용 채굴 소프트웨어
- xFash: MinerGate용 채굴 소프트웨어
- XLArig: CryptoCrypto 기반 암호화폐용 채굴 소프트웨어입니다.
- XMRig: 다양한 암호화폐용 채굴 소프트웨어
- Xmr-Stak: CryptoNight 기반 암호화폐용 채굴 소프트웨어
- XMR-Stak TurtleCoin: CryptoNight 기반 암호화폐용 채굴 소프트웨어
- Xtl-Stak: CryptoNight 기반 암호화폐용 채굴 소프트웨어
- Yam Miner: MinerGate용 채굴 소프트웨어
- YCach: YCach용 채굴 소프트웨어
- ZCoin: ZCoin/Fire용 채굴 소프트웨어
- Zealot/Enemy: 다양한 암호화폐용 채굴 소프트웨어
- 암호화폐 채굴 신호1
1 이 일반적인 위협 이름은 알 수 없는 암호화폐 채굴자가 VM에서 작동할 수 있지만 VM Threat Detection에 채굴자에 대한 특정 정보가 없음을 나타냅니다.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: Monero의 채굴 소프트웨어와 일치
- YARA_RULE9: Blake2 및 AES 암호화를 사용하는 채굴 소프트웨어와 일치
- YARA_RULE10: CryptoNight 작업 증명 루틴을 사용하는 채굴 소프트웨어와 일치
- YARA_RULE15: NBMiner의 채굴 소프트웨어와 일치
- YARA_RULE17: Scrypt 작업 증명 루틴을 사용하는 채굴 소프트웨어와 일치
- YARA_RULE18: Scrypt 작업 증명 루틴을 사용하는 채굴 소프트웨어와 일치
- YARA_RULE19: BFGMiner용 채굴 소프트웨어와 일치
- YARA_RULE24: XMR-Stak용 채굴 소프트웨어와 일치
- YARA_RULE25: XMRig용 채굴 소프트웨어와 일치
- DYNAMIC_YARA_RULE_BFGMINER_2: BFGMiner용 채굴 소프트웨어와 일치
다음 단계
- VM Threat Detection 자세히 알아보기
- VM Threat Detection 발견 항목을 조사하는 방법 알아보기