Questa pagina descrive come visualizzare e gestire i risultati di VM Threat Detection. Mostra inoltre come abilitare o disabilitare il servizio e i relativi moduli.
Panoramica
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, fornisce il rilevamento delle minacce tramite la strumentazione a livello di hypervisor e l'analisi del disco permanente. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.
VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
Per saperne di più, vedi Panoramica di VM Threat Detection.
Costi
Dopo la registrazione a Security Command Center Premium, non sono previsti costi aggiuntivi per l'utilizzo di VM Threat Detection.
Prima di iniziare
Per utilizzare questa funzionalità, devi aver effettuato la registrazione a Security Command Center Premium.
Inoltre, devi disporre di ruoli Identity and Access Management (IAM) adeguati per visualizzare o modificare i risultati e per modificare le risorse Google Cloud. Se si verificano errori di accesso in Security Command Center, chiedi assistenza al tuo amministratore. Per scoprire di più sui ruoli, consulta Controllo dell'accesso.
Testa il rilevamento delle minacce per le VM
Per testare il rilevamento del mining di criptovaluta di VM Threat Detection, puoi eseguire un'applicazione di mining di criptovalute sulla tua VM. Per un elenco dei nomi dei programmi binari e delle regole YARA che attivano i risultati, consulta Nomi software e regole YARA. Se installi e testi applicazioni di mining, ti consigliamo di eseguire le applicazioni solo in un ambiente di test isolato, di monitorarne attentamente l'utilizzo e di rimuoverle completamente dopo il test.
Per testare il rilevamento di malware di VM Threat Detection, puoi scaricare applicazioni malware sulla tua VM. Se scarichi malware, ti consigliamo di farlo in un ambiente di test isolato e di rimuoverlo completamente dopo il test.
Esamina i risultati nella console Google Cloud
Per esaminare i risultati di VM Threat Detection nella console Google Cloud, segui questi passaggi:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Se necessario, seleziona l'organizzazione o il progetto Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Virtual Machine Threat Detection.
Se non vedi Virtual Machine Threat Detection, fai clic su Mostra altro. Nella finestra di dialogo, cerca Virtual Machine Threat Detection.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, comprese quelle sul programma binario rilevato, la risorsa interessata e altro ancora.
Nel riquadro dei dettagli, fai clic sulla scheda JSON per visualizzare il codice JSON completo del risultato.
Per informazioni più dettagliate su come rispondere a ogni risultato di VM Threat Detection, consulta Risposta di VM Threat Detection.
Per un elenco dei risultati di VM Threat Detection, vedi Risultati.
Gravità
I risultati di VM Threat Detection vengono assegnati con gravità Alta, Media e Bassa in base alla confidenza della classificazione delle minacce.
Rilevamenti combinati
I rilevamenti combinati avvengono quando vengono rilevate più categorie di risultati entro un giorno. I risultati possono essere causati da una o più applicazioni dannose. Ad esempio, una singola applicazione può attivare contemporaneamente
i risultati Execution: Cryptocurrency Mining YARA Rule e Execution: Cryptocurrency
Mining Hash Match. Tuttavia, tutte le minacce rilevate da un'unica origine
nell'arco della stessa giornata vengono raggruppate in un unico risultato di rilevamento combinato. Nei giorni seguenti, se vengono trovate altre minacce, anche le stesse, le minacce vengono comunicate ai nuovi risultati.
Per un esempio di risultato del rilevamento combinato, consulta Esempi di formati di risultati.
Esempi di formati per i risultati
Questi esempi di output JSON contengono campi comuni ai risultati di VM Threat Detection. Ogni esempio mostra solo i campi pertinenti al tipo di risultato; non fornisce un elenco esaustivo dei campi.
Puoi esportare i risultati tramite la dashboard di Security Command Center o eseguire l'elenco dei risultati tramite l'API Security Command Center.
Per visualizzare i risultati di esempio, espandi uno o più dei seguenti nodi. Per informazioni su ogni campo nel risultato, consulta Finding.
I valori dei campi, come i nomi delle regole YARA, utilizzati da VM Threat Detection durante un'anteprima potrebbero cambiare quando la funzionalità raggiunge la disponibilità generale.
Defense Evasion: RootkitAnteprima
Questo esempio di output mostra il risultato di un rootkit in modalità kernel noto: Diamorphine.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Questo esempio di output mostra una minaccia rilevata da entrambi i moduli CRYPTOMINING_HASH e CRYPTOMINING_YARA.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)Anteprima
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Modifica lo stato dei risultati
Quando risolvi le minacce identificate da VM Threat Detection, il servizio non imposta automaticamente lo stato di un risultato su Inattivo nelle analisi successive. A causa della natura del nostro dominio di minaccia, VM Threat Detection non è in grado di determinare se una minaccia è attenuata o è stata modificata per evitare il rilevamento.
Quando i team di sicurezza sono soddisfatti che una minaccia sia attenuata, possono eseguire i seguenti passaggi per cambiare lo stato dei risultati in non attivo.
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Accanto a Visualizza per, fai clic su Tipo di origine.
Nell'elenco Tipo di origine, seleziona Virtual Machine Threat Detection. Una tabella viene compilata con i risultati per il tipo di origine selezionato.
Seleziona la casella di controllo accanto ai risultati risolti.
Fai clic su Modifica stato attivo.
Fai clic su Non attivo.
Abilita o disabilita VM Threat Detection
VM Threat Detection è abilitato per impostazione predefinita per tutti i clienti che si registrano a Security Command Center Premium dopo il 15 luglio 2022, data in cui il servizio è diventato in disponibilità generale. Se necessario, puoi disabilitarla o abilitarla di nuovo manualmente per il tuo progetto o la tua organizzazione.
Quando abiliti VM Threat Detection su un'organizzazione o un progetto, il servizio analizza automaticamente tutte le risorse supportate nell'organizzazione o nel progetto. Al contrario, se disabiliti VM Threat Detection su un'organizzazione o un progetto, il servizio interrompe l'analisi di tutte le risorse supportate al suo interno.
Per abilitare o disabilitare VM Threat Detection, segui questi passaggi:
Console
Nella console Google Cloud, puoi abilitare o disabilitare VM Threat Detection tramite la scheda Servizi nella pagina Impostazioni.
Per maggiori informazioni, consulta Abilitare o disabilitare un servizio integrato.
cURL
Invia una richiesta PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: progetto per i costi di accesso associati alle analisi di VM Threat Detection.
- RESOURCE: il tipo di risorsa da scansionare (
organizationsoprojects). - RESOURCE_ID: l'identificatore dell'organizzazione o del progetto su cui vuoi abilitare o disabilitare VM Threat Detection.
- NEW_STATE: lo stato desiderato per VM Threat Detection
(
ENABLEDoDISABLED).
gcloud
Esegui questo comando:
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Sostituisci quanto segue:
- ACTION: l'azione che vuoi eseguire sul servizio VM Threat Detection (
enableodisable). - RESOURCE: il tipo di risorsa su cui vuoi abilitare o disabilitare
VM Threat Detection (
organizationoproject). - RESOURCE_ID: l'identificatore dell'organizzazione o del progetto su cui vuoi abilitare o disabilitare VM Threat Detection.
Abilita o disabilita un modulo di VM Threat Detection
Per abilitare o disabilitare un singolo rilevatore di rilevamento delle minacce VM, noto anche come modulo, segui questi passaggi. L'applicazione delle modifiche può richiedere fino a un'ora.
Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che li generano, consulta la tabella Individua le minacce.
Console
cURL
Per abilitare o disabilitare un modulo VM Threat Detection sulla tua organizzazione o
progetto, invia una richiesta PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: progetto a cui vengono addebitati i costi di accesso associati alle analisi di VM Threat Detection.
- RESOURCE: il tipo di risorsa su cui vuoi abilitare o disabilitare il modulo (
organizationsoprojects). - RESOURCE_ID: l'ID dell'organizzazione o del progetto in cui vuoi abilitare o disabilitare il modulo.
- MODULE: il modulo che vuoi abilitare o disabilitare, ad
esempio
CRYPTOMINING_HASH. - NEW_STATE: lo stato in cui vuoi che si trovi il modulo (
ENABLEDoDISABLED).
gcloud
Per abilitare o disabilitare un modulo VM Threat Detection nella tua organizzazione o nel tuo progetto, esegui questo comando:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Sostituisci quanto segue:
- ACTION: l'azione che vuoi eseguire sul modulo (
enableodisable). - RESOURCE: il tipo di risorsa su cui vuoi abilitare o disabilitare il modulo (
organizationoproject). - RESOURCE_ID: l'ID dell'organizzazione o del progetto in cui vuoi abilitare o disabilitare il modulo.
- MODULE: il modulo che vuoi abilitare o disabilitare, ad
esempio
CRYPTOMINING_HASH.
Visualizza le impostazioni dei moduli VM Threat Detection
Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che li generano, consulta la tabella Individua le minacce.
Console
cURL
Invia una richiesta GET:
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: progetto a cui vengono addebitati i costi di accesso associati alle analisi di VM Threat Detection.
- RESOURCE: il tipo di risorsa per cui vuoi visualizzare le impostazioni del modulo.
- RESOURCE_ID: l'ID dell'organizzazione o del progetto per cui vuoi visualizzare le impostazioni del modulo.
gcloud
Per visualizzare le impostazioni di un singolo modulo, esegui questo comando:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Per visualizzare le impostazioni per tutti i moduli, esegui questo comando:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Sostituisci quanto segue:
- RESOURCE: il tipo di risorsa per cui vuoi visualizzare le
impostazioni del modulo (
organizationoproject). - RESOURCE_ID: l'ID dell'organizzazione o del progetto per cui vuoi visualizzare le impostazioni del modulo.
- MODULE: il modulo che vuoi visualizzare, ad esempio
CRYPTOMINING_HASH.
Nomi di software e regole YARA per il rilevamento del mining di criptovaluta
I seguenti elenchi includono i nomi dei programmi binari e delle regole YARA che attivano i risultati del mining di criptovalute. Per visualizzare gli elenchi, espandi i nodi.
Execution: Cryptocurrency Mining Hash Match
- Miner di CPU Arionum: software di mining per la criptovaluta Arionum
- Avermore: software di mining per criptovalute basate su criptovalute.
- Miner CUDA Beam: software di mining per le criptovalute basate su Equihash.
- Miner Beam OpenCL: software di mining per le criptovalute basate su Equihash.
- BFGMiner: software di mining basato su ASIC/FPGA per Bitcoin
- BMiner: software di mining per varie criptovalute
- Cast XMR: software di mining per le criptovalute basate su CryptoNight
- ccminer: software di mining basato su CUDA
- cgminer: software di mining basato su ASIC/FPGA per Bitcoin
- Miner di Claymore: software di mining basato su GPU per varie criptovalute
- CPUMiner: famiglia di software di mining basato su CPU
- CryptoDredge: famiglia di software di mining per CryptoDredge
- CryptoGoblin: software di mining per le criptovalute basate su CryptoNight.
- DamoMiner: software di mining basato su GPU per Ethereum e altre criptovalute
- DigitsMiner: software di mining per Digits
- EasyMiner: software di mining per Bitcoin e altre criptovalute
- Ethminer: software di mining per Ethereum e altre criptovalute
- EWBF: software di mining per le criptovalute basate su equihash.
- FinMiner: software di mining per le criptovalute basate su Ethash e CryptoNight
- Funakoshi Miner: software di mining per le criptovalute Bitcoin-Gold
- Geth: software di mining per Ethereum
- GMiner: software di mining per varie criptovalute
- gominer: software di mining per Decred
- GrinGoldMiner: software di mining per Grin
- Silenzio: software di mining per le criptovalute basate su Zcash.
- IxiMiner: software di mining per Ixian
- kawpowminer: software di mining per Ravencoin
- Komodo: famiglia di software di estrazione mineraria per Komodo
- lolMiner: software di mining per varie criptovalute
- lukMiner: software di mining per varie criptovalute
- MinerGate: software di mining per varie criptovalute
- miniZ: software di mining per le criptovalute basate su Equihash
- Mirai: malware che può essere utilizzato per eseguire il mining di criptovalute
- MultiMiner: software di mining per varie criptovalute
- nanominer: software di mining per varie criptovalute
- NBMiner: software di mining per varie criptovalute
- Nevermore: software di mining per varie criptovalute
- nheqminer: software di mining per NiceHash
- NinjaRig: software di mining per le criptovalute basate su Argon2
- NodeCore PoW CUDA Miner: software di mining per VeriBlock
- NoncerPro: software di mining per Nimiq
- Optiminer/Equihash: software di mining per le criptovalute basate su Equihash.
- PascalCoin: famiglia di software di mining per PascalCoin
- PhoenixMiner: software di mining per Ethereum
- CPU Miner del pooler: software di mining per Litecoin e Bitcoin
- ProgPoW Miner: software di mining per Ethereum e altre criptovalute
- rhminer: software di mining per PascalCoin
- sgminer: software di mining per le criptovalute basate su criptovalute
- simplecoin: famiglia di software di mining per SimpleCoin basato su crittografia
- Skypool Nimiq Miner: software di mining per Nimiq
- StackReferenceMiner: software di mining per Grin
- Team Red Miner: software di mining basato su AMD per varie criptovalute
- T-Rex: software di mining per varie criptovalute
- TT-Miner: software di mining per varie criptovalute
- Ubqminer: software di mining per le criptovalute basate su Ubqhash
- VersusCoin: software di mining per VersusCoin
- violetminer: software di mining per le criptovalute basate su Argon2
- webchain-miner: software di mining per MintMe
- WildRig: software di mining per varie criptovalute
- XCASH_ALL_Miner: software di mining per XCASH
- xFash: software di mining per MinerGate
- XLArig: software di mining per le criptovalute basate su CryptoNight
- XMRig: software di mining per varie criptovalute
- Xmr-Stak: software di mining per le criptovalute basate su CryptoNight.
- XMR-Stak TurtleCoin: software di mining per le criptovalute basate su CryptoNight.
- Xtl-Stak: software di mining per le criptovalute basate su CryptoNight.
- Yam Miner: software di estrazione mineraria per MinerGate
- YCash: software di mining per YCash
- ZCoin: software di mining per ZCoin/Fire
- Zealot/Enemy: software di mining per varie criptovalute
- Indicatore del miner di criptovalute1
1 Questo nome generico di minaccia indica che nella VM potrebbe essere in esecuzione un miner di criptovaluta sconosciuto, ma VM Threat Detection non dispone di informazioni specifiche sul miner.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: corrisponde al software di mining per Monero
- YARA_RULE9: corrisponde al software di mining che utilizza la crittografia Blake2 e AES
- YARA_RULE10: corrisponde al software di mining che utilizza la routine proof of work di CryptoNight
- YARA_RULE15: corrisponde al software di mining per NBMiner
- YARA_RULE17: corrisponde al software di mining che utilizza la routine di proof of work Scrypt
- YARA_RULE18: corrisponde al software di mining che utilizza la routine di proof of work Scrypt
- YARA_RULE19: corrisponde al software di mining per BFGMiner
- YARA_RULE24: corrisponde al software di mining per XMR-Stak
- YARA_RULE25: corrisponde al software di mining per XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: corrisponde al software di mining per BFGMiner
Passaggi successivi
- Scopri di più su VM Threat Detection.
- Scopri come investigare i risultati di VM Threat Detection.