Usar Virtual Machine Threat Detection

En esta página, se describe cómo ver y administrar los hallazgos de VM Threat Detection. También se muestra cómo habilitar o inhabilitar el servicio y sus módulos.

Descripción general

Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, proporciona detección de amenazas mediante instrumentación a nivel de hipervisor y análisis de disco persistente. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y software malicioso que se ejecuta en entornos de nube comprometidos.

VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center Premium y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta Descripción general de VM Threat Detection.

Costos

Después de inscribirte en la versión Premium de Security Command Center, no hay costo adicional por usar VM Threat Detection.

Antes de comenzar

Para usar esta función, debes estar inscrito en la edición Premium de Security Command Center.

Además, necesitas roles adecuados de administración de identidades y accesos (IAM) para ver o editar los resultados y modificar los recursos de Google Cloud. Si te encuentras con errores de acceso en Security Command Center, pídele asistencia al administrador. Para obtener más información sobre los roles, consulta Control de acceso.

Probar VM Threat Detection

Para probar la detección de minería de criptomonedas de VM Threat Detection, puedes ejecutar una aplicación de minería de criptomonedas en tu VM. Para obtener una lista de nombres de objetos binarios y reglas de YARA que activan hallazgos, consulta Nombres de software y reglas de YARA. Si instalas y pruebas aplicaciones de minería, te recomendamos que solo las ejecutes en un entorno de pruebas aislado, supervises atentamente su uso y las quites por completo después de las pruebas.

Para probar la detección de software malicioso en la VM Threat Detection, puedes descargar aplicaciones de software malicioso en tu VM. Si descargas software malicioso, te recomendamos que lo hagas en un entorno de pruebas aislado y que lo quites por completo después de la prueba.

Revisa los resultados en la consola de Google Cloud

Para revisar los hallazgos de VM Threat Detection en la consola de Google Cloud, haz lo siguiente:

  1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. Si es necesario, selecciona tu organización o proyecto de Google Cloud.

    Selector de proyectos

  3. En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona Detección de amenazas de máquinas virtuales.

    Si no ves Virtual Machine Threat Detection, haz clic en View more. En el cuadro de diálogo, busca Virtual Machine Threat Detection.

  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.

  5. En la pestaña Resumen, revisa la información sobre el hallazgo, incluida la información sobre el objeto binario que se detectó, el recurso que se vio afectado y mucho más.

  6. En el panel de detalles, haz clic en la pestaña JSON para ver el JSON completo del hallazgo.

Para obtener información más detallada sobre cómo responder a cada hallazgo de detección de amenazas de VM, consulta Respuesta de detección de amenazas de VM.

Para obtener una lista de los hallazgos de VM Threat Detection, consulta Hallazgos.

Gravedad

A los hallazgos de la Detección de amenazas de VM se les asigna una gravedad Alta, Media y Baja según la confianza de la clasificación de amenazas.

Detecciones combinadas

Las detecciones combinadas ocurren cuando se detectan varias categorías de hallazgos en un día. Una o más aplicaciones maliciosas pueden generar los resultados. Por ejemplo, una sola aplicación puede activar los resultados Execution: Cryptocurrency Mining YARA Rule y Execution: Cryptocurrency Mining Hash Match de forma simultánea. Sin embargo, todas las amenazas detectadas desde una sola fuente en el mismo día se incluyen en un hallazgo de detección combinada. En los días siguientes, si se encuentran más amenazas, incluso las mismas, se asociarán a nuevos hallazgos.

Para ver un ejemplo de un hallazgo de detección combinado, consulta Ejemplos de formatos de hallazgo.

Ejemplos de formatos de hallazgos

Estos ejemplos de salida de JSON contienen campos comunes a los resultados de VM Threat Detection. En cada ejemplo, se muestran solo los campos relevantes para el tipo de hallazgo; no se proporciona una lista exhaustiva de campos.

Puedes exportar los resultados a través del panel de Security Command Center o enumerar los resultados a través de la API de Security Command Center.

Para ver los resultados de ejemplo, expande uno o más de los siguientes nodos. Para obtener información sobre cada campo del hallazgo, consulta Finding.

Defense Evasion: RootkitVista previa

En este ejemplo, se muestra un hallazgo de un rootkit en modo de kernel conocido: la diamorfina.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
      

Defense Evasion: Unexpected ftrace handlerVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected interrupt handlerVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel code modificationVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel modulesVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel read-only data modificationVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kprobe handlerVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected processes in runqueueVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected system call handlerVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Execution: Cryptocurrency Mining Combined Detection

En este ejemplo de resultado, se muestra una amenaza que detectaron los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining Hash Match Detection

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining YARA Rule

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Malware: Malicious file on disk (YARA)

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_1"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_2"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Cambia el estado de los resultados

Cuando resuelves amenazas identificadas por VM Threat Detection, el servicio no establece automáticamente el estado de un resultado en Inactivo en análisis posteriores. Debido a la naturaleza de nuestro dominio de amenazas, VM Threat Detection no puede determinar si una amenaza se mitiga o si cambió para evitar la detección.

Cuando tus equipos de seguridad estén satisfechos con la mitigación de una amenaza, pueden realizar los siguientes pasos para cambiar el estado de los resultados a inactivo.

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. Junto a Ver por, haz clic en Tipo de fuente.

  3. En la lista Tipo de fuente, selecciona Virtual Machine Threat Detection. Una tabla se propaga con los resultados para el tipo de fuente que seleccionaste.

  4. Selecciona la casilla de verificación junto a los resultados que se resuelven.

  5. Haz clic en Cambiar el estado activo.

  6. Haz clic en Inactivo.

Habilita o inhabilita VM Threat Detection

VM Threat Detection está habilitado de forma predeterminada para todos los clientes que se inscriben en Security Command Center Premium después del 15 de julio de 2022, fecha en la que este servicio pasó a estar disponible de forma general. Si es necesario, puedes inhabilitarlo o volver a habilitarlo de forma manual en tu organización o proyecto.

Cuando habilitas VM Threat Detection en una organización o proyecto, el servicio analiza automáticamente todos los recursos compatibles en esa organización o proyecto. Por el contrario, cuando inhabilitas VM Threat Detection en una organización o proyecto, el servicio deja de analizar todos los recursos compatibles en él.

Para habilitar o inhabilitar VM Threat Detection, haz lo siguiente:

Console

En la consola de Google Cloud, puedes habilitar o inhabilitar VM Threat Detection a través de la pestaña Servicios en la página Configuración.

Ir a Servicios

Para obtener más información, consulta Habilita o inhabilita un servicio integrado.

cURL

envía una solicitud PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'

Reemplaza lo siguiente:

  • X_GOOG_USER_PROJECT: Es el proyecto que se facturará por los cargos de acceso asociados con los análisis de VM Threat Detection.
  • RESOURCE: Es el tipo de recurso que se analizará (organizations o projects).
  • RESOURCE_ID: Es el identificador de la organización o el proyecto en el que deseas habilitar o inhabilitar VM Threat Detection.
  • NEW_STATE: Es el estado en el que deseas que esté la detección de amenazas de VM (ENABLED o DISABLED).

gcloud

Ejecuta el siguiente comando:

gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION

Reemplaza lo siguiente:

  • ACTION: Es la acción que deseas realizar en el servicio de VM Threat Detection (enable o disable).
  • RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar VM Threat Detection (organization o project).
  • RESOURCE_ID: Es el identificador de la organización o el proyecto en el que deseas habilitar o inhabilitar VM Threat Detection.

Habilita o inhabilita un módulo de VM Threat Detection

Para habilitar o inhabilitar un detector de amenazas de VM individual, también conocido como módulo, haz lo siguiente. Los cambios pueden tardar hasta una hora en aplicarse.

Para obtener información sobre todos los hallazgos de amenazas de VM Threat Detection y los módulos que los generan, consulta la tabla Hallazgos de amenazas.

Console

Consulta Habilitar o inhabilitar un módulo.

cURL

Para habilitar o inhabilitar un módulo de VM Threat Detection en tu organización o proyecto, envía una solicitud PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
    -H "Content-Type: application/json; charset=utf-8" \
    -H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
    https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
    -d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'

Reemplaza lo siguiente:

  • X_GOOG_USER_PROJECT: El proyecto al que se facturan los cargos de acceso asociados con los análisis de VM Threat Detection.
  • RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar el módulo (organizations o projects).
  • RESOURCE_ID: Es el ID de la organización o el proyecto en el que deseas habilitar o inhabilitar el módulo.
  • MODULE: Es el módulo que deseas habilitar o inhabilitar, por ejemplo, CRYPTOMINING_HASH.
  • NEW_STATE: Es el estado en el que deseas que esté el módulo (ENABLED o DISABLED).

gcloud

Para habilitar o inhabilitar un módulo de VM Threat Detection en tu organización o proyecto, ejecuta el siguiente comando:

gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE

Reemplaza lo siguiente:

  • ACTION: Es la acción que deseas realizar en el módulo (enable o disable).
  • RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar el módulo (organization o project).
  • RESOURCE_ID: Es el ID de la organización o el proyecto en el que deseas habilitar o inhabilitar el módulo.
  • MODULE: Es el módulo que deseas habilitar o inhabilitar, por ejemplo, CRYPTOMINING_HASH.

Ver la configuración de los módulos de VM Threat Detection

Para obtener información sobre todos los hallazgos de amenazas de VM Threat Detection y los módulos que los generan, consulta la tabla Hallazgos de amenazas.

Console

Consulta Visualiza los módulos de un servicio.

cURL

envía una solicitud GET:

curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
    -H "Content-Type: application/json; charset=utf-8" \
    -H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
    https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate

Reemplaza lo siguiente:

  • X_GOOG_USER_PROJECT: El proyecto al que se facturan los cargos de acceso asociados con los análisis de VM Threat Detection.
  • RESOURCE: Es el tipo de recurso del que deseas ver la configuración del módulo.
  • RESOURCE_ID: Es el ID de la organización o el proyecto del que deseas ver la configuración del módulo.

gcloud

Para ver la configuración de un solo módulo, ejecuta el siguiente comando:

gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE

Para ver la configuración de todos los módulos, ejecuta el siguiente comando:

gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION

Reemplaza lo siguiente:

  • RESOURCE: Es el tipo de recurso del que deseas ver la configuración del módulo (organization o project).
  • RESOURCE_ID: Es el ID de la organización o el proyecto del que deseas ver la configuración del módulo.
  • MODULE: Es el módulo que deseas ver, por ejemplo, CRYPTOMINING_HASH.

Nombres de software y reglas YARA para la detección de minería de criptomonedas

En las siguientes listas, se incluyen los nombres de los objetos binarios y las reglas YARA que activan los resultados de la minería de criptomonedas. Para ver las listas, expande los nodos.

Execution: Cryptocurrency Mining Hash Match

  • Arionum CPU miner: Software de minería de criptomonedas Arionum
  • Avermore: Software de minería para criptomonedas basadas en scrypt
  • Beam CUDA miner: software de minería para criptomonedas basadas en Equihash
  • Beam OpenCL miner: software de minería para criptomonedas basadas en Equihash
  • BFGMiner: Software de minería basado en ASIC/FPGA para Bitcoin
  • BMiner: Software de minería para varias criptomonedas
  • Cast XMR: software de minería para criptomonedas basadas en Cryptonight
  • ccminer: Software de minería basado en CUDA
  • cgminer: Software de minería basado en ASIC/FPGA para Bitcoin
  • Claymore's miner: Software de minería basado en GPU para varias criptomonedas
  • CPUMiner: Familia de software de minería basado en CPU
  • CryptoDredge: Familia de software de minería para CryptoDredge
  • CryptoGoblin: Software de minería para criptomonedas basadas en CryptoNight
  • DamoMiner: software de minería basado en GPU para Ethereum y otras criptomonedas
  • DigitsMiner: Software de minería para Digits
  • EasyMiner: Software de minería para Bitcoin y otras criptomonedas
  • Ethminer: Software de minería para Ethereum y otras criptomonedas
  • EWBF: software de minería para criptomonedas basadas en Equihash
  • FinMiner: software de minería para criptomonedas basado en Ethash y CryptoNight
  • Funakoshi Miner: Software de minería para criptomonedas de Bitcoin-Gold
  • Geth: Software de minería para Ethereum
  • GMiner: Software de minería para varias criptomonedas
  • gominer: Software de minería para Decred
  • GrinGoldMiner: Software de minería para Grin
  • Hush: Software de minería de criptomonedas basadas en Zcash
  • IxiMiner: Software de minería para Ixian
  • kawpowminer: Software de minería para Ravencoin
  • Komodo: Familia de software de minería para Komodo
  • lolMiner: Software de minería para varias criptomonedas
  • lukMiner: Software de minería para varias criptomonedas
  • MinerGate: Software de minería para varias criptomonedas
  • miniZ: software de minería para criptomonedas basadas en Equihash
  • Mirai: software malicioso que se puede usar para extraer criptomonedas
  • MultiMiner: Software de minería para varias criptomonedas
  • nanominer: Software de minería para varias criptomonedas
  • NBMiner: Software de minería para varias criptomonedas
  • Nevermore: minería de software para varias criptomonedas
  • nheqminer: Software de minería para NiceHash
  • NinjaRig: software de minería para criptomonedas basadas en Argon2
  • NodeCore PoW CUDA Miner: Software de minería para VeriBlock
  • NoncerPro: Software de minería para Nimiq
  • Optiminer/Equihash: Software de minería para criptomonedas basadas en Equihash
  • PascalCoin: Familia de software de minería para PascalCoin
  • PhoenixMiner: Software de minería para Ethereum
  • Pooler CPU Miner: Software de minería para Litecoin y Bitcoin
  • ProgPoW Miner: Software de minería para Ethereum y otras criptomonedas
  • rhminer: Software de minería para PascalCoin
  • sgminer: Software de minería para criptomonedas basadas en scrypt
  • simplecoin: Familia de software de minería para SimpleCoin basado en scrypt
  • Skypool Nimiq Miner: Software de minería para Nimiq
  • ExchangeReferenceMiner: Software de minería de Grin
  • Team Red Miner: Software de minería basado en AMD para varias criptomonedas
  • T-Rex: Software de minería para varias criptomonedas
  • TT-Miner: Software de minería para varias criptomonedas
  • Ubqminer: Software de minería de criptomonedas basadas en Ubqhash
  • VersusCoin: Software de minería para VersusCoin
  • violetminer: Software de minería para criptomonedas basadas en Argon2
  • webchain-miner: Software de minería para MintMe
  • WildRig: Software de minería para varias criptomonedas
  • XCASH_ALL_Miner: Software de minería para XCASH
  • xFash: Software de minería para MinerGate
  • XArig: Software de minería para criptomonedas basadas en CryptoNight
  • XMRig: Software de minería para varias criptomonedas
  • Xmr-Stak: Software de minería para criptomonedas basadas en CryptoNight
  • XMR-Stak TurtleCoin: Software de minería para criptomonedas basadas en CryptoNight
  • Xtl-Stak: software de minería para criptomonedas basadas en CryptoNight
  • Yam Miner: Software de minería para MinerGate
  • YCash: Software de minería para YCash
  • ZCoin: Software de minería para ZCoin/Fire
  • Zealot/Enemy: Software de minería para varias criptomonedas
  • Indicador de minera de criptomoneda1

1 Este nombre genérico de amenaza indica que un miner de criptomonedas desconocido puede operar en la VM, pero VM Threat Detection no tiene información específica sobre el miner.

Execution: Cryptocurrency Mining YARA Rule

  • YARA_RULE1: Coincide con el software de minería de Monero
  • YARA_RULE9: Coincide con el software de minería que usa el algoritmo de cifrado Blake2 y AES
  • YARA_RULE10: coincide con el software de minería que usa el CryptoNight rutina de prueba de trabajo
  • YARA_RULE15: Coincide con el software de minería de NBMiner
  • YARA_RULE17: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
  • YARA_RULE18: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
  • YARA_RULE19: Coincide con el software de minería de BFGMiner
  • YARA_RULE24: Coincide con el software de minería de XMR-Stak
  • YARA_RULE25: Coincide con el software de minería de XMRig
  • DYNAMIC_YARA_RULE_BFGMINER_2: Coincide con el software de minería de BFGMiner

¿Qué sigue?